ID・アクセス管理
Evidian Identity Governance & Administration
企業のセキュリティ情勢
企業の拡張、グローバル化、合併等は企業の情報システム複雑化にますます拍車をかけております。IT リソースの増加、従業員の流動化 (入社、異動、退職) が原因でユーザー アクセス権の管理はより複雑化しました。
「 会社で誰が何にアクセスできるか?」、「退職したユーザーのアカウント全てが本当に無効になっているか?」、「部署を異動したユーザーが必要とするアクセス権をきちんと割り当てられているか?」、「新たな情報システムのアクセス規程、責務、トレーサビリティ、監査に関連する規程をいかに現在の情報システムに適応させるか?」 等は企業のセキュリティまたはアクセス制御の大きな課題です。
情報はかつてないほど重要な価値を持っており、組織は、機密性の保持とアクセス制御の確保という 2 つの重要課題を、会社の柔軟性を損なわずに両立させなければなりません。これまでは (多くの企業は今でも)、アクセスを割り当てるための規則が電子化されていなかったため、その管理(労力)が大きな負担になっていました。
オール・イン・ワン ID 管理ソリューション
Evidian Identity Governance & Administration はオール・イン・ワン ID 管理ソリューションとして、デジタル アイデンティティ管理機能、(拡張 RBAC モデルによる) ロール ベースのアクセス管理機能、承認ワークフロー機能、ユーザー向けのセルフ サービス機能、またはアカウント情報のプロビジョニング機能を提供しております。
Evidian Identity Governance & Administration の ID 管理ソリューションは以下のようなアプリケーションへのアクセス制御を補助する役割を持ちます。
- ユーザーが必要な情報によりすばやくアクセスできるようになります。
- IT 管理者が承認業務の管理から解放され、業務マネージャーに承認業務の権限が与えられます。
- 別サイトや別組織にあるデジタルユーザー ID を統合化、組織化します。
- 中央ポリシー下のアクセス権を自動、または手動で割り当ててシステムをスリム化します。
- アクセスポリシーの履行やアプリケーションの継続的な監視を自動化します。
- ユーザーアクセス権の監査を円滑化します。
誰もがアクセス制御を、制約ではなく最適化の機会と捉えるようになります。
また、Evidian Authentication Manager、Evidian Enterprise SSO あるいは Evidian Web Access Manager と組み合わせることで、ユーザーにパスワード管理の負担を解放、Windows ログオンを含めアクセスに関するすべてを制御、セキュリティ ポリシーを完全にコントロールできるようになります。
◆オールインワン ソリューション
Evidian Identity Governance & Administration はオール・イン・ワン ID 管理ソリューションとして、デジタル アイデンティティ管理機能、(拡張 RBAC モデルによる) ロール ベースのアクセス管理機能、承認ワークフロー機能、ユーザー向けのセルフ サービス機能、またはアカウント情報のプロビジョニング機能を提供しております。
◆アイデンティティとアクセスのライフサイクル管理
Evidian Identity Governance & Administration では、新しい社員が入社してから、部署を移動して、会社を退職するまでユーザーの ID とアクセスをすべて管理できます。
Evidian Identity Governance & Administration はデータ ベース ソースの変更を検出し、入社、異動、または退職等によるアイデンティティ管理の為のワークフロー プロセスを自動的に開始します。
このワークフロー プロセスでは、ユーザーの業務マネージャーにメールで承認リクエスト送信され、マネージャーは Request Manager のウェブ ページ経由でリクエストを認可また拒否できます。
リクエストを認可した上で、Policy Manager はロールに基づいてポリシーを提供し、職務分掌に違反していないかどうかを確認し、対象とするアプリケーションのアカウントを作成/修正/無効/削除します。
このロールはユーザーのアイデンティティ情報 (職務や部署など) に依存します。Policy Manager ではロール、または (組織により自動的に割り当てる) ビジネス ルールを構成できます。
すべてのアクセス権限とアクティビティが集中的に監査可能となります。
◆アクセス管理業務の効率性と有効性が向上
-
ユーザー
権限が責任に応じて自動的に設定されるため、新しい従業員がよりすばやく仕事を始めることができます (必要に応じて検証のステップを追加することもできます)。ユーザーは、電子メールを送信するだけで、権限を管理したり追加の権限を要求したりできます。ユーザーのロールが変更されると、それに応じてアクセス権限が調整されます。
-
認可スタッフ
一般のマネージャーがユーザーに権限を割り当てることができるようになるため、管理者がすべてのアクセス権限を管理する必要がなくなります。アクセス権限の管理も簡素化されており、さまざまなロールおよび責任レベルのアクセス規則を定義してアイデンティティ リポジトリを作成するだけで済みます。
-
迅速な投資回収
