第 15 章 監査: コンプライアンスの監視

この章では、監査レビューの実施方法と、法規制へのコンプライアンスを管理する上で役立つ手法の実装方法について説明します。

この章では、次の概念およびタスクについて説明します。

• 「監査ポリシーのスキャンとレポート」

• 「コンプライアンス違反の是正と受け入れ」

• 「定期的アクセスレビューとアテステーション」

• 「アクセスレビュー是正」

監査ポリシーのスキャンとレポート

この節では、監査ポリシースキャンについて、および監査スキャンの実行と管理の手順について説明します。

ユーザーおよび組織のスキャン

スキャンは、選択した監査ポリシーを個々のユーザーまたは組織に対して実行します。特定の違反についてユーザーまたは組織をスキャンしたり、ユーザーまたは組織に割り当てられていないポリシーを実行したりできます。インタフェースの「アカウント」領域からスキャンを起動します。

---

注 –

「サーバータスク」タブから監査ポリシースキャンを起動またはスケジュールすることもできます。

---

ユーザーアカウントまたは組織をスキャンする

1. 管理者インタフェースで、メインメニューから「アカウント」を選択します。

2. 「アカウント」リストで、次のいずれかの操作を行います。

   1. 1 人以上のユーザーを選択し、「ユーザーアクション」オプションリストから「スキャン」を選択します。

   2. 1 つ以上の組織を選択し、「組織アクション」オプションリストから「スキャン」を選択します。

      タスクの起動ダイアログが表示されます。図 15–1 に、監査ポリシーユーザースキャンの「タスクの起動」ページの例を示します。

      図 15–1 タスクの起動ダイアログ

      
      

3. 「レポートタイトル」フィールドにスキャンのタイトルを入力します。(必須)

4. その他のオプションを指定します。

   次のオプションがあります。

   • 「レポートの概要」: レポートの説明を入力します。

   • 「ポリシーの追加」: 実行する監査ポリシーを 1 つ以上選択します。少なくとも 1 つのポリシーを選択する必要があります。

   • 「ポリシーモード」: ポリシーモードを選択します。ポリシーがすでに割り当てられているユーザーに、選択したポリシーを適用する方法を決定します。ユーザーから直接、またはユーザーが割り当てられている組織から割り当てることができます。

   • 「違反を作成しない」: 監査ポリシーを評価して違反の報告は行うが、コンプライアンス違反を作成および更新せず、是正ワークフローを実行しない場合は、このボックスを有効にします。スキャンによるタスク結果にどの違反が発生したかが示されるため、監査ポリシーのテスト時にこのオプションが役立ちます。

   • 「是正ワークフローを実行しますか?」: 監査ポリシーに割り当てられた是正ワークフローを実行する場合は、このボックスを有効にしします。監査ポリシーに是正ワークフローが定義されていない場合は、是正ワークフローは実行されません。

   • 「違反数の最大値」: このボックスを編集して、スキャンが強制終了する前にスキャンが発行できるコンプライアンス違反の最大数を設定します。この値は、チェックが厳しすぎる可能性のある監査ポリシーを実行する場合に、リスクを制限するための安全措置です。空の値は制限を設定しないことを意味します。

   • 「レポート結果を送信」: レポートの受信者を指定するには、このボックスを有効にします。また、CSV (コンマ区切り) 形式のレポートを含むファイルを添付するように設定することもできます。

   • 「デフォルトの PDF オプションを上書き」: デフォルトの PDF オプションを上書きする場合は、このボックスを有効にします。

5. 「起動」をクリックしてスキャンを開始します。

   監査スキャンの結果のレポートを見るには、「監査レポート」を表示します。

監査レポートの操作

Identity Manager には、多数の監査レポートが用意されています。次の表で、それらのレポートについて説明します。

表 15–1 監査レポートの説明

監査レポートのタイプ	説明
アクセスレビュー範囲	選択したアクセスレビューによって示されたユーザーのオーバーラップと差異を表示します。ほとんどのアクセスレビューでは、ユーザークエリーまたは何らかのメンバーシップの操作によって、ユーザーの範囲が指定されるため、厳密なユーザーセットは時間の経過とともに変化すると予想されます。このレポートには、2 つの異なるアクセスレビューによって指定されたユーザー間 (操作でレビューが効率的に行われるかどうかを確認するため)、2 つの異なるアクセスレビューによって生成されたエンタイトルメント間 (時間の経過とともに範囲が変化するかどうかを確認できる)、またはユーザーとエンタイトルメント間 (レビューの対象とされているすべてのユーザーに対して、エンタイトルメントが生成されたかどうかを確認できる) のオーバーラップまたは差異、あるいはその両方を表示することができます。
アクセスレビュー詳細	すべてのユーザーエンタイトルメントレコードの現在のステータスが表示されます。このレポートは、ユーザーの組織、アクセスレビューとアクセスレビューインスタンス、エンタイトルメントレコードの状態、およびアテスターによってフィルタリングできます。
アクセスレビューの概要	すべてのアクセスレビューに関する概要情報が表示されます。一覧表示されたアクセスレビュースキャンごとに、スキャンしたユーザー、スキャンしたポリシー、およびアテステーションアクティビティーのステータスの概要が表示されます。
アクセススキャンユーザー範囲	選択されたスキャンを比較して、スキャン範囲に含まれるユーザーを判断します。このレポートによって、オーバーラップ (すべてのスキャンに含まれるユーザー) または差異 (すべてのスキャンには含まれないが、1 つ以上のスキャンに含まれるユーザー) が表示されます。このレポートは、スキャンの用途に応じて、同一のユーザーセットを、あるいは異なるユーザーセットを網羅するように複数のアクセススキャンを編成する場合に便利です。
監査ポリシーの概要	各ポリシーの規則、是正者、ワークフローなど、すべての監査ポリシーの主要な要素の概要が表示されます。
監査属性	指定されたリソースアカウント属性の変更を示すすべての監査レコードが表示されます。  このレポートでは、格納されているすべての監査可能属性に関する監査データが調べられます。すべての拡張属性に基づいてデータが調べられます。 拡張属性は、WorkflowServices または監査可能としてマークされたリソース属性から指定できます。このレポートの設定については、「監査された属性のレポートの設定」を参照してください。
違反履歴 (監査ポリシー別)	指定された期間中に作成されたすべてのコンプライアンス違反がポリシー別にグラフ形式で表示されます。このレポートはポリシーのフィルタを適用でき、日、週、月、四半期でグループ化することができます。
ユーザーアクセス	指定されたユーザーの監査レコードとユーザー属性が表示されます。
組織別違反履歴	一定期間中に作成されたすべてのコンプライアンス違反が組織別にグラフ形式で表示されます。組織のフィルタを適用でき、日、週、月、四半期でグループ化することができます。
リソース別違反履歴	指定された期間中に作成されたすべてのコンプライアンス違反がリソース別にグラフ形式で表示されます。
職務分掌	競合テーブルに配置された職務分掌違反が表示されます。Web ベースインタフェースでは、リンクをクリックすると追加情報にアクセスできます。  このレポートは、組織でフィルタリングしたり、日、週、月、または四半期ごとにグループ化したりできます。
違反の概要	現在のコンプライアンス違反がすべて表示されます。このレポートは、是正者、リソース、規則、ユーザー、またはポリシーによってフィルタリングできます。

これらのレポートは、Identity Manager インタフェースの「レポート」タブから利用できます。

---

注 –

RULE_EVAL_COUNT 値は、ポリシースキャンの間に評価された規則の数と同じです。この値はレポートに含まれることがあります。

Identity Manager は、RULE_EVAL_COUNT 値を次のように計算します。

スキャンしたユーザーの数 x (ポリシー内の規則の数 + 1)

「+1」が計算に含まれているのは、ポリシー違反であるかどうかを実際に決定する規則であるポリシー規則も数えられているからです。ポリシー規則は監査の規則の結果を調べ、ブール式のロジックを実行してポリシーの結果を見つけ出します。

たとえば、3 つの規則があるポリシー A と 2 つの規則があるポリシー B が存在し、10 人のユーザーをスキャンした場合、RULE_EVAL_COUNT 値は、次の計算によって 70 になります。

