企業等のあらゆるシステムのユーザ・アイデンティティを一元管理し、ユーザID・権限等のライフサイクルに関るIT統制と運用効率化を図る統合環境を実現
業務毎に多種多様なシステム個別のユーザが存在し、個別の管理に委ねられているケースが多く見受けられます。分散管理は業務効率の低下(オペレータによる手動操作など)を招き、
- 社員/パート従業員が退職しているにもかかわらず、一部のシステムでユーザID(アカウント)が有効のままになっている
- 異動により権限がなくなったにもかかわらず、以前の部署のドメインにログイン可能な状態になっている
など、ユーザに対し適切に権限が付与されない状況を生み出します。
また、共用IDやテスト用IDなど、ユーザアイデンティティ(実際に誰が使っているか)を特定できないアカウントが不十分な管理のままシステム個別に存在したり、IDと同じなどの簡易なパスワードで運用されているケースも多くあります。
その結果、内部からの情報漏えいなどのセキュリティリスクが一層高まることとなります。
このような状況を解決するためには、個々のシステムに依存しているユーザ管理を集中化し、ユーザのライフサイクルに合わせた適切な権限管理を行うことが必要です。また、「1人−1アカウント」を原則とし、ユーザアイデンティティを確実に管理できる環境を整備することが重要です。
幅広いターゲット・システムをサポートするIDプロビジョニング
(アカウント生成保守)機能
- LDAP/AD等のディレクトリ、OSアカウント、RDBMS、Notes等のグループウェアなど、様々なシステムにアイデンティティ情報を配信/同期することが可能
- 統合管理システムから各アプリケーションへの情報配信だけでなく、アプリケーション側のアカウント変更情報を統合管理システムに反映する双方向のプロビジョニング構成が可能
* 双方向のプロビジョニングの有無や要件内容によっては、より安価に実装可能なID管理構成も可能
システムユーザのライフサイクルに応じた権限の管理自動化
- 従業員の入社や異動、退社などに応じて、アイデンティティ情報を自動的にメンテナンス
- アイデンティティ管理業務の負荷を軽減するとともに、人為的なミスを防止し、システム全体のセキュリティリスクの低下に寄与
グループやロールを用いたアクセス権限付与の管理
- 事前に定義したルールに従って、グループ作成/グループメンバー管理や、利用可能アプリケーション情報(役割等:ロール)の管理を自動的に実施
- 割り当てられたグループ、ロール情報は、アクセス管理システムでポリシー定義に利用可能
ワークフローによる申請/承認業務の自動化
- アカウント作成/変更、アプリケーション利用申請等にワークフローを導入し、申請や承認等の事務フローを効率化
- アイデンティティ情報変更を責任者がレビューできる環境を実現し、適切な権限付与などを監視可能
セルフサービスによる管理負荷の軽減
- パスワード、プロファイル変更をユーザ自ら実施可能
- 管理者によるアイデンティティ情報メンテナンスの負荷を軽減し、生産性を向上
パスワードポリシーによるセキュリティ強化
- 文字数、文字種、有効期限など、細かいパスワードルールを適用可能
- パスワード忘れに対応するセルフリセット機能や有効期限切れ通知等もサポート
各種システムのアカウント管理業務の統合システム化による、
管理運営コスト削減
- ID情報管理の自動化により人事異動や大規模な組織変更時のシステム管理者の負荷が大幅に削減できます
- パスワードのセルフリセットによるヘルプデスク業務の負荷が削減できます
アカウント申請やパスワード変更におけるユーザ利便性の向上と併せた、権限適正管理によるセキュリティリスクの低減
- アカウント申請〜発行のリードタイム短縮や、パスワードのセルフリセットが可能になります
- システム化されたアカウントの発行や付与権限の変更により、漏れや誤設定なくユーザID関連処理がルール通りに実施できます
アカウント管理のルール化、自動化、可視化による、コンプライアンス対応
- 人単位に各種システム利用権限の確認や、IDの発行や変更の履歴を一元管理し、監査(=証跡管理)への対応が容易になります
- 内部統制報告制度(金融商品取引法の一部。通称:J-SOX)における、ID運用の適正性や各アカウントの正当性の証明ができるようになります
お客様のシステム規模、管理対象システムの数/種類、プロビジョニング方式等に応じて、最適な構成を実現することが可能です。
<構成例>
日本CA株式会社「CA Identity Manager」
を利用したアイデンティティ統合管理基盤
特色
- 統合管理システムからアプリケーションへのアカウント連携だけなく、各アプリケーション側のアカウント変更を統合管理システムへ反映して一元管理でき、双方向でのデータ同期が可能
- 柔軟な権限/プロビジョニング管理、管理タスク委譲などをロール機能で実現
* 双方向のプロビジョニングの有無や要件内容によっては、より安価に実装可能なID管理構成もできます。
[構築例:エクスジェン・ネットワークス株式会社
「LDAP Manager」によるID統合管理基盤]
従業員 1,000人規模〜数万人規模まで、お客様システムのアカウント連携先に応じて環境構築いたします。(ワークフローなしや、既存のCSVファイル連動等、段階的な基盤整備にも対応)
※ 記載の会社名や商品名は、それぞれ各社・各団体の商標または登録商標です。
- 担当部署 :
- インフライノベーション事業部
インフラソリューションブロック - 担当者 :
- 齋藤、吉永
[2008年07月]
