Skip to content

IGA 機能: 監査

この記事は https://docs.evolveum.com/iam/iga/capabilities/auditing/ の翻訳です。

別名

  • 監査証跡
  • 監査ログ

監査機能

  • 監査証跡の記録。 アイデンティティ関連の操作とイベントの記録。 Business-level 情報を構造化データ形式で記録。
  • 基本的な監査証跡アクセス。 単純な query と filtering を使って監査証跡記録にアクセスするユーザーインターフェイス。
  • 複雑な監査レポート。 監査記録を文脈の中で解釈し、相関と値の計算に基づく高度なレポート。 過去の時点の値を計算する「時間 machine」機能を提供するレポート。 Forensic レポートと分析。
  • 監査連携。 セキュリティ情報およびイベント管理(SIEM)システム、データウェアハウス などの外部システムへデータを移動すること。 外部システムによって監査記録データをエクスポート、pump、アクセスする機能を提供すること。 データ構造と形式の文書化。
  • メタデータの維持管理。 オブジェクトの作成日や変更日など、auditing-related メタデータの設定と保守。 要約済みデータや自動計算データの保守。

概要

監査機能は、アイデンティティ関連の操作とイベントを記録する責任を持ちます。 操作は 業務レベル で記録され、記録には業務上関連する情報が含まれます。 監査データはさまざまなレポートに利用できます。 少なくとも、監査記録を検索して表示できる基本的なレポートエンジンが通常含まれます。

監査機能の中核は、IGA プラットフォームにおける操作とイベントの体系的な記録です。 ログ記録が主に診断目的で非構造化データを記録するのに対し、監査は構造化された business-relevant データを記録します。 管理対象アイデンティティへのすべての変更は、通常監査証跡に記録されます。 監査記録にはほぼ常に、変更されたオブジェクトの識別子、変更内容の説明(通常は構造化)、操作の outcome(成功/failure)、イベントの操作を説明するその他のデータが含まれます。 また、操作を開始したユーザーの識別子など、actors に関する情報も記録されます。 監査証跡の重要な側面は、その structure です。これにより記録を正確に検索し、filtering できます。

一部の IGA プラットフォームは、監査を管理対象アイデンティティの変更だけに限定しています。 しかし、多くの IGA プラットフォームは包括的な監査機能を含み、ポリシーと設定の変更も記録に追加します。 監査記録は、特に承認プロセスの進捗のような詳細な業務情報が含まれる場合、比較的複雑になる可能性があります。

IGA プラットフォームの主な責任は監査証跡を record することです。 厳密に言えば、監査データを解釈する責任は、セキュリティ情報およびイベント管理(SIEM)システム、エンタープライズデータウェアハウス、データ analytic システムなど、他のシステムにあるべきです。 しかし、そのようなシステムは通常、アイデンティティ関連概念やアイデンティティデータの比較的複雑な構造を十分に理解できません。 そのため、ほとんどの IGA プラットフォームは、監査データを可視化するための何らかのユーザーインターフェイスを少なくとも含んでいます。

最も基本的な監査証跡ユーザーインターフェイスは、監査証跡データに対する基本的な検索と filtering 機能だけを提供します。 このようなユーザーインターフェイスは、ほぼすべての IGA プラットフォームが提供しています。 高度なユーザーインターフェイスは、カスタマイズ可能 レポートやダッシュボードの機能を提供する場合があります。 IGA プラットフォームはしばしば「時間 machine」、つまり過去の特定時点におけるアイデンティティの状態を表示する機能を提供します。 一部の IGA プラットフォームは、監査証跡データの forensic 調査と分析のための専用ツールを提供します。

ほぼすべての操作が監査証跡に記録され、記録は通常かなり長期間保持されるため、監査証跡データの量は膨大になる可能性があります。 そのようなデータを保存し、query すること自体が課題です。 データウェアハウス や類似のシステムへデータを「pump」して archive するという通常の実践は、期待される効果を持ちません。 アイデンティティデータの複雑さにより、汎用データ処理システムはそのデータを処理できません。 したがって、IGA プラットフォームはそのデータを分析するために使える唯一のシステムであり続けます。そのため、データは長期にわたって IGA プラットフォームからアクセス可能でなければなりません。 IGA プラットフォームは、データを保存・管理するために効率的で、多くの場合 database-specific な方法(例: データベース partitioning)を使う必要があります。

IGA プラットフォームは監査証跡データの producer であり主なユーザー でもありますが、データの一部は他のシステムにとっても興味深いものです。 セキュリティ情報およびイベント管理(SIEM)のようなシステムは、アイデンティティ管理監査証跡の部分的な理解を活用できます。 同様に、データウェアハウス やその他のエンタープライズデータ analytic システムは、作成・削除されたユーザーに関する情報など、アイデンティティデータの一部に関心を持つ場合があります。 したがって、監査証跡データを他のシステムへ公開できることは、監査機能の重要な機能です。 残念ながら、監査データ統合のための実用的な標準はありません。 既存の標準化の取り組みは機能不全(XDAS など)であるか、アイデンティティガバナンスデータの複雑さを扱えません。 そのため、非標準の統合 path が唯一の実用的な選択肢であり、多くの場合、リレーショナルデータベースの表内の監査記録へ直接アクセスすることに依存します。

時間順に整理された監査証跡記録は通常、IGA プラットフォームが記録する最も主要で最も信頼できる監査データですが、通常は secondary データ、より正確には metadata も存在します。 Primary 監査記録は包括的な情報を含みます。 しかし、イベントの時刻によって厳密に整理されているため、そのようなデータを扱うのは非常に困難です。 そのため、監査データの興味深い部分は secondary 形式、通常は metadata としても記録されます。 たとえばオブジェクトメタデータは通常、オブジェクトが作成された時刻、誰が作成したか、最後に変更された時刻、誰が変更を開始したか、ロールがユーザーに割り当てられた時刻、誰がその割り当てを承認したか、などを記述します。 同様に、監査機能は、特定の時間間隔に作成されたユーザー数などの要約データを保存する場合があります。 Metadata と要約データは、identity 分析 と reporting 機能によってよく使われます。

監査は 説明責任 の観点から重要な IGA 機能です。 私たちは複雑な世界に生き、複雑で常に変化する組織の中で相互作用しています。その中で、いつ 行ったかを知ることは、世界を回し続けるためにしばしば重要です。 監査は、IGA システムにその機能を提供します。 しかし、私たちの周囲の世界が複雑であるため、同じ複雑さは監査データ記録にも反映されます。 監査は単純な機能に見えるかもしれませんが、決してそうではありません。 特に長期データの保存を考慮して、慎重に計画し、設計する必要があります。

注記

一部の analyst は、同期と照合の機能を監査機能に含めます。 特定の観点からはそれが意味を持つ場合もありますが、監査証跡の記録と同期は、目的の異なるまったく別の機能です。 そのため、ここではそれらを別個の機能として維持することにしています。

メタデータのかなりの部分は監査機能によって保守されますが、一部のメタデータは他の機能によって保守されます。 たとえば 来歴 メタデータは通常、同期機能または属性対応付け機構によって設定されます。