10 ユーザー x (3 + 1 + 2 + 1 規則)

---

監査レポートの作成

レポートを実行するには、まず、レポートテンプレートを作成する必要があります。レポートでは、レポート結果を受け取る電子メール受信者など、さまざまな条件を指定できます。レポートテンプレートを作成して保存すると、「レポートの実行」ページからそのレポートを使用できるようになります。

次の図に、定義済み監査レポートのリストが表示された「レポートの実行」ページの例を示します。

図 15–2 「レポートの実行」ページの選択項目

監査レポートを作成する

1. 管理者インタフェースで、メインメニューから「レポート」をクリックします。

   「レポートの実行」ページが開きます。

2. レポートタイプとして「監査レポート」を選択します。

3. レポートの「新規」リストからレポートを選択します。

   「レポートの定義」ページが表示されます。レポートダイアログに表示されるフィールドやレイアウトは、レポートのタイプによって異なります。レポートの条件の指定については、Identity Manager のヘルプを参照してください。

   レポート基準を入力または選択すると、次の手順を実行できます。

   • レポートを保存せずに実行できます。

     「実行」をクリックして、レポートの実行を開始します。新しいレポートを定義した場合、レポートは保存されません。また、既存のレポートを編集した場合、変更されたレポート基準は保存されません。

   • レポートを保存できます。

     「保存」をクリックして、レポートを保存します。保存後は、「レポートの実行」ページ (レポートのリスト) からそのレポートを実行できます。「レポートの実行」ページからレポートを実行したあとは、「レポートの表示」タブで、ただちにまたはあとで出力を表示することができます。

   レポートのスケジュールについては、「レポートのスケジュール」を参照してください。

監査された属性のレポートの設定

監査された属性のレポート (表 15–1) は、Identity Manager のユーザーおよびアカウントに対する属性レベルの変更を報告できます。しかし標準の監査ログでは、完全なクエリー式をサポートするのに十分な監査ログデータが生成されません。

標準の監査ログでも、変更された属性が監査ログの acctAttrChanges フィールドに書き込まれます。ただし、書き込まれた属性に対して、レポートクエリーでは変更された属性の名前に基づいてしかレコードを照合できません。レポートクエリーでは、属性の値を正確に照合することができません。

次のパラメータを指定することで、lastname 属性に対する変更を含むレコードを照合するように、このレポートを設定できます。

Attribute Name = ’acctAttrChanges’
Condition = ’contains’
Value = ’lastname’

---

注 –

データは acctAttrChanges フィールドに保存されるため、Condition=’contains’ の使用が必要です。これは複数値のフィールドではありません。基本的に、変更されたすべての属性の before/after 値を、attrname=value の形式で格納するデータ構造です。結果として、前の設定では、lastname=xxx であるすべてのインスタンスを照合するレポートクエリーが可能です。

---

特定の属性に特定の値を持つ監査レコードのみを収集することもできます。この場合は、「「監査」タブの設定」の手順に従ってください。「ワークフロー全体の監査」チェックボックスを選択し、「属性の追加」ボタンをクリックしてレポート対象として記録する属性を選択し、「保存」をクリックします。

次に、まだ有効になっていない場合は、タスクテンプレートの設定を有効にします。この場合は、「タスクテンプレートの有効化」の手順に従ってください。「選択したプロセスタイプ」リストのデフォルト値は変更せずに、「保存」をクリックするだけにしてください。

これでワークフローでは、属性の名前と値の両方の照合に適した監査レコードを提供できるようになりました。このレベルの監査を有効にするとより多くの情報を得られますが、パフォーマンスの負荷も非常に大きく、ワークフローの実行速度が低下することに注意してください。

コンプライアンス違反の是正と受け入れ

この節では、Identity Manager の是正機能を使用して重要な資産を保護する方法について説明します。

以下のトピックで、Identity Manager 是正プロセスの要素について説明します。

• 「是正について」

• 「是正電子メールテンプレート」

• 「「是正」ページでの操作」

• 「ポリシー違反の表示」

• 「ポリシー違反の優先度の設定」

• 「ポリシー違反の受け入れ」

• 「ポリシー違反の是正」

• 「是正リクエストの転送」

• 「是正作業項目のユーザーの編集」

是正について

Identity Manager は、未解決の (受け入れられていない) 監査ポリシーコンプライアンス違反を検出すると、是正リクエストを作成します。このリクエストは「是正者」によって処理される必要があります。是正者とは、監査ポリシー違反の評価と応答を許可されている、指定されたユーザーです。

是正者のエスカレーション

Identity Manager では、3 レベルの是正者のエスカレーションを定義できます。是正リクエストは、まず、レベル 1 是正者に送信されます。タイムアウト時間が経過するまでにレベル 1 是正者が是正リクエストに応答しなかった場合、Identity Manager はその違反をレベル 2 是正者にエスカレーションし、新しいタイムアウト時間を開始します。タイムアウト時間が経過するまでにレベル 2 是正者が応答しなかった場合、そのリクエストはさらにレベル 3 是正者にエスカレーションされます。

是正を実行するには、そのシステムで少なくとも 1 人の是正者を指定する必要があります。任意設定ですが、各レベルに 2 人以上の是正者を指定することをお勧めします。複数の是正者を指定すると、ワークフローの遅延や停止を防ぐことができます。

是正セキュリティーアクセス

これらの権限付与オプションは、authType RemediationWorkItem の作業項目用のものです。

• 是正作業項目の所有者

• 是正作業項目の所有者の直属または直属以外のマネージャー

• 是正作業項目の所有者が所属する組織を管理する管理者

デフォルトでは、権限付与チェックの動作は次のいずれかです。

• 所有者が、アクションを実行しようとしているユーザー自身である

• 所有者が、アクションを実行しようとしているユーザーが管理する組織に所属している

• 作業項目は、アクションを実行しようとしているユーザーの部下が所有している

2 番目および 3 番目のチェックを別個に設定するには、次のオプションを変更します。

• 「controlOrg」。有効な値は true または false です。

• 「subordinate」。有効な値は true または false です。

• 「lastLevel」。結果に含める最後の従属レベル。-1 はすべてのレベルを意味します。lastLevel の整数値は、デフォルトでは -1 に設定され、これは直属の部下と直属ではない部下を含むことを意味します。

これらのオプションは、次のファイルで追加または変更できます。

UserForm: Remediation List

是正ワークフローのプロセス

Identity Manager には、監査ポリシースキャンの是正プロセスを行う標準是正ワークフローが用意されています。

標準是正ワークフローでは、コンプライアンス違反に関する情報を含む是正リクエスト (レビュータイプの作業項目) が生成され、監査ポリシーで指定された各レベル 1 是正者に電子メール通知が送信されます。是正者が違反を受け入れると、ワークフローによって既存のコンプライアンス違反オブジェクトの状態が変更され、有効期限が割り当てられます。

コンプライアンス違反は、ユーザー、ポリシー名、および規則名の組み合わせによって一意に識別されます。監査ポリシーで true と評価されたときに、このユーザー/ポリシー/規則の組み合わせによる既存の違反が存在していなければ、その組み合わせによる新しいコンプライアンス違反が作成されます。その組み合わせでの違反が存在し、その違反が受け入れられた状態になっている場合は、ワークフロープロセスによる処理は行われません。既存の違反が受け入れられていない場合、その再発回数が加算されます。

是正ワークフローの詳細については、「監査ポリシーについて」を参照してください。

是正応答

デフォルトでは、各是正者は次の 3 つの応答オプションから選択できます。

• 是正する。是正者は、何らかの処理を実行してリソースの問題を修正したことを示します。

  コンプライアンス違反が修正されると、Identity Manager は監査イベントを作成して是正をログに記録します。さらに、Identity Manager は、是正者の名前と入力されたコメントを保存します。

  ---

  注 –

  是正後、違反は、次の監査スキャンまで削除されません。監査ポリシーが再スキャンを許可するように設定されている場合、違反が是正されるとただちにユーザーが再スキャンされます。

