Skip to content

IGA 機能: アイデンティティ分析とレポート

この記事は https://docs.evolveum.com/iam/iga/capabilities/identity-analytics/ の翻訳です。

別名

  • アイデンティティ分析 (IdA)
  • アイデンティティ分析とインテリジェンス
  • アイデンティティインテリジェンス

アイデンティティ分析とレポート機能

  • カスタマイズ可能なレポートと可視化。 アイデンティティデータを select と summarize するレポート。 レポート構造と look のカスタマイズ。 後処理を目的とした構造化された 機械可読 レポート。 Quick データ overview を提供するダッシュボード。 データをインタラクティブで人間にわかりやすいな形式で提示する可視化。
  • リスク評価。 アイデンティティデータに基づくリスクモデルの定義、維持管理、自動評価。 全体的なリスクレベル、ユーザー単位のリスクレベル、リスクベース分析の評価。
  • リスクベースのトリガー。 リスク分析に基づいてイベントをトリガーすること。たとえば是正対応、マイクロ認定、通知の initiation。 承認プロセスなどのプロセスでリスク情報を使用すること。
  • 異常検知。 周囲から際立つデータ、つまり 外れ値検知 の検知。たとえば同僚と異なる権限を持つユーザー。 過剰な権限を持つユーザーの検知など、不審な権限の組み合わせの検知。
  • コンプライアンス管理。 コンプライアンスフレームワークを表すポリシーの整理、コンプライアンスレベルの評価、コンプライアンス違反の特定。 コンプライアンスの進捗、つまりポリシー違反への対応の監視。 ポリシーの部分的な強制、つまり強制モードにより、新しいポリシーを段階的に開始できること。 ポリシーコンプライアンスの評価とレポート。 ポリシー違反の是正開始。
  • シミュレーション。 変更の影響、たとえば変更されたオブジェクト数の単純なプレビュー。 ロールモデル変更や re-organization など、多数オブジェクトに対する多数変更の結果を見積もるする 大規模 シミュレーション。 変更数が unusually high な場合に操作を stop する threshold。 インタラクティブな "what if" 分析。
  • ロールマイニング。 属性とエンタイトルメントの 類似性 を分析し、ロール定義を 提案 すること。

概要

アイデンティティ分析とレポート機能の責任は、主にアイデンティティデータの分析、関連する情報の要約 と extracting、レポートとダッシュボードの providing、アイデンティティ情報の visualising にあります。 アイデンティティ分析はデータを深く掘り下げ、アイデンティティデータを文脈の中で考慮し、複雑なモデルを使って情報を抽出します。 アイデンティティデータから抽出される最も重要なな情報の1つはリスクレベルの推定値です。 アイデンティティデータから抽出された情報は、是正プロセスの start やマイクロ認定のトリガーなど、対応を initiate するために使われます。

アイデンティティ分析とレポート機能は、おおまかに2つの部分に分けられます。 First 部分は分析に責任を持ち、データをプロセスし、レポートを compile し、モデルを使って 意味のある 結果を compute し、attention が必要な situation を検出し、全体としてアイデンティティデータへの 洞察 を提供します。 2つ目の部分は、データに基づいて対応をトリガーし、高リスク状況でアラートを発し、ポリシー違反に対処し、疑わしい状況や異常な状況に注意を向け、改善を提案する責任を持ちます。 この2つの部分には strict boundary はありません。 実際には通常、一般的概念とモデルを中心に entwined され、互いに依存しています。

データ分析の最も基本的な要件は、通常レポートを作成する能力です。 ほぼすべての IGA プラットフォームはレポート機能を持ち、その sophistication とカスタマイズ性はさまざまです。 過去には、多くのプラットフォームが printable レポートに 焦点 し、さまざまな template と style カスタマイズをサポートしていました。 最近では、選択済みデータをスプレッドシート処理ソフトなどで後処理するために構造化された形式でエクスポートする能力を持つ、オンラインのインタラクティブなレポート、ダッシュボード、可視化に重点が移っています。

