アイデンティティガバナンス＆管理（IGA）をもっと手軽にスタートしよう

メルマガ登録する

メルマガ登録する

アイデンティティ管理は、アイデンティティを中心にパスワードなどの本人確認要素であるクレデンシャル、属性値、アプリケーションへのプロビジョニングを行います。「管理」に加え、IDを適切に「統制」するガバナンスと管理の考え方も必要です。この「アイデンティティのガバナンスと管理」を行う製品を「Identity Governance & Administration（以下、IGA）」と呼びます。

今回はIGAの概要に加え、導入の大変さ、最近出てきたキーワード「"Light（軽い）" IGA」についてお話ししていきます。

なぜIGAが必要なのか？
IGAとは？
IGA製品の導入＆運用はとても大変
"Light（軽い）" IGA
さいごに

なぜIGAが必要なのか？

「アイデンティティ」としては、1人（1つ）です。しかし、アプリケーションが4つあれば、実際には4つ、各アプリケーションで権限情報が存在します。ユーザーが1,000人いて、アプリケーションが10個あれば、10,000のアカウント情報となり、アクセス権も機能により増加していきます。最近では、情報システム部門が管理するシステム以外にも、事業部門や部門で利用するSaaSも増えてきています。アプリケーションの数も10では済まないケースがほとんどです。

企業におけるID管理

もう少し具体的に考えてみます。私のアイデンティティとしては1つですが、アプリケーションごとにアカウントを持ちます。例えば下記の場合、私には5つのアプリケーションが割り当てられており、さらにBoxには6つのグループが割り当てられています。これが、各アプリケーションにあります。アプリケーションが増え、ユーザーアカウントが増え......、そのまま権限の数は増えていきます。

これまでのアカウント管理としては、ITヘルプデスクなどでアカウントを作成し、アプリケーションへのアクセス設定をすることで、アプリごとに権限設定を行っていることが多いと思われます。しかし、組織部門管理のSaaSが増え続ける状態で、人を介したチェックというのは現実的と言えるでしょうか？

例えば、下記のような質問をされて、回答できますか？

誰が、いくつ、どのIDを持っていますか？
このアクセス権限が適切と言い切れますか？
削除漏れのあるアカウントはありませんか？

この課題を解決するために登場したのが、アイデンティティのガバナンスと管理を行うIGAです。

IGAとは？

Gartnerによると、IGAの機能は下記と定義されています。

Capabilities: Mandatory capabilities for a complete IGA suite to meet a typical organization's needs are:

Identity life cycle management

Entitlement management

Support for access requests

Workflow orchestration

Access certification (also called "attestation")

Provisioning via automated connectors and service tickets Analytics and reporting

※ Gartner「Market Guide for Identity Governance and Administration (Published 4 July 2022 - ID G00741319)」

日本語訳はこちら。

機能：典型的な組織のニーズを満たす完全なIGAスイートの必須機能は以下のとおりである。

アイデンティティ・ライフサイクル管理
エンタイトルメント管理
アクセス要求のサポート
ワークフロー・オーケストレーション
アクセス認証（「認証」とも呼ばれる）
自動化されたコネクターとサービスチケットによるプロビジョニングアナリティクスとレポート

この機能一覧では、エンタイトルメント管理という聞き慣れない単語があり、社内から「どれも自動化に見える」と意見がでたので、アイデンティティ管理製品のカテゴリー、IGA、IAM、PAMの関係性を図示してみました。

IGAは「アイデンティティ」に関して見える化しつつ、アクセス権を要求に応じて設定し、レビューをしていくものとイメージしてもらえたら幸いです。

IGA製品の導入＆運用はとても大変

IGA製品はIGA "Suite"と呼ばれますが、非常に機能が多く複雑です。IGA Suite内での設定だけでなく、アプリケーションやデータベース側にも手を入れる必要があり、導入に長い時間がかかります。大規模なカスタマイズには専門的なスキルが必要で、かつ維持にも膨大なリソースが必要です。そのため、Gartner社のレポート^※によると利用可能な機能の90％も使用しておらず、実際30％程度しか使っていない企業も珍しくないといわれています。

※ Gartner Market Guide for Identity Governance and Administration (Published 4 July 2022 - ID G00741319)

"Light（軽い）" IGA

ここで出てきたのが"Light（軽い）" IGAです。
Light IGAはよくあるニーズを実現する、4～6程度の機能だけをサポートするものです。

IGA SuitesとLight IGAの比較 — Gartner 74319_Cを筆者が翻訳

OktaやMicrosoft EntraのIGAに対するアプローチは、このLight IGAにあたります。

さいごに

Light IGAはあるべき姿とは言いにくいところもあります。しかし、全体最適視点でリスクを低減し、運用を最適化されるという視点では非常に有効と思われます。事業会社側の情報システム部門で、Active DirectoryやERPを担当していた私からすると、「IGA Suiteなんて無理......。でもLight IGAならいけるのではないか？！」という感覚値を持っています。ラックでもOktaの導入サポートをしているので、うちの会社でももしかしたらいけるのでは？とご興味ありましたら、ぜひお問い合わせください。

近日、IDaaSのリーダーであるOktaのより具体的なアプローチについて、実際の画面をお見せしながら説明する記事を公開予定ですので、こちらもお楽しみに。

関連サービス: Okta導入支援サービス CIAM; Okta導入支援サービス EIAM（企業向けID認証）

この記事をシェアする

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

登録する

この記事は役に立ちましたか？

はいいいえ