第 13 章 アイデンティティー監査: 基本概念
この章では、アイデンティティー監査と監査の管理の背景にある概念について紹介します。監査の管理を使用すると、企業情報システムおよびアプリケーション全体にわたり、監査とコンプライアンスを監視および管理できます。
この章では、次の概念およびタスクについて説明します。
アイデンティティー監査について
Identity Manager では、社内外のポリシーと規制に対するコンプライアンスを確保するために、企業全体のアイデンティティーデータを体系的に捉えて分析し、必要な処理を行う (応答する) ことを「監査」と定義します。
アカウンティングおよびデータプライバシーの法律へのコンプライアンスは簡単な作業ではありません。Identity Manager の監査機能では、各企業に有効なコンプライアンスソリューションを柔軟な方法で実装できます。
大半の環境で、内部および外部の監査チーム (監査がもっとも重要と考える) と監査以外のスタッフ (監査を迷惑と考えていることもある) のさまざまなグループがコンプライアンスにかかわっています。IT もコンプライアンスにかかわることが多く、内部監査チームの要件を選択されたソリューションの実装に移行するための支援を行います。監査ソリューションの実装の成功に重要なのが、監査以外のスタッフの知識、コントロール、プロセスを正確に把握し、その情報の利用を自動化することです。
アイデンティティー監査の目的
アイデンティティー監査により、監査のパフォーマンスは以下のように向上します。
-
アイデンティティー監査により、コンプライアンス違反が自動的に検出され、すぐに通知が行われることで迅速な是正が促進される
Identity Manager の監査ポリシー機能で、違反の「規則」 (つまり条件) を定義できます。定義後は、承認されていないアクセス変更や誤ったアクセス特権など、設定されたポリシーに違反する条件がシステムによってスキャンされます。違反が検出されると、定義されたエスカレーションチェーンに従って適切な人物に通知されます。その後、ユーザーが呼び出したタスク、またはポリシー違反によって自動的に呼び出されたワークフローで、その違反を是正 (訂正) できます。
-
内部監査管理の効果に関する主要な情報がオンデマンドで提供される
監査レポートに、違反や例外に関する状態情報の概要が表示され、危険な状態をすばやく分析できます。「レポート」タブにも、違反に関するグラフ形式のレポートが表示されます。定義したレポート特性に従って各グラフをカスタマイズし、リソース別、組織別、またはポリシー別に違反を表示できます。
-
アイデンティティー管理のアテステーションレビューの自動化によって操作上のリスクが減少する
ワークフロー機能で、選択したレビューアにポリシー違反およびアクセス違反を自動通知できます。
-
ユーザーアクティビティーの詳細を示し、法的要件を満たす包括的なレポートを作成できる
「レポート」領域で、アクセスの履歴、特権およびその他のポリシー違反に関する情報を表示する詳細レポートおよびグラフを定義できます。セキュリティー保護された包括的なアイデンティティー監査証跡がシステムに維持され、レポート機能を使用してアクセスデータやユーザープロファイルの更新について調べることができます。
-
セキュリティーおよび法規制のコンプライアンスを維持するための定期的なレビューのプロセスが簡素化される
定期的アクセスレビューを実施することで、ユーザーエンタイトルメントレコードを収集し、レビューが必要なエンタイトルメントを判断できます。さらに、このプロセスは指定されたアテスターに保留中のリクエストを通知し、アテスターがリクエストに対する操作を完了した場合はそのステータスまたは保留中のリクエストを更新します。
-
利益相反する可能性があるユーザーアカウントの機能を特定できる
Identity Manager では、職務分掌レポートを使用して、利益相反する可能性がある特定の機能または特権を持つユーザーを特定することができます。
アイデンティティー監査について
Identity Manager は、ユーザーアカウントの特権とアクセス権を監査するための機能と、コンプライアンスを維持および保証するための別個の機能を備えています。それらの機能は、ポリシーベースのコンプライアンスと、定期的アクセスレビューです。
ポリシーベースのコンプライアンス