  ---

• 受け入れる。是正者は、ユーザーが一定期間その違反を免除されるように違反の内容を受け入れます。

  違反が意図的なものである場合 (たとえば、業務上 2 つのグループに所属する必要がある場合など) は、長期間にわたって違反を受け入れることができます。また、リソースのシステム管理者が休暇中で問題の修正方法がわからない場合などには、短期間だけ違反を受け入れることもできます。

  Identity Manager は、違反を受け入れた是正者の名前を、免除に割り当てた有効期限および入力したコメントとともに保存します。

  ---

  注 –

  Identity Manager は、期限切れになった免除を検出すると、違反を受け入れた状態から保留中の状態に戻します。

  ---

• 転送する。是正者は、違反を解決する役割を別の人物に再割り当てします。

是正の例

ユーザーが買掛金と売掛金の両方を担当できないようにする規則を設定した企業で、あるユーザーがこの規則に違反しているという通知を受け取ったとします。

• 会社がその職位に別の従業員を雇用するまでの間、そのユーザーがスーパーバイザとして両方の役割を受け持つ場合は、その違反を受け入れ、最長で 6 か月間の免除を与えることができます。

• ユーザーが規則に違反している場合、競合を修正し、そのリソースで問題が解決されたときに違反を是正するように Oracle ERP 管理者に依頼することもできます。または、是正リクエストを Oracle ERP 管理者に転送することができます。

是正電子メールテンプレート

Identity Manager には、「ポリシー違反通知」電子メールテンプレートが用意されています。これを利用するには、「設定」タブを選択し、次に「電子メールテンプレート」サブタブを選択します。このテンプレートを、保留中の違反を是正者に通知するように設定できます。詳細については、第 4 章ビジネス管理オブジェクトの設定の 「電子メールテンプレートのカスタマイズ」を参照してください。

「是正」ページでの操作

「是正」ページにアクセスするには、「作業項目」、「是正」タブの順に選択します。

このページでは、次の操作を行うことができます。

• 保留中の違反を表示する

• ポリシー違反の優先度を設定する

• 1 つ以上のポリシー違反を受け入れる

• 1 つ以上のポリシー違反を是正する

• 1 つ以上の違反を転送する

• 是正作業項目のユーザーを編集する

ポリシー違反の表示

「是正」ページでは、違反に対するアクションを実行する前に、違反に関する詳細を表示できます。

割り当てられている機能または Identity Manager 機能の階層の位置に応じて、ほかの是正者の違反を表示してアクションを実行することもできます。

以下のトピックは、違反の表示に関するものです。

• 「保留中のリクエストの表示」

• 「完了したリクエストの表示」

• 「テーブルの更新」

保留中のリクエストの表示

デフォルトでは、割り当てられている保留中のリクエストは「是正」テーブルに表示されます。

「右の者に対する是正リクエスト一覧」オプションを使用すると、別の是正者に対する保留中の是正リクエストを表示できます。

• 直接報告される組織内のユーザーの保留中のリクエストを表示するには、「自分の直属の部下」を選択します。

• 保留中のリクエストを表示したい 1 人以上のユーザーを入力するか、検索するには、「ユーザーの検索」を選択します。ユーザー ID を入力して、「適用」をクリックすると、そのユーザーの保留中のリクエストが表示されます。または、「...」ボタンをクリックして、ユーザーを検索します。ユーザーを見つけて選択したら、「閉じる」をクリックして、「検索」領域を閉じます。

結果のテーブルには、リクエストごとに次の情報が表示されます。

• 「是正者」。割り当てられた是正者の名前。この列は、ほかの是正者の是正リクエストを表示する場合にのみ表示されます。

• 「ユーザー」。リクエストが作成されたユーザー。

• 「 監査ポリシー/リクエスト」。是正者のリクエストされたアクション。

• 「監査ポリシー/説明」。リクエストに関する是正のコメント。

• 「違反の状態」。違反の現在の状態。

• 「重要度」。リクエストに割り当てられた重要度 (なし、低、中、高、クリティカル)。

• 「優先度」。リクエストに割り当てられた優先度 (なし、低、中、高、緊急)。

• 「リクエスト日」: 是正リクエストが発行された日時。

---

注 –

各ユーザーは、その特定の是正者に関連する是正データを表示するカスタムフォームを選択できます。カスタムフォームを割り当てるには、ユーザーフォームの「コンプライアンス」タブを選択します。

---

完了したリクエストの表示

完了した是正リクエストを表示するには、「自分の作業項目」タブをクリックし、次に「履歴」タブをクリックします。以前に是正した作業項目のリストが表示されます。

AuditLog レポートで生成される結果テーブルには、是正リクエストごとに次の情報が表示されます。

• 「タイムスタンプ」。リクエストが是正された日時

• 「主体」。リクエストを処理した是正者の名前

• 「アクション」。是正者がリクエストを受け入れたか、是正したか

• 「タイプ」。ComplianceViolation または User Entitlement

• 「オブジェクト名」。違反した監査ポリシーの名前

• 「リソース」。是正者のアカウント ID (または「なし」)

• 「ID」。ポリシー違反に関連するアカウント ID

• 「結果」。常に Success

テーブルのタイムスタンプをクリックすると、「監査イベントの詳細」ページが開きます。

この情報には、是正または受け入れに関する情報、イベントパラメータ (該当する場合)、監査可能属性などが含まれます。

テーブルの更新

「是正」テーブルに表示された情報を更新するには、「更新」をクリックします。新しい是正リクエストがあれば、「是正」ページのテーブルが更新されます。

ポリシー違反の優先度の設定

ポリシー違反に優先度、重要度、またはその両方を割り当てて、ポリシー違反の優先度を設定することができます。「是正」ページから違反の優先度を設定します。

違反の優先度または重要度を編集する

1. リスト内の 1 つ以上の違反を選択します。

2. 「優先度の設定」をクリックします。

   「ポリシー違反の優先度設定」ページが表示されます。

3. オプションの作業として違反の重要度を設定します。選択項目は、「なし」、「低」、「中」、「高」、「クリティカル」です。

4. オプションの作業として違反の優先度を設定します。選択項目は、「なし」、「低」、「中」、「高」、「緊急」です。

5. 選択が完了したら、「OK」をクリックします。是正のリストに戻ります。

   ---

   注 –

   重要度と優先度の値は、タイプ CV (コンプライアンス違反) の是正項目にのみ設定できます。

   ---

ポリシー違反の受け入れ

「是正」ページまたは「ポリシー違反のレビュー」ページで、ポリシー違反を受け入れることができます。

「是正」ページでの操作

「是正」ページで保留中のポリシー違反を受け入れる

1. テーブルの行を選択して、受け入れるリクエストを指定します。

   • 1 つまたは複数のリクエストを受け入れ対象に指定するには、それぞれのオプションを有効にします。

   • テーブルに一覧表示されたすべてのリクエストを受け入れるには、テーブルヘッダーのオプションを有効にします。

   Identity Manager では、受け入れアクションを説明するコメントは 1 セットしか入力できません。関連する違反であるためコメントが 1 つで十分な場合を除いては、一括受け入れを実行しないでください。

   受け入れ可能なリクエストは、コンプライアンス違反を含むリクエストのみです。ほかの是正リクエストは受け入れることができません。

2. 「受け入れる」をクリックします。

   次のような「ポリシー違反を受け入れる」ページ (または「複数のポリシー違反を受け入れる」ページ) が表示されます。

   図 15–3 「ポリシー違反を受け入れる」ページ

   
   

3. 「説明」フィールドに、受け入れに関するコメントを入力します。(必須)

   コメントは、このアクションの監査証跡として利用されるので、ひととおりの有用な情報を入力する必要があります。たとえば、ポリシー違反を受け入れる理由、日付、免除期間の選択理由などを説明します。

4. 免除の有効期限を指定します。「有効期限」フィールドに日付 (YYYY-MM-DD 形式) を直接入力するか、日付のボタンをクリックしてカレンダから日付を選択します。

