アイデンティティー監査について

Identity Manager は、ユーザーアカウントの特権とアクセス権を監査するための機能と、コンプライアンスを維持および保証するための別個の機能を備えています。それらの機能は、ポリシーベースのコンプライアンスと、定期的アクセスレビューです。

ポリシーベースのコンプライアンス

Identity Manager の監査ポリシー機能を用いることで、管理者はすべてのユーザーアカウントについて、会社が設定した要件に対するコンプライアンスを維持できます。

監査ポリシーを使用して、継続的コンプライアンスと定期的コンプライアンスという 2 とおりの相補的な方法でコンプライアンスを確保できます。

この 2 つの方法を相補的に使用することは、Identity Manager 以外でプロビジョニング操作が実行される可能性がある環境では特に有用です。既存の監査ポリシーを実行または遵守しないプロセスによってアカウントが変更される可能性がある場合は、定期的コンプライアンスが必要です。

継続的コンプライアンス

継続的コンプライアンスでは、現在のポリシーに準拠しない方法でアカウントを修正できないように、すべてのプロビジョニング操作にポリシーが適用されます。

継続的コンプライアンスを有効にするには、組織またはユーザー、あるいはその両方に監査ポリシーを割り当てます。ユーザーに対して実行されるプロビジョニング操作では、ユーザーに割り当てられたポリシーが評価されます。ポリシー評価の結果、違反が検出されると、プロビジョニング操作が中断されます。

組織ベースのポリシーセットは階層構造で定義されます。各ユーザーに有効な組織ポリシーセットは 1 つだけです。もっとも下位レベルにある組織に対して割り当てられたポリシーセットが、実際に適用されます。たとえば、次のようにします。

定期的コンプライアンス

「定期的コンプライアンス」では、リクエストがあったときに Identity Manager によってポリシーが評価されます。準拠しない状況があれば、コンプライアンス違反として取得されます。

定期的コンプライアンスのスキャンを実行するときに、スキャンに使用するポリシーを選択できます。スキャンプロセスでは、直接割り当てられたポリシー (ユーザーに割り当てられたポリシーと組織に割り当てられたポリシー) と、任意に選択したポリシーセットが併用されます。

Auditor Administrator 機能を持つ Identity Manager ユーザーは、監査ポリシーを作成し、定期的なポリシースキャンとポリシー違反のレビューによってそれらのポリシーのコンプライアンスを監視することができます。違反は、是正手順と受け入れ手順によって管理できます。

Auditor Administrator 機能の詳細については、第 6 章管理の 「機能とその管理について」を参照してください。

Identity Manager による監査では、ユーザーの定期的なスキャンが可能です。これらのスキャンでは監査ポリシーが実行され、設定されているアカウント制限からの逸脱が検出されます。違反が検出されると、是正のアクティビティーが開始されます。規則には、Identity Manager に用意された標準の監査ポリシー規則、またはカスタマイズされたユーザー定義の規則を使用できます。

ポリシーベースのコンプライアンスの論理タスクフロー

図 13–1 に、ポリシーベースの監査を設定するための論理タスクフローを示します。

定期的アクセスレビュー

Identity Manager の定期的アクセスレビューを使用すると、マネージャーおよびその他の責任者は、そのつど、または定期的に、ユーザーアクセス特権のレビューと検証を行うことができます。この機能の詳細については、「定期的アクセスレビューとアテステーション」を参照してください。

図 13–1 ポリシーベースのコンプライアンスを設定するための論理タスクフロー