Identity Manager の監査ポリシー機能を用いることで、管理者はすべてのユーザーアカウントについて、会社が設定した要件に対するコンプライアンスを維持できます。
監査ポリシーを使用して、継続的コンプライアンスと定期的コンプライアンスという 2 とおりの相補的な方法でコンプライアンスを確保できます。
この 2 つの方法を相補的に使用することは、Identity Manager 以外でプロビジョニング操作が実行される可能性がある環境では特に有用です。既存の監査ポリシーを実行または遵守しないプロセスによってアカウントが変更される可能性がある場合は、定期的コンプライアンスが必要です。
継続的コンプライアンス
継続的コンプライアンスでは、現在のポリシーに準拠しない方法でアカウントを修正できないように、すべてのプロビジョニング操作にポリシーが適用されます。
継続的コンプライアンスを有効にするには、組織またはユーザー、あるいはその両方に監査ポリシーを割り当てます。ユーザーに対して実行されるプロビジョニング操作では、ユーザーに割り当てられたポリシーが評価されます。ポリシー評価の結果、違反が検出されると、プロビジョニング操作が中断されます。
組織ベースのポリシーセットは階層構造で定義されます。各ユーザーに有効な組織ポリシーセットは 1 つだけです。もっとも下位レベルにある組織に対して割り当てられたポリシーセットが、実際に適用されます。たとえば、次のようにします。
|
組織 |
直接割り当てられたポリシーセット |
有効なポリシー |
|---|---|---|
|
Austin |
ポリシー A1、A2 |
ポリシー A1、A2 |
|
マーケティング |
ポリシー A1、A2 |
|
|
開発 |
ポリシー B、C2 |
ポリシー B、C2 |
|
サポート |
ポリシー B、C2 |
|
|
テスト |
ポリシー D、E5 |
ポリシー D、E5 |
|
財務 |
ポリシー A1、A2 |
|
|
Houston |
<なし> |
定期的コンプライアンス
「定期的コンプライアンス」では、リクエストがあったときに Identity Manager によってポリシーが評価されます。準拠しない状況があれば、コンプライアンス違反として取得されます。
定期的コンプライアンスのスキャンを実行するときに、スキャンに使用するポリシーを選択できます。スキャンプロセスでは、直接割り当てられたポリシー (ユーザーに割り当てられたポリシーと組織に割り当てられたポリシー) と、任意に選択したポリシーセットが併用されます。
Auditor Administrator 機能を持つ Identity Manager ユーザーは、監査ポリシーを作成し、定期的なポリシースキャンとポリシー違反のレビューによってそれらのポリシーのコンプライアンスを監視することができます。違反は、是正手順と受け入れ手順によって管理できます。
Auditor Administrator 機能の詳細については、第 6 章管理の 「機能とその管理について」を参照してください。
Identity Manager による監査では、ユーザーの定期的なスキャンが可能です。これらのスキャンでは監査ポリシーが実行され、設定されているアカウント制限からの逸脱が検出されます。違反が検出されると、是正のアクティビティーが開始されます。規則には、Identity Manager に用意された標準の監査ポリシー規則、またはカスタマイズされたユーザー定義の規則を使用できます。
ポリシーベースのコンプライアンスの論理タスクフロー
図 13–1 に、ポリシーベースの監査を設定するための論理タスクフローを示します。
定期的アクセスレビュー
Identity Manager の定期的アクセスレビューを使用すると、マネージャーおよびその他の責任者は、そのつど、または定期的に、ユーザーアクセス特権のレビューと検証を行うことができます。この機能の詳細については、「定期的アクセスレビューとアテステーション」を参照してください。
図 13–1 ポリシーベースのコンプライアンスを設定するための論理タスクフロー
管理者インタフェースでのアイデンティティー監査の操作
この節では、管理者インタフェースでアイデンティティー監査機能にアクセスする方法について説明します。アイデンティティー監査で使用される電子メール通知テンプレートについても説明します。
インタフェースの「コンプライアンス」セクションの使用法
監査ポリシーの作成と管理を行うには、Identity Manager 管理者インタフェースの「コンプライアンス」セクションを使用します。