   ---

   注 –

   日付を入力しない場合、免除期間は無期限となります。

   ---

5. 「OK」をクリックして変更を保存し、「是正」ページに戻ります。

ポリシー違反の是正

1 つ以上のポリシー違反を是正する

1. テーブル内のチェックボックスを使用して、是正するリクエストを指定します。

   • 1 つまたは複数のリクエストを是正対象に指定するには、それぞれのチェックボックスを有効にします。

   • テーブルに一覧表示されたすべてのリクエストを是正するには、テーブルヘッダーのチェックボックスを有効にします。

     複数のリクエストを選択した場合、Identity Manager では、是正アクションを説明するコメントは 1 セットしか入力できません。関連する違反であるためコメントが 1 つで十分な場合を除いては、一括是正を実行しないでください。

2. 「是正」をクリックします。

3. 「ポリシー違反の是正」ページ (または「複数のポリシー違反の是正」ページ) が表示されます。

4. 「コメント」フィールドに、是正に関するコメントを入力します。

5. 「OK」をクリックして変更を保存し、「是正」ページに戻ります。

   ---

   注 –

   ユーザーに直接割り当てられている (ユーザーアカウントや組織の割り当てによって割り当てられている) 監査ポリシーは、そのユーザーの違反の是正時に常に再評価されます。

   ---

是正リクエストの転送

1 つ以上の是正リクエストをほかの是正者に転送できます。

是正リクエストを転送する

1. テーブル内のチェックボックスを使用して、転送するリクエストを指定します。

   • テーブルに一覧表示されたすべてのリクエストを転送するには、テーブルヘッダーのチェックボックスを有効にします。

   • 1 つまたは複数のリクエストを転送するには、それぞれのチェックボックスを有効にします。

2. 「転送」をクリックします。

   「転送先の選択と確認」ページが表示されます。

   図 15–4 「転送先の選択と確認」ページ

   
   

3. 「転送先」フィールドに是正者の名前を入力して、「OK」をクリックします。または、「...」ボタンをクリックして、是正者の名前を検索します。検索リストから名前を選択し、「設定」をクリックして、「転送先」フィールドにその名前を入力します。「閉じる」をクリックして、検索領域を閉じます。

   「是正」ページが再表示され、テーブルの「是正者」列に新しい是正者の名前が表示されます。

是正作業項目のユーザーの編集

適切なユーザー編集機能を持つ場合、関連付けられたエンタイトルメント履歴に説明されているとおり、是正作業項目から、ユーザーを編集して問題を是正できます。

ユーザーを編集するには、「是正リクエストのレビュー」ページから、「ユーザーの編集」をクリックします。表示される「ユーザーの編集」ページには、次の項目が表示されます。

• この作業項目について、ユーザーに関連付けられているエンタイトルメント履歴

• ユーザーの属性

  ここに表示されるオプションは、「アカウント」領域から使用できる「ユーザーの編集」フォームのオプションと同じです。

ユーザーを変更したら、「保存」をクリックします。

---

注 –

ユーザーを編集し、保存すると、ユーザーの更新ワークフローが実行されます。このワークフローに承認プロセスが含まれている場合があるため、ユーザーアカウントを変更し、保存してもしばらくの間、有効にならない可能性があります。監査ポリシーで再スキャンが許可されており、ユーザーの更新ワークフローが完了していない場合、後続のポリシースキャンで同じ違反が検出されることがあります。

---

定期的アクセスレビューとアテステーション

Identity Manager では、アクセスレビューを実行するプロセスによって、マネージャーなどの責任者がユーザーアクセス特権のレビューと検証を行うことができます。このプロセスは、時間の経過とともに蓄積されたユーザー特権を識別および管理し、米国企業改革 (SOX) 法、GLBA、および米国で義務付けられているその他の規制に対するコンプライアンスを維持するのに役立ちます。

アクセスレビューは、必要なときに実行したり、定期的に実行するようにスケジュールすることができます。四半期ごとなど、アクセスレビューを定期的に実行することで、ユーザーの特権を正しいレベルに維持することができます。アクセスレビューにオプションの作業として監査ポリシースキャンを含めることもできます。

定期的アクセスレビューについて

定期的アクセスレビューは、一連の従業員が特定の時点で適切なリソースに対する適切な特権を持っていることをアテストする定期的プロセスです。

定期的アクセスレビューでは次のアクティビティーを行います。

• アクセスレビュースキャン。このスキャンでは、「ユーザーエンタイトルメント」について規則ベースの評価を実行し、アテステーションが必要かどうかを判定します。

• アテステーション。ユーザーエンタイトルメントを承認または拒否することによって、アテステーションリクエストに応答するプロセスです。

「ユーザーエンタイトルメント」は、特定のリソースセットについての、ユーザーのアカウントの詳細なレコードです。

アクセスレビュースキャン

定期的アクセスレビューを開始するには、まず、1 つ以上のアクセススキャンを定義する必要があります。

アクセススキャンには、スキャン対象のユーザー、スキャンに含めるリソース、スキャンで評価するオプションの監査ポリシー、および手動でアテストするエンタイトルメントレコードを決定する規則とその実行者を定義します。

アクセスレビューのワークフロープロセス

一般的に、Identity Manager のアクセスレビューワークフローは次のようになります。

• ユーザーのリストを作成し、各ユーザーのアカウント情報を取得し、オプションの監査ポリシーを評価する

• ユーザーエンタイトルメントレコードを作成する

• 各ユーザーエンタイトルメントレコードについて、アテステーションが必要かどうかを判断する

• 作業項目を各アテスターに割り当てる

• すべてのアテスターによる承認または最初の拒否を待つ

• 指定された時間内にリクエストへの応答を受け取らなかった場合は、次のアテスターにエスカレーションする

• 解決したユーザーエンタイトルメントレコードを更新する

是正機能の詳細については、「アクセスレビュー是正」を参照してください。

必要な管理者機能

定期的アクセスレビューを実行してレビュープロセスを管理するユーザーは、「Auditor Periodic Access Review Administrator」機能を持っている必要があります。「アクセススキャン監査管理者」機能を持つユーザーは、アクセススキャンの作成と管理を行うことができます。

これらの機能を割り当てるには、ユーザーアカウントを編集してセキュリティー属性を変更します。これらの機能およびその他の機能については、第 6 章管理の 「機能とその管理について」を参照してください。

アテステーションプロセス

アテステーションは、特定の日付に存在しているユーザーエンタイトルメントを確認するために、1 人以上の指定されたアテスターが実行するアテステーションプロセスです。アクセスレビュー中に、アテスターは電子メール通知によってアクセスレビューアテステーションリクエストの通知を受け取ります。アテスターは、Identity Manager ユーザーである必要がありますが、Identity Manager 管理者である必要はありません。

アテステーションワークフロー

Identity Manager は、レビューを必要とするエンタイトルメントレコードがアクセススキャンで検出されたときに起動される、アテステーションワークフローを使用します。アクセススキャンは、アクセススキャンで定義された規則に基づいてこの判断を行います。

アクセススキャンで評価される規則によって、ユーザーエンタイトルメントレコードを手動でアテストする必要があるか、あるいは自動的に承認または拒否できるか決まります。ユーザーエンタイトルメントレコードを手動でアテストする必要がある場合は、2 番目の規則を使用して適切なアテスターが決定されます。

手動でアテストする各ユーザーエンタイトルメントレコードは、1 人のアテスターにつき 1 つの作業項目でワークフローに割り当てられます。これらの作業項目のアテスターへの通知を、アテスターごと、スキャンごとに項目を 1 つの通知にまとめる ScanNotification ワークフローを使用して送信できます。ScanNotification ワークフローが選択されていない場合は、ユーザーエンタイトルメントごとの通知になります。この場合、1 人のアテスターが同じスキャンで複数の通知を受け取ることになり、スキャンするユーザー数によっては多数の通知になる可能性があります。