アイデンティティ分析とレポートの中央概念は通常 risk 概念です。 これは完全に理にかなっています。 多くのアイデンティティガバナンスシステムは膨大なアイデンティティデータを扱います。 データの一部は 十分に構造化され、クリーンで、整理され、厳格に管理されています。 しかし、そのような部分は通常かなり小さいです。 データの大半はクリーンで整理されている状態とはほど遠く、その管理も多くの改善余地を残しています。 Presentation 目的だけに使うユーザー-provided データのように、低品質を気にしないデータもあります。 しかしポリシー判断に使うデータなど、データ品質が不可欠な場所もあります。 すべてのデータが等しく作られているわけではありません。 アイデンティティガバナンスチームが、すべてのデータを同じように care し、すべての属性価値を clean up し、すべてのロール割り当てを detailed 見直し、年に数回割り当てを re-certify し、すべてのロール定義とポリシーを periodic に見直しと 更新することは、通常その能力の範囲外です。 これはユーザー population が少ない比較的小規模なシステムであっても 膨大な作業です。 アイデンティティガバナンスチームは作業を prioritize し、serious 課題に注意を集中し、それらに個々のに対処し、trivial 課題は postpone し、大部分で対処する必要があります。 しかしそれを行うには、チームは serious 課題と trivial 課題の違いを知る必要があります。 情報セキュリティに関しては、多くの場合、すべての労力を drive する metric は1つだけです。risk です。 High リスクをもたらす課題は、特定の situation に 焦点 し、すべての circumstance を考慮して、直ちに address される必要があります。 Low リスクをもたらす課題は postpone でき、類似 課題のグループとして効率的に resolve できる時を待てます。

Risk は非常に useful な概念です。 しかし、かなり elusive で intangible なものです。 Distance や時間を測るように、標準化された international 単位で単純にリスクを 測定することはできません。 それでも risk は measure、より正確には assessed できます。 情報セキュリティ researcher は何十年にわたりリスク評価モデルを developing してきました。 モデルはリスクの相対的な見積もり、つまり assessment しか提供しませんが、高リスク状況と低リスク状況 の違いを示せます。 それこそが作業を prioritize するために必要なものです。

一部の IGA プラットフォームはリスク評価モデルの自動評価を incorporate しています。 IGA プラットフォームはそのような評価を行うのに理想的な場所です。扱えるデータを大量に含んでいるからです。 IGA エンジンは、個々のユーザーがもたらす 相対リスク、どの 部門 が高いリスクを蓄積しているか、どのビジネスロールが 危険な権限の組み合わせを付与しているかを迅速に評価できます。 この assessment は、まずどこを見るべきかを特定するために使えます。 これはアイデンティティガバナンスへの リスクベース approach として知られています。

High-risk situation が identified されると、IGA プラットフォームは通常対応をトリガーします。

  • 責任者、通常情報セキュリティチームに notify する。
  • アクセス申請 プロセスに additional 承認手順を追加する。
  • 不要な権限を 削除 してリスクを下げようとする microcertification を initiate する。
  • Remediation プロセスを start する、または situation を解決するために case を作成する。
  • Imminent 影響 を避けるため、高リスクユーザーのアクセスを直ちに 無効化 する。

全体として、リスクは時間 over で見る useful metric です。 リスクの absolute 価値はほぼ意味のないですが、全体的なリスクの dynamics は興味深いものです。 全体的なリスクレベルの変更は、アイデンティティガバナンスと情報セキュリティ活動を計画するための重要な clue です。 全体的なリスクが高める situation を watch し、原因 を探し、それに address することが重要です。 また、時間とともに全体的なリスクを維持し、できれば decrease させるための長期活動を計画することも重要です。 IGA プラットフォームはデータからアイデンティティ関連リスクを迅速に compute できるため、情報セキュリティツールボックスの中でも最良のツールの1つです。

しかしリスクは複雑で多次元な概念です。 IGA プラットフォームが提供できるのは全体的なリスクの1 側面 にすぎません。 リスクを compute する標準方法はなく、モデルは多数あり、各モデルは particular 組織の必要性に合わせてカスタマイズされなければなりません。 さらに、IGA プラットフォームのリスク モデリング 機能は大きく異なります。 一部のプラットフォームはほとんどカスタマイズできない hardcoded リスクモデルを持っています。 他のプラットフォームはモデルを自分で実装することを期待します。 多くの製品は、いまだにリスク モデリング 機能をまったく持っていません。 しかし IGA プラットフォームのリスク モデリング 機能が適切で、自組織向けに適切にカスタマイズされている場合でも、結果は 入力データの品質に依存します。 リスク モデリング の結果は、"atomic" エンタイトルメントのリスク評価と同じくらい良くしかなりません。 この assessment はエンタイトルメントごとに手作業で行わなければなりません。IGA プラットフォームには、そのリスクレベルを自動的に発見する実践的な方法がないからです。 IGA プラットフォームがすべての低レベルの権限、アクセス list、オペレーティングシステム権限、データベース付与、アルゴリズム、その他すべての詳細を分析できたとしても、そのプラットフォームはエンタイトルメントがアクセスを付与する情報、情報セキュリティの用語で asset と呼ばれるものがどれほど重要なかを知ることはできません。 したがって、最良かつ最も sophisticated な IGA プラットフォームを持っていても、依然として多くの手作業作業が残ります。 しかし、その作業は行う価値があります。 アイデンティティガバナンスへのリスクベース方法は完全に理にかなっており、投資は長期的に回収されます。