「コンプライアンス」セクションを使用して監査ポリシーを作成および管理する
-
管理者インタフェースにログインします (「Identity Manager エンドユーザーインタフェースへのログイン」)。
-
メニューバーの「コンプライアンス」をクリックします。
「コンプライアンス」セクションでは、次のサブタブ (またはメニュー項目) を使用できます。
-
ポリシーの管理
-
アクセススキャンの管理
-
アクセスレビュー
-
ポリシーの管理
「ポリシーの管理」ページには、表示と編集の権限を持っているポリシーのリストが表示されます。また、アクセススキャンもこの領域で管理できます。
「ポリシーの管理」ページでは、監査ポリシーを操作して次のタスクを実行できます。
-
監査ポリシーの作成
-
表示または編集するポリシーの選択
-
ポリシーの削除
これらのタスクの詳細については、「監査ポリシーのシナリオ例」を参照してください。
アクセススキャンの管理
アクセススキャンを作成、変更、および削除するには、「アクセススキャンの管理」タブを使用します。ここから、定期的アクセスレビューで実行またはスケジュールするスキャンを定義できます。この機能の詳細については、「定期的アクセスレビューとアテステーション」を参照してください。
アクセスレビュー
「アクセスレビュー」タブでは、アクセスレビューの起動、終了、削除、および進行状況の監視を実行できます。このタブには、スキャン結果の概要レポートと情報リンクが表示され、情報リンクからレビューのステータスおよび保留中のアクティビティーに関するさらに詳細な情報にアクセスできます。
この機能の詳細については、「アクセスレビューの管理」を参照してください。
アイデンティティー監査タスクのインタフェースリファレンス
管理者インタフェースでその他のアイデンティティー監査タスクを実行する方法については、表 B–8 を参照してください。このクイックリファレンスを参照すると、さまざまな監査タスクを開始するためにはどこに移動すればよいかがわかります。
電子メールテンプレート
アイデンティティー監査では、多くの操作で電子メールベースの通知が使われます。これらの各通知には、電子メールテンプレートオブジェクトが使われます。電子メールテンプレートでは、電子メールメッセージのヘッダーと本文をカスタマイズできます。
表 13–1 アイデンティティー監査電子メールテンプレート|
テンプレート名 |
目的 |
|---|---|
|
Access Review Remediation Notice |
ユーザーエンタイトルメントが最初に是正状態で作成された場合に、アクセスレビューによって是正者に送信されます。 |
|
Bulk Attestation Notice |
保留中のアテステーションがある場合に、アクセスレビューによってアテスターに送信されます。 |
|
ポリシー違反情報 |
違反が発生した場合に、監査ポリシースキャンによって是正者に送信されます。 |
|
Access Scan Begin Notice |
アクセスレビューのスキャンが開始されると、アクセススキャン所有者に送信されます。 |
|
Access Scan End Notice |
アクセススキャンが完了すると、アクセススキャン所有者に送信されます。 |
監査ログの有効化
コンプライアンス管理およびアクセスレビューを開始するには、Identity Manager 監査ログシステムを有効にし、監査イベントを収集するように設定する必要があります。デフォルトで、監査システムは有効になっています。監査を設定できるのは、Configure Audit 機能を持つ Identity Manager 管理者です。
Identity Manager には、コンプライアンス管理監査設定グループが用意されています。
コンプライアンス管理グループによって保存されたイベントを表示または修正するには、次の手順を使用します。
-
管理者インタフェースにログインします (「Identity Manager エンドユーザーインタフェースへのログイン」)。
-
メニューバーの「設定」を選択し、「監査」をクリックします。
-
「監査設定」ページで、「Compliance Management」という監査グループ名を選択します。
注 –
-
監査設定グループの設定については、「監査グループおよび監査イベントの設定」を参照してください。