アテステーションセキュリティーアクセス

これらの権限付与オプションは、authType AttestationWorkItem の作業項目用のものです。

• 作業項目の所有者

• 作業項目の所有者の直属または直属以外のマネージャー

• 作業項目の所有者が所属する組織を管理する管理者

• 認証チェックで検証済みのユーザー

デフォルトでは、権限付与チェックの動作は次のいずれかです。

• 所有者が、アクションを実行しようとしているユーザー自身である

• 所有者が、アクションを実行しようとしているユーザーが管理する組織に所属している

• 所有者が、アクションを実行しようとしているユーザーの部下である

2 番目および 3 番目のチェックを別個に設定するには、次のフォームプロパティーを変更します。

• controlOrg — 有効な値は true または false。

• subordinate — 有効な値は true または false。

• lastLevel — 結果に含める最後の従属レベル。-1 はすべてのレベルを意味します。

lastLevel の整数値は、デフォルトでは -1 に設定されます。これは、直属の部下と直属以外の部下を含むことを意味します。

これらのオプションは、次のように追加または変更できます。

UserForm: AccessApprovalList

---

注 –

組織管理にアテステーションのセキュリティーを設定する場合 (controlOrg が true)、ほかのユーザーが所有しているアテステーションを変更するには Auditor Attestor 機能も必要です。

---

委任されたアテステーション

デフォルトの動作として、アクセススキャンワークフローは、アクセスレビューアテステーション作業項目およびアクセスレビュー是正作業項目に対して、アテステーション作業項目およびその通知用にユーザーが作成した委任設定に従います。しかし、アクセススキャンの管理者が、「委任に従う」オプションを選択解除して委任設定を無視する場合があります。アテスターがすべての作業項目を別のユーザーに委任している場合でも、アクセスレビュースキャンで「委任に従う」オプションが設定されていなければ、委任を割り当てたユーザーではなく、そのアテスターがアテステーションリクエスト通知と作業項目を受け取ることになります。

定期的アクセスレビューの計画

アクセスレビューは、どの企業でも多くの労働力と時間を要するプロセスです。Identity Manager の定期的アクセスレビュープロセスを使用すると、プロセスの多くの部分が自動化されるため、必要なコストと時間を最小限にできます。ただし、それでも時間のかかるプロセスがいくつかあります。たとえば、いくつもの場所から多数のユーザーのユーザーアカウントデータを取得するプロセスには、かなりの時間を要する場合があります。レコードを手動でアテストする作業も、時間がかかる場合があります。適切な計画を行えば、プロセスの効率を高め、必要な手間を大幅に減らすことができます。

定期的アクセスレビューの計画では、次のことを考慮する必要があります。

• スキャン時間は、ユーザー数および関連するリソースの数によって大きく異なる場合があります。

  大規模な組織で 1 回の定期的アクセスレビューを行う場合、スキャンに 1 日以上かかることがあり、手動アテステーションを完了するのに 1 週間以上かかることもあります。

  たとえば、50,000 人のユーザーと 10 のリソースを持つ組織では、次の計算によると、アクセススキャンの完了にほぼ 1 日かかる可能性があります。

  1 秒/リソース * 50000 ユーザー * 10 リソース / 5 同時スレッド = 28 時間

  リソースが各地域に散在している場合は、ネットワークの待ち時間が処理時間に加わることがあります。

• 複数の Identity Manager サーバーを使用して並行処理を行うと、アクセスレビュープロセスを高速化できます。

  各スキャンでリソースが共通していない場合は、並列スキャンの実行がもっとも効果的です。アクセスレビューを定義するときに、複数のスキャンを作成し、リソースを特定のリソースセットに制限して、スキャンごとに異なるリソースを使用するようにします。そして、タスクの起動時に、複数のスキャンを選択し、ただちに実行するようにスケジュールします。

• アテステーションワークフローと規則をカスタマイズすることにより、管理を強化して効率を向上させることができます。

  たとえば、アテスター規則を、複数のアテスターにアテステーション作業を分散させるようにカスタマイズします。そうすれば、アテステーションプロセスで、その規則に従って作業項目が割り当てられ通知が送信されます。

• アテスターエスカレーション規則を使用すると、アテステーションリクエストに対する応答時間を短くできます。

  デフォルトのエスカレーションアテスター規則を設定するか、またはカスタマイズした規則を使用して、アテスターのエスカレーションチェーンを設定します。エスカレーションタイムアウト値も指定します。

• レビュー決定規則の使用方法を理解し、手動レビューが必要なエンタイトルメントレコードの判別を自動化することで時間を節約します。

• スキャンレベルの通知ワークフローを指定して、スキャンごとにアテステーションリクエストの通知をまとめます。

スキャンタスクのチューニング

スキャンプロセス時に、複数のスレッドがユーザーのビューにアクセスし、ユーザーがアカウントを持つリソースにアクセスする可能性があります。ビューへのアクセス後、複数の監査ポリシーと規則が評価され、コンプライアンス違反が生成されることがあります。

2 つのスレッドが同じユーザービューを同時に更新することを避けるため、プロセスはユーザー名にメモリー内ロックを設定します。このロックがデフォルトで 5 秒以内に設定できない場合、スキャンタスクにエラーが書き込まれ、ユーザーはスキップされるため、同じユーザーセットを処理する同時スキャンが防止されます。

スキャンタスクへのタスク引数として提供される、いくつかの「チューニング可能パラメータ」の値を編集できます。

• clearUserLocks (ブール型)。true の場合、スキャンの開始前に、現在のすべてのユーザーロックが解除されます。

• userLock (整数)。ユーザーをロックする際の待ち時間 (ミリ秒単位)。デフォルト値は 5 秒です。負の値を設定すると、スキャン中にユーザーのロックは行いません。

• scanDelay (整数)。スキャンスレッドのディスパッチ間にスリープする時間 (ミリ秒単位)。デフォルト値は 0 (遅延なし) です。この引数の値を指定すると、スキャンは遅くなりますが、システムのほかの操作の応答が速くなります。

• maxThreads (整数)。スキャンの処理に使用する同時スレッド数。デフォルト値は、5 です。リソースの応答が極めて遅い場合は、この数値を大きくすると、スキャンのスループットが向上する可能性があります。

これらのパラメータの値を変更するには、対応する「タスク定義」フォームを編集します。詳細については、『Sun Identity Manager Deployment Reference』の第 2 章「Identity Manager Forms」を参照してください。

アクセススキャンの作成

アクセスレビュースキャンを定義する

1. 「コンプライアンス」、「アクセススキャンの管理」の順に選択します。

2. 「新規」をクリックして、「新規アクセススキャンの作成」ページを表示します。

3. アクセススキャンに名前を割り当てます。

   ---

   注 –

   アクセススキャンの名前には、次の文字を使用できません。

   ’ (アポストロフィ)、. (ピリオド)、| (パイプ)、[ (左角括弧)、] (右角括弧)、, (コンマ)、: (コロン)、$ (ドル記号)、“ (二重引用符)、\ (バックスラッシュ)、= (等号)

   また、_ (下線)、% (パーセント記号)、^ (キャレット)、および * (アスタリススク) の使用も避けてください。

   ---

4. スキャンを識別する説明を追加します (省略可能)。

5. 「動的エンタイトルメント」オプションを有効にして、アテスターに追加のオプションを与えます。

   次のオプションがあります。

   • 保留中のアテステーションをすぐに再スキャンして、エンタイトルメントデータを更新し、アテステーションの必要性を再評価できます。

   • 保留中のアテステーションを別のユーザーに転送して是正を依頼できます。是正後、エンタイトルメントデータは更新および再評価され、アテステーションの必要性が決定されます。

6. 「ユーザー範囲タイプ」を指定します (必須)。

   次のオプションから選択します。

   • 「 属性条件規則に従う」。選択したユーザー範囲規則に従って、ユーザーをスキャンします。

     Identity Manager では、次のデフォルトの規則を使用できます。

     • 「All Administrators」

       ---

       注 –

       ユーザーの範囲を指定する規則を追加するには、Identity Manager IDE を使用します。Identity Manager IDE の詳細については、https://identitymanageride.dev.java.net/ を参照してください。

       ---

     • All My Reports

     • 「All Non-Administrators」

     • My Direct Reports

     • 「Users without a Manager」

   • 「リソースに割り当て」。選択した 1 つ以上のリソースにアカウントを持つすべてのユーザーをスキャンします。このオプションを選択した場合、ページにユーザー範囲リソースが表示され、リソースを指定できます。