新しいユーザーがよりすばやく仕事を始めることができるようになり、管理者がアクセス権限を管理する必要がなくなります。さらに、Evidian Identity Governance & Administration では、ソフトウェア ライセンスの実際の使用状況が詳細に記録されます。
◆規制制約の遵守
Evidian Identity Governance & Administration を使用すると、セキュリティ ポリシーに準拠して、リスクを削減できます (不要になると自動的に回収される権限、最新のユーザー データベースに基づくポリシーなど)。とりわけ、規制における個人の責任の増加に対応できます。情報が区分けされるため、整合性と機密性に関する規則の順守を確保できます。さらに、外部の監査者にコンプライアンス レポートを提出することにより、いつでも対策の効果を証明できます。
◆組織構造に適応し、共に発展する柔軟性
Evidian Identity Governance & Administration は、簡単に実装できる標準の製品です。
- 既存のアプリケーションを変更する必要はありません。
- インフラストラクチャとの互換性が確保されています。
- 現在のユーザー データベースを変更する必要はありません。
Evidian Identity Governance & Administration は、組織構造に適応します。
- 業務マネージャーが理解できるロールとしてクライアント アプリケーションへのアクセスをモデル化できます。
- アクセス ポリシーのインベントリーと分析が提供されるため、リコンシレイション (「調整」) のプロセスによってアクセス ポリシーを実装できます。
- ワークフロー プロセスによって承認サイクルを自動化し、ポリシーが変更された場合も自動的に調整できます。
Evidian Identity Governance & Administration は、企業のすべての活動と発展をサポートします。
- "拡大" 企業の統合管理 (下請業者、顧客など)。
- 合併/買収時のインストールの拡張。
|
→ アイデンティティ マネジメント ソリューション ・ 統合されたアイデンティティ管理ソリューション (パンフレット)(PDF)[+] 今日の異機種混在環境に対して、統合されたアイデンティティ管理機能を提供する Evidian Identity Governance & Administration ( 旧製品名 : Identity & Access Manager ) には、人事データベースや派遣社員データベースなど、複数ソースの情報を統合し信頼できるアイデンティティ データベースを構築する ID 同期モジュール ID Synchronization 、ロールベースのアクセス管理などのセキュリティ管理モジュール Policy Manager 、ユーザー自身によるアクセス要求を可能とする承認ワークフロー モジュール Request Manager 、および、対象システム/アプリケーション上のユーザー アカウント情報をアップデートするユーザー プロビジョニング モジュール Builtin Connectors が含まれます。 |
 |
Evidian Identity Governance & Administration では、規則への準拠 (地域/業界/企業) を有効、IT アクセス セキュリティを強化、またはセキュリティ ポリシーを合理化できます。
◆ベースとオプション機能
ビジネス ニーズと利用シナリオに応じて、適切なオプションを選択できます。
Evidian Identity Governance & Administration ソリューション ( IGA ) はベースとして以下のモジュールを含んでいます。
- Policy Manager
- Request Manager
- ID Synchronization
- Builtin Connectors
オプションとして複雑なワークフローであっても、自由にカスタマイズ可能な Workflow Editor などがあります。
◆Policy Manager モジュール機能: ロール ベースのアクセス権限管理
- 企業構造を反映したロールと組織の定義
- テクノロジーに依存しない明確なビジネス指向に基づく権限として、アプリケーションのアカウント、アクセス権限と管理者権限を設定
- ビジネス指向に基づく権限をロール、組織、または直接ユーザーに関連付け
- ユーザーへロールを自動的に関連付けるビジネス ルールを作成
- 業務リスクを特定し、容易に職務の分離を実現
-
リコンシレイション エンジンにより、組織のポリシーとユーザーへ設定された権限のギャップを評価し、ビジネス ルールに基づいたロールとアクセス ポリシーを適切に設定
- すべてのアクセス権限とアクティビティを集中的に監査
◆Request Manager モジュール機能: プロセス管理とセルフサービス
- 以下のアクションに対しセルフ サービスを可能とするシンプルな Web インターフェースを提供
♦ ユーザー管理
♦ ホワイト ページ、イエロー ページ
♦ アクセス権限の要求管理
♦ その他の追加カスタムアクション
- パーソナライズ可能な承認ワークフロー
- Eメール ベースのエージェントレスなユーザー プロビジョニングを実現
◆ID Synchronization: デジタル アイデンティティ同期
- 様々なデータ ソースをサポート (LDAP ディレクトリ、SQL データベース、Web サービス、CSV、XML)