リスク モデリング に基づくアイデンティティガバナンス方法は panacea ではありません。 多くの制約と 前提 があり、結果の検証は困難です。 したがってリスク評価はしばしば他の方法で補完されます。 そのような additional 方法は体系性は低いかもしれませんが、リスクベース方法が見逃した課題を検出できます。 さらに、そのような方法はリスク reduction 以上のものを提供します。 一部の方法はデータとポリシーを clean し、システムを単純にし、維持管理 効率 と可視性を改善するために使えます。

異常検知方法は広く使われており、アイデンティティガバナンスツールボックスでしばしば非常に効率的なツールです。 このような方法は anomaly、つまりシステム内の他オブジェクトの中にうまく fit しない unusual なユーザー、ロール、その他オブジェクトを検出します。 アイデンティティガバナンスシステムでは次の方法が regularly used されます。

  • 外れ値検知: 類似ユーザーと異なるアクセス権限を持つユーザーの検知。 この方法はユーザー間の 類似性 と difference を分析することで機能します。 この方法は通常、同じ組織上の単位内で colleague と比べて大きなに異なる権限を持つ人物を検出します。 同様の方法は unusual 権限を持つロールの検知にも使えます。
  • Excessive アクセス検知、つまり over-privileged ユーザーの検知: 非常に broad アクセスを持つユーザーの検知。 これは通常、多数のシステムへのアクセス、多数グループの メンバーであること、強力な管理権限を持つことなどを意味します。 外れ値検知と異なり、この方法は 類似性 と difference を比較するのではなく、疑わしい権限の蓄積を探します。 Excessive アクセス検知は、over-privileged ユーザーが通常 colleague と異なり、アクセス breadth が大きなリスクを生むため、外れ値検知とリスクベース alert の両方と同じ結果を提供することがよくあります。 しかし、多数の低リスクエンタイトルメントへのアクセスを持つユーザー、または 部門 全体が存在する場合があります。 このようなケースはユーザーグループが一貫した正しいを持っているため外れ値検知では 検出されず、cumulative リスクがまだ比較的 low であるためリスクベース方法でも見逃されることがあります。 この方法は、"atomic" エンタイトルメントのリスク評価が完了しておらず、リスクモデルがまだ 意味のある 結果を提供しない場合にも useful です。

アイデンティティガバナンスの heart はポリシーです。 ポリシーは、物事がどう あるべきか、すべてのシステムとデータの理想的な状態を指定します。 組織と規制はかなり複雑になりがちであるため、ポリシーも複雑になりがちです。 さらにポリシーは、changed 規制や組織上の必要性に反応して変わる傾向があります。 これらすべてが、ポリシー管理を非常に困難なものにします。

新しいポリシーを適用すれば、すべてが直ちに準拠するというのは 理想論的な仮定 です。 新しいポリシーが 適用されると、多くの違反が存在します。 したがって新しいポリシーは直ちに強制できません。 ポリシーは機械処理可能な形式で規定され、その定義を使って違反を特定しなければなりません。 違反には対処しなければならず、その後で初めてポリシーは強制可能になります。 しかしポリシー違反への対応は通常、手作業で遅く、煩雑なプロセスです。 プロセスは管理され、進捗は監視され、コンプライアンスが収束することを確認しなければなりません。 コンプライアンスレポート 機能は、コンプライアンスの監視、違反の特定、グラフなどを使った進捗監視を可能にします。 コンプライアンスレポートは、システムをコンプライアンスにするためだけに使われるわけではありません。 すべてのポリシー文を厳格に強制できるわけではありません。 一部のポリシー違反は手作業是正によって対処されなければならず、システムは一時的な部分的不遵守の状態に残ります。 したがってコンプライアンスレポートは、システムが準拠のままであり、すべてのコンプライアンス違反に対処されることを確認するために常時使われます。