   • 「特定のロールに従う」。指定したロールを、少なくとも 1 つ持つメンバー、またはすべて持つメンバーをスキャンします。

   • 「組織のメンバー」。選択した 1 つ以上の組織のすべてのメンバーをスキャンする場合は、このオプションを選択します。

   • 「特定のマネージャーの部下」。選択したマネージャーに報告しているすべてのユーザーをスキャンします。マネージャーの階層は、ユーザーの Lighthouse アカウントの Identity Manager 属性によって決まります。

     ユーザー範囲タイプが「組織のメンバー」または「特定のマネージャーの部下」の場合は、「範囲を再帰的に計算?」オプションを使用できます。このオプションを使用すると、管理する一連のメンバーを通して再帰的にユーザー選択が行われるようにできます。

7. アクセスレビュースキャンで監査ポリシーもスキャンして違反を検出する場合は、このスキャンに適用する監査ポリシーを「利用可能な監査ポリシー」リストから選択し、「現在の監査ポリシー」リストに移動させます。

   アクセススキャンに監査ポリシーを追加した場合の動作は、同じユーザーセットに対して監査スキャンを実行するのと同じ結果になります。ただし、それに加えて、監査ポリシーによって検出された違反がユーザーエンタイトルメントレコードに格納されます。この情報により、ユーザーエンタイトルメントレコード内に違反が存在するかどうかを規則のロジックの一部として使用できるので、自動承認または自動拒否が容易になります。

8. 前の手順でスキャンする監査ポリシーを選択した場合は、「ポリシーモード」オプションを使用して、アクセススキャンされる各ユーザーに対してどの監査ポリシーを実行するかを指定することができます。ユーザーレベルまたは組織レベル、あるいはその両方でユーザーにポリシーを割り当てることができます。デフォルトのアクセススキャンでは、ユーザーにまだポリシーが割り当てられていない場合にのみ、アクセススキャンで指定されたポリシーが適用されます。

   1. 選択されたポリシーを適用し、それ以外の割り当ては無視する

   2. ユーザーにまだ割り当てられていない場合にのみ、選択されたポリシーを適用する

   3. ユーザーの割り当てに加えて、選択されたポリシーを適用する

9. (省略可能)「レビュープロセスの所有者」を指定します。定義しているアクセスレビュータスクの所有者を指定する場合は、このオプションを使用します。レビュープロセスの所有者を指定すると、アテステーションリクエストへの応答で競合が起こる可能性があるアテスターは、ユーザーエンタイトルメントを承認または却下する代わりに「拒否」できます。 その場合、アテステーションリクエストはレビュープロセスの所有者に転送されます。選択 (省略記号) ボックスをクリックして、ユーザーアカウントを検索し、選択を行います。

10. 「委任に従う」。アクセススキャンの委任を有効にする場合は、このオプションを選択します。このオプションを選択した場合、アクセススキャンでは委任設定のみが遵守されます。「委任に従う」は、デフォルトで有効になっています。

11. 「ターゲットリソースを制限」。スキャンをターゲットのリソースだけに制限する場合は、このオプションを選択します。

    この設定は、アクセススキャンの効率に直接関係します。ターゲットリソースを制限しない場合、各ユーザーエンタイトルメントレコードには、そのユーザーが関連付けられているすべてのリソースのアカウント情報が含まれます。つまり、そのスキャンでは、各ユーザーに割り当てられたすべてのリソースが問い合わせを受けます。このオプションを使用してリソースのサブセットを指定すると、Identity Manager がユーザーエンタイトルメントレコードを作成するために必要な処理時間を大幅に減らすことができます。

12. 「違反の是正を実行する」。違反が検出されたときに監査ポリシーの是正ワークフローを有効にする場合は、このオプションを選択します。

    このオプションを選択すると、割り当てられた監査ポリシーのいずれかに対する違反が検出されると、その監査ポリシーの是正ワークフローが実行されます。

    特別に必要な場合を除いて、このオプションは選択しないようにしてください。

13. 「アクセス承認ワークフロー」。デフォルトの Standard Attestation ワークフローを選択するか、またはカスタマイズしたワークフロー (使用可能な場合) を選択します。

    このワークフローは、レビュー用のユーザーエンタイトルメントレコードを適切なアテスター (アテスター規則によって決まる) に提示するために使用されます。デフォルトの Standard Attestation ワークフローでは、1 人のアテスターに対して 1 つの作業項目が作成されます。アクセススキャンにエスカレーションが指定されている場合、このワークフローでは、保留状態の時間が長すぎる作業項目のエスカレーションが行われます。ワークフローが指定されていない場合、ユーザーアテステーションは無期限に保留状態のままになります。

    .

    ---

    注 –

    この手順と次の手順で説明している Identity Auditor 規則の詳細については、『Sun Identity Manager Deployment Reference』の第 4 章「Working with Rules」を参照してください。

    ---

14. 「アテスター規則」。「Default Attestor」規則を選択するか、またはカスタマイズしたアテスター規則 (使用可能な場合) を選択します。

    アテスター規則は、ユーザーエンタイトルメントレコードを入力として受け取り、アテスター名のリストを返します。「委任に従う」が選択されている場合、アクセススキャンでは、元の名前リストにある各ユーザーが設定した委任情報に従って、名前リストが適切なユーザー名のリストに変換されます。Identity Manager ユーザーの委任がルーティングサイクルになった場合、その委任情報は破棄され、作業項目は最初のアテスターに配信されます。Default Attestor 規則では、エンタイトルメントレコードに示されたユーザーのマネージャー (idmManager) がアテスターとなり、そのユーザーの idmManager が null の場合は Configurator アカウントがアテスターとなります。マネージャーだけでなくリソースの所有者もアテステーションに携わる必要がある場合は、カスタム規則を使用する必要があります。

15. 「アテスターエスカレーション規則」。Default Escalation Attestor 規則を指定する場合、またはカスタマイズした規則 (使用可能な場合) を選択する場合は、このオプションを使用します。また、規則のエスカレーションタイムアウト値を指定することもできます。デフォルトのエスカレーションタイムアウト値は 0 日です。

    この規則は、エスカレーションタイムアウト時間が経過した作業項目のエスカレーションチェーンを指定します。Default Escalation Attestor 規則では、割り当てられたアテスターのマネージャー (idmManager) にエスカレーションされるか、または、アテスターの idmManager の値が null の場合は Configurator にエスカレーションされます。

    エスカレーションタイムアウト値は、分単位、時間単位、または日単位で指定できます。

    マニュアルには、アテスターエスカレーション規則に関する追加の情報が含まれています。

16. 「レビュー決定規則」(必須)。

    次のいずれかの規則を選択して、スキャンプロセスがエンタイトルメントレコードの処置を決定する方法を指定します。

    • 「Reject Changed Users」。同じアクセススキャン定義による最後のユーザーエンタイトルメントと異なっていて、最後のユーザーエンタイトルメントが承認されているユーザーエンタイトルメントレコードを自動的に拒否します。これを選択しない場合は、以前に承認されたユーザーエンタイトルメントから変更されたすべてのユーザーエンタイトルメントを手動でアテステーションおよび承認する必要があります。デフォルトでは、この規則に対して、ユーザービューの「アカウント」部分のみが比較されます。

    • 「Review Changed Users」。同じアクセススキャン定義による最後のユーザーエンタイトルメントと異なっていて、最後のユーザーエンタイトルメントが承認されているすべてのユーザーエンタイトルメントレコードの手動アテステーションを強制します。以前に承認されたユーザーエンタイトルメントから変更されていないユーザーエンタイトルメントはすべて承認します。デフォルトでは、この規則に対して、ユーザービューの「アカウント」部分のみが比較されます。

    • 「Review Everyone」。すべてのユーザーエンタイトルメントレコードの手動アテステーションを強制します。

    「Reject Changed Users」規則と「Review Changed Users」規則では、ユーザーエンタイトルメントを、そのエンタイトルメントレコードが承認されたアクセススキャンの最後のインスタンスと比較します。