- 複数のアイデンティティ ソース からデジタル アイデンティティの統合ビューを作成
- 4つの基本的なルールを使用した同期ストリーム (結合、属性マッピング、オブジェクト作成、オブジェクト削除)
- 統合/追加される組織、子会社等のアイデンティティソースを容易に統合可能
IGA は、アイデンティティ ソースの変更を検出し、入社、異動、または退職等によるアイデンティティ管理の為のワークフローを自動的に開始します。
◆Builtin Connectors: プロビジョニング
様々なアプリケーションにプロビジョニング/デプロビジョニングが可能です。また IGA で管理されている権限情報と実際の IT リソース上に設定されている権限情報を照合し、権限相違が生じている場合には、手動、または自動処理で是正が可能です。
- LDAP コネクター: Microsoft Active Directory、Microsoft Exchange、Novell eDirectory、Oracle Internet Directory、Fedora Directory Server、389 Directory Server、OpenLDAP、Sun ONE Directory Server、IBM Domino Server、IBM Directory Server、NEC Directory Server、Siemens DirX
- SQL コネクター: Microsoft SQL Server、Oracle、MySQL、PostgreSQL、IBM DB2、Informix、Sybase、その他 (ODBC ドライバが提供するデータベース)
- Unix / Linux コネクター: IBM AIX、Linux Red Hat、Sun Solaris
- Lotus Notes コネクター: Lotus Notes / Domino
- SAP コネクター: SAP R/3、SAP ECC 6.0
- CSV コネクター: CSV ファイル
- RACF コネクター: RACF z/OS 1.6、RACF z/OS 1.9
- TMF615 コネクター: NetAct OSS5.2、NetAct OSS5.3
- GCOS7 コネクター: GCOS7
- ジェネリック コネクター: カスタマイズ可能なコネクター
|
→ アイデンティティ マネジメント ソリューション ・ 統合されたアイデンティティ管理ソリューション (パンフレット)(PDF)[+] 今日の異機種混在環境に対して、統合されたアイデンティティ管理機能を提供する Evidian Identity Governance & Administration ( 旧製品名 : Identity & Access Manager ) には、人事データベースや派遣社員データベースなど、複数ソースの情報を統合し信頼できるアイデンティティ データベースを構築する ID 同期モジュール ID Synchronization 、ロールベースのアクセス管理などのセキュリティ管理モジュール Policy Manager 、ユーザー自身によるアクセス要求を可能とする承認ワークフロー モジュール Request Manager 、および、対象システム/アプリケーション上のユーザー アカウント情報をアップデートするユーザー プロビジョニング モジュール Builtin Connectors が含まれます。 |
|
◆User Access Services との組み合わせ
Evidian User Access (Evidian Authentication Manager、Evidian Enterprise SSO、Evidian Web Access Manager) との組み合わせで、強力なエンド ツー エンド セキュリティを実施することができます。
- Evidian Enterprise SSO / Evidian Web Access Manager へアカウント情報を即時にプロビジョニング
- 強化されたパスワードは安全で、エンド ユーザーによる認識は不要
|
→ アイデンティティ マネジメント ソリューション ・ 統合されたアイデンティティ管理ソリューション (パンフレット)(PDF)[+] 今日の異機種混在環境に対して、統合されたアイデンティティ管理機能を提供する Evidian Identity Governance & Administration ( 旧製品名 : Identity & Access Manager ) には、人事データベースや派遣社員データベースなど、複数ソースの情報を統合し信頼できるアイデンティティ データベースを構築する ID 同期モジュール ID Synchronization 、ロールベースのアクセス管理などのセキュリティ管理モジュール Policy Manager 、ユーザー自身によるアクセス要求を可能とする承認ワークフロー モジュール Request Manager 、および、対象システム/アプリケーション上のユーザー アカウント情報をアップデートするユーザー プロビジョニング モジュール Builtin Connectors が含まれます。 |
|
◆Evidian IGA サーバーの動作環境
|
サポート OS |
|
| Microsoft Windows |
|
◆Evidian IGA アイデンティティ ディレクトリの動作環境
|
LDAP ディレクトリ |
サポート OS / サポート ディレクトリ |