一部の IGA プラットフォームは、SOX や HIPAA など一般的規制に対応する pre-defined ポリシーを提供します。 しかし組織はそれぞれ異なり、各組織のコンプライアンスは少しずつ異なるポリシーを必要とします。 Pre-defined ポリシーは excellent 出発点 ですが、off-the-shelf 適用可能性には疑問があります。 Real コンプライアンスは、少なくともある程度のポリシーカスタマイズを必要とする可能性が非常に高いです。

ポリシー定義の複雑性により、ポリシーとデータ変更の effect を predict することはしばしばかなり困難です。 シミュレーション機能はそのような prediction を試みます。 シミュレーションは、ロール定義が changed されたときに affected ユーザー数を見積もるするような 非常に 単純なものでも構いません。 しかし holistic で useful な結果を得るには、より複雑なシミュレーション機能が必要です。 シミュレーションは通常、ロールモデル全体の変更シミュレーション、組織構造の多数変更、re-organization イベントなど、一度に多数オブジェクトを扱う必要があります。 そのような 大規模 シミュレーションは通常 "リアルタイム" では compute できず、compute に数時間かかることがあります。 IGA プラットフォームは 標準al 操作中にシミュレーションを自動化する機能を提供することがあります。 たとえば IGA プラットフォームは照合プロセスのシミュレーションを先に run し、変更数が suspiciously high な場合は real 照合の execution を stop することがあります。これは threshold として知られる機能です。 一部の IGA プラットフォームは "what if" 分析機能を提供し、単一ロールまたはポリシー文の変更シミュレーションなど、小さなシミュレーションを quick に行うインタラクティブ機能を提供します。

Good ロールエンジニアリング は、IGA システムの多くの部分が適切に機能するために絶対的に不可欠です。 ロール構造が間違っていると、アクセス認定プロセスは膨大な労力を必要とし、最終的には監査 と 認定プロセスをはるかに負荷が高くにするだけです。 ロール構造が正しければ、ロール割り当ては 自動化 しやすくなり、承認 と 認定労力は減り、可視性は大幅に改善されます。 しかしロールエンジニアリング は負荷が高くプロセスです。 組織、その構造と機能に関する excellent 知識を必要とし、ほぼ常に historical baggage の負担を受けます。 さらにロールエンジニアリング は one-off プロジェクトではなく、組織構造と要件の変更に合わせてロール定義を維持 と 更新する perpetual プロセスです。 適切なツールによって労力がサポートされない限り、それを行うには super-human のチームが必要になるでしょう。 分析は一般にロールエンジニアリング に valuable 洞察 を提供します。 しかしロールエンジニアリング をより効率的にするには specialized ツールが必要です。 Role mining 機能は、属性価値とエンタイトルメントの構造を分析し、類似性 を特定し、ロール定義を 提案 するよう設計されています。

アイデンティティ分析とレポートは、アイデンティティデータを理解するために不可欠です。 分析によって得られた 洞察 は、ポリシーとプロセスを改善し、問題を特定し、最も重要なこととしてリスク管理プロセスへの input を提供するために使えます。 しかし分析が提供するデータは、入力データと同じくらい良くしかありません。 Invalid データに分析を使うと、効果より harm が大きくなります。 誤り情報がリスクモデルに fed されれば、output は意味のないになります。 Exercise 全体は時間の無駄、mere セキュリティ theater になります。 同様に、ロールマイニング、異常検知、さらには最も sophisticated な "人工知能" ツールでさえ、誤りデータ上で動作するなら 役に立たなく です。 アイデンティティ分析機構が機能するには、ユーザー属性価値、グループメンバーシップ、その他エンタイトルメントに関する信頼できるで first-hand な情報が必要です。 したがってアイデンティティ分析は、connected システム、つまり アイデンティティリソース から直接 retrieved された構造化された、信頼できる、最新な情報を提供する、非常に強いアイデンティティ管理基盤の上にのみ構築できます。

注記

IGA プラットフォームのリスク評価機能は、アイデンティティ関連リスクの assessment に限られます。 IGA プラットフォームは組織の完全リスクを評価できません。 リスクモデルには、ネットワークセキュリティや 物理 セキュリティなど、IGA プラットフォームの可視性が非常に限られる 側面 が多数あります。 しかし、IGA プラットフォームが生成するアイデンティティ関連リスク分析の結果は、organization-wide リスク評価の valuable 部分です。