-
監査システムによるイベントの記録方法については、第 10 章監査ログを参照してください。
監査ポリシーについて
「監査ポリシー」は、1 つ以上のリソースのユーザーのセットに対するアカウント制限を定義します。監査ポリシーは、ポリシーの制限を定義する「規則」と、発生した違反を処理する「ワークフロー」から構成されます。監査スキャンは監査ポリシーで定義された条件を使用して、組織内で違反が起きたかどうかを評価します。
監査ポリシーは次のコンポーネントで構成されます。
-
ポリシー規則は特定の違反を定義します。ポリシー規則には、XPRESS、XML オブジェクト、または JavaScript 言語で作成された関数を含めることができます。
-
「是正ワークフロー」は、監査スキャンでポリシー規則違反が検出されたときに (オプションとして) 起動されます。
-
「是正者」は、ポリシー違反に応答することが許可されている、指定されたユーザーです。是正者は、個別のユーザーでもユーザーグループでもかまいません。
監査ポリシー規則を使用したポリシーの作成
監査ポリシー内では、規則によって、属性に基づいた競合の可能性を定義します。1 つの監査ポリシーに、広範囲のリソースを参照する多数の規則を含めることができます。規則の評価時に、規則は 1 つ以上のリソースからのユーザーアカウントデータにアクセスします。監査ポリシーで、規則に使用できるリソースを制限できます。
1 つのリソースの 1 つの属性のみをチェックする規則、または複数のリソースの複数の属性をチェックする規則を設定できます。
是正ワークフローによるポリシー違反への対応
ポリシー違反を定義する規則を作成したら、監査スキャン中に違反が検出されたときに起動するワークフローを選択します。Identity Manager には、デフォルトの標準是正ワークフローが用意されています。このワークフローは、監査ポリシースキャンに対してデフォルトの是正処理を行います。たとえば、このデフォルトの是正ワークフローでは、レベル 1 是正者として指定された各是正者に対して通知電子メールが生成され、必要な場合はそれ以下のレベルの是正者にも生成されます。
注 –
Identity Manager ワークフロープロセスと異なり、是正ワークフローには AuthType=AuditorAdminTask および SUBTYPE_REMEDIATION_WORKFLOW のサブタイプを割り当てる必要があります。監査スキャンで使用するワークフローをインポートする場合は、この属性を手動で追加する必要があります。詳細については、「Identity Manager への職務分掌規則のインポート (省略可能)」を参照してください。
是正者の指定
是正ワークフローを割り当てる場合は、1 人以上の是正者を指定する必要があります。3 レベルまでの監査ポリシーの是正者を指定できます。是正の詳細については、「コンプライアンス違反の是正と受け入れ」を参照してください。
是正者を割り当てるには、その前に是正ワークフローを割り当てる必要があります。
監査ポリシーのシナリオ例
買掛金と売掛金の責任者であり、経理部で働く従業員が担当する金額の総計が危険な額に達しないようにするための措置を講じる必要があると仮定します。このポリシーでは、買掛金の担当者が売掛金の担当も兼ねていないかどうかを確認する必要があります。
監査ポリシーには、次のものが含まれます。
-
一連の規則。それぞれ、ポリシー違反となる条件を指定します。
-
是正タスクを起動するワークフロー。
-
前述の規則で作成されたポリシー違反を参照し、それに応答する権限を持つ、指定された管理者 (是正者) のグループ。
規則によってポリシー違反 (この例では、過剰な権限を持つユーザー) が検出されると、関連付けられたワークフローで特定の是正関連タスク (指定された是正者への自動通知など) を起動することができます。
レベル 1 是正者は、監査スキャンでポリシー違反が検出されたときに連絡される最初の是正者です。監査ポリシーで 2 レベル以上の是正者が指定されている場合、この領域で指定されたエスカレーション期間を過ぎると、Identity Manager は次のレベルの是正者に通知します。
次の節の「監査ポリシーの操作」では、監査ポリシーウィザードを使用して監査ポリシーを作成する方法について説明します。
- © 2010, Oracle Corporation and/or its affiliates