| Microsoft ADAM / AD LDS |
|
| Fedora Directory Server / 389 Directory Server |
|
| Oracle Directory Server Enterprise Edition |
|
| Sun Java Directory Server |
|
◆Evidian IGA 監査データベースの動作環境
|
データベース |
データベース バージョン |
| PostGreSQL |
|
| Oracle |
|
| MySQL |
|
◆Evidian ID Synchronization の動作環境
|
サポート OS |
|
| Microsoft Windows |
|
| Red Hat Linux |
|
|
サポート ソース ディレクトリ (LDAP V3) |
ディレクトリ バージョン |
| Microsoft Active Directory |
|
| Microsoft Active Directory Lightweight Directory Services (AD LDS) |
|
| OpenLDAP |
|
| Oracle Internet Directory |
|
| 389 Directory Server |
|
| Oracle Directory Server Enterprise Edition |
|
|
サポート ソース データベース (ODBC) |
SQL データベース バージョン |
| Microsoft SQL Server |
|
| Oracle |
|
| MySQL |
|
| PostGreSQL |
|
|
→ アイデンティティ マネジメント ソリューション ・ 統合されたアイデンティティ管理ソリューション (パンフレット)(PDF)[+] 今日の異機種混在環境に対して、統合されたアイデンティティ管理機能を提供する Evidian Identity Governance & Administration ( 旧製品名 : Identity & Access Manager ) には、人事データベースや派遣社員データベースなど、複数ソースの情報を統合し信頼できるアイデンティティ データベースを構築する ID 同期モジュール ID Synchronization 、ロールベースのアクセス管理などのセキュリティ管理モジュール Policy Manager 、ユーザー自身によるアクセス要求を可能とする承認ワークフロー モジュール Request Manager 、および、対象システム/アプリケーション上のユーザー アカウント情報をアップデートするユーザー プロビジョニング モジュール Builtin Connectors が含まれます。 |
|
ID・アクセス管理 ・ ビデオ
Windows のパスワードを忘れた、アカウントがロックされた、またはスマートカードが破損した場合でも、業務をそのまま継続できます。このビデオでは、どんな状況でもアプリケーションへの緊急アクセスが可能になる Evidian のセルフ サービス パスワード リセット機能を紹介します。
あるユーザーが不在中でも業務を継続させる必要があります。この Evidian のビデオでは、パスワードを共有せずに他のユーザーとアカウントを共有できる委譲機能を紹介します。
病院、小売店、生産ラインでは、複数のユーザーが 1 台の PC を共有する必要があります。Evidian ソリューションでは自動ログインや、セッションを常時オープンにしておく必要はなく、ユーザーはシンプルな RFID 認証で Windows セッションを共有できます。すべてのアクセスはユーザー単位に分けられ、ユーザー名で監査されます。
証券取引所の立会場やオペレーション センターでは複数の PC に同時にアクセスする必要があります。Evidian では、一回の認証で複数台のワークステーションのセッションを開始する機能を提供します。
問題
近年の技術の発展は、企業がその活動を拡大するための新たな可能性をもたらしました。インターネットとクラウド コンピューティングの急速な拡大と、情報へのアクセス方法の多様化により、物理的に "建物内" に区切られる従来の技術環境の境界を越えた活動やプロセスが実現可能になっています。たとえば、国際的な金融機関、病院グループ、または流通企業が、支店、さまざまな営業所、および構内から安全にアクセスできる、集中管理された共有サービスを提供することができます。しかし、提供するサービスへのアクセスの安全性、利便性、および追跡可能性を、管理の負担を増やさずに確保する必要があります。そのため、ローカル ユーザーの管理を中間マネージャーに委譲したり、エンド ユーザーが (要求が十分な根拠に基づいていることを確認するために必要な検証プロセスをトリガーして) アクセス要求を行えるようにしたりできる必要があります。
ソリューション
Evidian IAM Suite (特に Identity Governance & Administration と Web Access Manager) を使用すると、集中管理された Web サービスをセットアップする一方で、ユーザー管理を直属の上司に委譲して、簡単かつ安全なアクセスを確保することができます。ある専門機関では、5,000 社の会員企業とその 100,000 人の従業員に 1 つのポータルでサービスを公開できました。各会員企業のマネージャーに認可が委譲され、委譲された認可に従ってアクセス制御が確保されます。