    この動作を変更するには、規則をコピーし、ユーザーデータの特定の部分のみを比較するように修正します。

    この規則は次の値を返します。

    • -1。アテステーションの必要なし

    • 0。アテステーションを自動的に却下

    • 1。手動アテステーションが必要

    • 2。アテステーションを自動的に承認

    • 3。アテステーションを自動的に是正する (自動是正)

      マニュアルには、レビュー決定規則に関する追加の情報が含まれています。

17. 「是正者規則」。自動是正の場合に、特定のユーザーのエンタイトルメントを誰が是正すべきかを決定するために使用する規則を選択します。この規則により、ユーザーの現在のユーザーエンタイトルメントと違反を調査できます。規則は是正すべきユーザーのリストを返す必要があります。規則を指定しない場合、是正は行われません。この規則は一般的に、エンタイトルメントにコンプライアンス違反がある場合に使用します。

18. 「是正ユーザーフォーム規則」。ユーザーの編集時に、アテステーション是正者に適切なフォームを選択する場合に使用する規則を選択します。是正者は独自のフォームを設定でき、このフォームより優先されます。このフォーム規則は、スキャンでカスタムフォームに一致する厳密に限定されたデータを収集する場合に設定します。

19. 「通知ワークフロー」。

    作業項目ごとに通知動作を指定する場合は、次のオプションのいずれかを選択します。

    • 「なし」。デフォルトの選択です。これを選択すると、アテスターは、アテステーションの必要があるユーザーエンタイトルメントごとに電子メール通知を受け取ります。

    • 「ScanNotification」。これを選択すると、アテステーションリクエストが 1 つの通知にまとめられます。通知には、その受信者に何件のアテステーションリクエストが割り当てられたかが示されます。

      アクセススキャンで「レビュープロセスの所有者」が指定されている場合、ScanNotification ワークフローでは、スキャンの開始時と終了時に、レビュープロセスの所有者にも通知が送信されます。「アクセススキャンの作成」を参照してください。

      ScanNotification ワークフローでは、次の電子メールテンプレートを使用します。

      • Access Scan Begin Notice

      • Access Scan End Notice

      • Bulk Attestation Notice

        ScanNotification ワークフローはカスタマイズできます。

20. 「違反の最大値」。このオプションを使用すると、コンプライアンス違反の数がここで設定した数値に達した時点で、スキャンを強制終了します。デフォルトの制限は 1000 です。フィールドを空にした場合は、制限なしを表します。

    通常、監査スキャンまたはアクセススキャンでは、ポリシー違反の数はユーザー数に比べると少ないですが、この値を設定すると、欠陥のあるポリシーによって違反数が大幅に増えた場合の保護対策になります。たとえば、次のようなシナリオを考えてみます。

    50,000 ユーザーのアクセススキャンで、ユーザーあたり 2 潤ｵ 3 個の違反が発生すると、各コンプライアンス違反の是正にかかるコストは Identity Manager システムに有害な影響を及ぼす可能性があります。

21. 「組織」。このアクセススキャンオブジェクトで使用可能な組織を選択します。これは必須フィールドです。

    「保存」をクリックしてスキャン定義を保存します。

アクセススキャンの削除

1 つ以上のアクセススキャンを削除できます。アクセススキャンを削除するには、「コンプライアンス」タブで「アクセススキャンの管理」を選択し、スキャンの名前を選択して「削除」をクリックします。

アクセスレビューの管理

アクセススキャンを定義したあと、そのスキャンをアクセスレビューの一部として使用またはスケジュールすることができます。アクセスレビューの開始後、いくつかのオプションを使用してレビュープロセスを管理できます。

詳細については、次のセクションを参照してください。

• 「アクセスレビューの起動」

• 「アクセスレビュータスクのスケジュール」

• 「アクセスレビューの進行状況の管理」

• 「スキャン属性の変更」

• 「アクセスレビューのキャンセル」

• 「アクセスレビューの削除」

アクセスレビューの起動

管理者インタフェースからアクセスレビューを起動するには、次のいずれかの方法を使用します。

• 「コンプライアンス」、「アクセスレビュー」の順に選択し、「アクセスレビュー」ページから「レビューの起動」をクリックします。

• 「サーバータスク」、「タスクの実行」の順に選択し、「タスクの実行」ページでアクセスレビュータスクを選択します。

表示された「タスクの起動」ページで、アクセスレビューの名前を指定します。「利用可能なアクセススキャン」リストでスキャンを選択し、「選択されたアクセススキャン」リストに移動させます。

複数のスキャンを選択した場合は、次のいずれかの起動オプションを選択できます。

• すぐに起動 。「起動」ボタンをクリックすると、ただちにスキャンの実行が開始されます。起動タスクで複数のスキャンに対してこのオプションを選択した場合は、各スキャンが並行して実行されます。

• 起動までの待機時間。アクセスレビュータスクを起動した時間を基準として、スキャンを起動するまでの待機時間を指定することができます。

---

注 –

1 つのアクセスレビューセッションで複数のスキャンを開始できます。ただし、各スキャンのユーザー数が多いと、スキャンプロセスの完了に長時間かかる可能性があることを考慮してください。それぞれの状況に応じた方法でスキャンを管理することをお勧めします。たとえば、1 つのスキャンをただちに実行し、その他のスキャンは時間をずらしてスケジュールすることもできます。

---

アクセスレビュープロセスを開始するには、「起動」をクリックします。

---

注 –

アクセスレビューに割り当てる名前は重要です。同じ名前で定期的に実行されたアクセスレビューを、いくつかのレポートで比較できます。

---

アクセスレビューを起動すると、プロセスの手順を示すワークフロープロセス図が表示されます。

アクセスレビュータスクのスケジュール

アクセスレビュータスクは、「サーバータスク」領域でスケジュールできます。たとえば、定期的にアクセスレビューを行う場合は、「スケジュールの管理」を選択し、スケジュールを定義します。毎月、または四半期ごとにタスクを実行するようにスケジュールできます。

スケジュールを定義するには、「タスクのスケジュール」ページでアクセスレビュータスクを選択し、タスクスケジュールの作成ページに情報を入力します。

「保存」をクリックして、スケジュールしたタスクを保存します。

---

注 –

Identity Manager では、アクセスレビュータスクの結果は、デフォルトで 1 週間保存されます。1 週間に 1 回よりも短い間隔でレビューをスケジュールする場合は、「結果オプション」を「削除」に設定します。「結果オプション」が「削除」に設定されていない場合は、前のタスク結果がまだ存在しているため新しいレビューは実行されません。

---

アクセスレビューの進行状況の管理

アクセスレビューの進行状況を監視するには、「アクセスレビュー」タブを使用します。この機能には「コンプライアンス」タブからアクセスします。

「アクセスレビュー」タブから、すべてのアクティブなアクセスレビューおよび以前に処理されたアクセスレビューの概要をレビューできます。一覧表示されるアクセスレビューごとに、次の情報が表示されます。

• 「ステータス」。レビュープロセスの現在のステータス。初期化中、終了中、終了、進行中のスキャンの数、スケジュールされているスキャンの数、アテステーションを待機中、完了のいずれかになります。

• 「起動日」。アクセスレビュータスクを開始する日付 (タイムスタンプ)。

• 「全ユーザー数」。スキャンされるユーザーの総数。

• 「エンタイトルメントの詳細」。テーブルの追加の列に、ステータス別のエンタイトルメントの総数を表示します。これには、保留中、承認済み、拒否済み、終了、是正済みのエンタイトルメントの詳細と、エンタイトルメント総数が含まれます。

  是正済みの列は、現在 REMEDIATING 状態のエンタイトルメント数が示されます。エンタイトルメントの是正後、PENDING 状態に移行するため、アクセスレビューの終了時、この列の値はゼロになります。

レビューの詳細情報を表示するには、そのレビューを選択して概要レポートを開きます。

図 15–5 に、アクセスレビュー概要レポートの例を示します。

図 15–5 「アクセスレビュー概要レポート」ページ

「組織 (Organization)」または「アテスター (Attestors)」フォームタブをクリックし、オブジェクト別に分類されたスキャン情報を表示します。

「アクセスレビュー概要レポート」を実行することにより、レポートのこの情報をレビューおよびダウンロードすることもできます。

スキャン属性の変更

アクセススキャンの設定後、スキャンを編集して新しいオプションを指定できます。 たとえば、スキャンするターゲットリソースの指定、アクセススキャンの実行中に違反をスキャンする監査ポリシーの指定などを行うことができます。

スキャン定義を編集するには、「アクセススキャン」リストから目的のスキャンを選択し、「アクセスレビュースキャンの編集」ページで属性を変更します。

スキャン定義の変更を保存するには、「保存」をクリックする必要があります。

---

注 –

アクセススキャンの範囲を変更すると、レビュー決定規則でユーザーエンタイトルメントを以前のユーザーエンタイトルメントレコードと比較している場合、その規則に影響する可能性があるため、新しく獲得されるユーザーエンタイトルメントレコードの情報が変わることがあります。

---

アクセスレビューのキャンセル

「アクセスレビュー」ページで「終了」をクリックすると、選択された進行中のレビューを停止します。

レビューを終了すると、次のアクションが発生します。

• スケジュールされたスキャンがすべてスケジュール解除される

• アクティブなスキャンがすべて停止される

• 保留中のすべてのワークフローと作業項目が削除される

• 保留中のすべてのアテステーションにキャンセルのマークが付けられる

• ユーザーが完了したすべてのアテステーションが変更されないままになる

アクセスレビューの削除

「アクセスレビュー」ページで「削除」をクリックして、選択されたレビューを削除します。

アクセスレビューのタスクのステータスが「TERMINATED」または「COMPLETED」の場合、そのアクセスレビューを削除できます。進行中のアクセスレビュータスクは、終了させなければ削除できません。

アクセスレビューを削除すると、そのレビューで生成されたすべてのユーザーエンタイトルメントレコードも削除されます。削除アクションは監査ログに記録されます。

アクセスレビューを削除するには、「アクセスレビュー」ページから、「削除」をクリックします。

---

注 –

アクセスレビューをキャンセルし、削除すると、大量の Identity Manager オブジェクトやタスクを更新する可能性があるため、完了するまでに数分かかることがあります。処理の進行状況は、「サーバータスク」、「すべてのタスク」の順に選択し、タスクの結果を表示して確認できます。

---

アテステーション作業の管理

アテステーションリクエストの管理は、Identity Manager の管理者インタフェースまたはユーザーインタフェースで行うことができます。この節では、アテステーションリクエストへの応答、およびアテステーションに必要な作業について説明します。

アクセスレビューの通知

スキャン中に、アテステーションリクエストの承認が必要になると、Identity Manager からアテスターに通知が送信されます。アテスターの役割が委任されている場合、そのリクエストは委任者に送信されます。複数のアテスターが定義されている場合は、それぞれのアテスターが電子メール通知を受け取ります。

Identity Manager インタフェースでは、リクエストは「アテステーション」作業項目として表示されます。保留中のアテステーション作業項目は、割り当てられたアテスターが Identity Manager にログインしたときに表示されます。

保留中のアテステーションリクエストの表示

インタフェースの「作業項目」領域からアテステーション作業項目を表示します。「作業項目」領域の「アテステーション」タブを選択すると、承認を必要としているすべてのエンタイトルメントレコードが一覧表示されます。「アテステーション」ページでは、すべての直属の部下のエンタイトルメントレコードや、直接または間接的に管理している特定のユーザーのエンタイトルメントレコードも表示できます。

エンタイトルメントレコードの操作

アテステーション作業項目には、レビューを必要とするユーザーエンタイトルメントレコードが含まれます。エンタイトルメントレコードは、ユーザーアクセス特権、割り当てられたリソース、およびポリシー違反に関する情報を提供します。

アテステーションリクエストに想定される応答を次に示します。

• 「承認」。エンタイトルメントレコードに記録された日付において適切なエンタイトルメントであることを認証します。

• 「拒否」。エンタイトルメントレコードに現時点では検証または是正できない矛盾がある可能性があることを示します。

• 「再スキャン」。再スキャンをリクエストし、ユーザーのエンタイトルメントを再評価します。

• 「転送」。別の受信者がレビューするように指定できます。

• 「拒否」。このレコードのアテステーションを適切に行えない場合、あるいは、より適切なアテスターがわからない場合にこのオプションを選びます。アテステーション作業項目は、レビュープロセスの所有者に転送されます。このオプションは、アクセスレビュータスクにレビュープロセスの所有者が定義されている場合にのみ使用できます。

指定されたエスカレーションタイムアウト時間までにアテスターがこれらのアクションのいずれかを実行することでリクエストに応答しなかった場合は、エスカレーションチェーン内の次のアテスターに通知が送信されます。通知プロセスは、応答がログに記録されるまで続行されます。

「コンプライアンス」、「アクセスレビュー」タブの順に選択し、アテステーションステータスを監視できます。

クローズループ是正

ユーザーエンタイトルメントを拒否する前に、次の手順を実行できます。

• 修正が必要なエンタイトルメントに対して、ほかのユーザーに修正をリクエストすること (是正のリクエスト) ができます。この場合、新しい是正作業項目が作成されるので、その作業項目に対して 1 人以上の是正者を割り当てます。

  新しい是正者は、Identity Manager を使用して、または別の方法でユーザーを編集し、違反している箇所を是正できた場合には作業項目を是正済みとしてマークします。その時点で、ユーザーエンタイトルメントは再スキャンされ、再評価されます。

• エンタイトルメントの再評価 (再スキャン) をリクエストします。この場合、ユーザーエンタイトルメントは再スキャンされ、評価し直されます。元のアテステーション作業項目はクローズされます。アクセススキャンに定義された規則によりエンタイトルメントにまだアテステーションが必要と判断された場合は、新しいアテステーション作業項目が作成されます。

是正のリクエスト

アクセススキャンで定義されている場合、保留中のアテステーションを別のユーザーに配信して是正してもらうことができます。

---

注 –

「アクセススキャンの作成」ページまたは「アクセススキャンの編集」ページの「動的エンタイトルメント」オプションで、この機能を有効にします。

---

別のユーザーからの是正をリクエストする

1. アテステーションのリストから 1 つ以上のエンタイトルメントを選択し、「是正のリクエスト」をクリックします。

   「是正のリクエストの選択と確認」ページが表示されます。

2. ユーザー名を入力して、「追加」をクリックし、そのユーザーを「転送先」フィールドに追加します。または、「...」ボタンをクリックして、ユーザーを検索します。検索リストのユーザーを選択して、「追加」をクリックし、そのユーザーを「転送先」リストに追加します。「閉じる」をクリックして、検索領域を閉じます。

3. 「コメント」フィールドにコメントを入力して、「続行」をクリックします。

   自動的にアテステーションのリストに戻ります。

   ---

   注 –

   各ユーザーエンタイトルメントの「履歴」領域に是正リクエストの詳細が表示されます。

   ---

アテステーションの再スキャン

アクセススキャンで定義されている場合、保留中のアテステーションを再スキャンし、再評価することができます。

---

注 –

「アクセススキャンの作成」ページまたは「アクセススキャンの編集」ページの「動的エンタイトルメント」オプションで、この機能を有効にします。

---

保留中のアテステーションを再スキャンする

1. アテステーションのリストから 1 つ以上のエンタイトルメントを選択し、「再スキャン」をクリックします。

   「ユーザーエンタイトルメントの再スキャン」ページが表示されます。

2. 「コメント」領域に再スキャンアクションに関するコメントを入力して、「続行」をクリックします。

アテステーション作業項目の転送

1 つ以上のアテステーション作業項目をほかのユーザーに転送できます。

アテステーションを転送する

1. アテステーションのリストから 1 つ以上の作業項目を選択し、「転送」をクリックします。

   「転送先の選択と確認」ページが表示されます。

2. ユーザー名を「転送先」フィールドに入力します。または、「...」ボタンをクリックしてユーザー名を検索します。

3. 転送アクションに関するコメントを「コメント」フィールドに入力します。

4. 「続行」をクリックします。

   自動的にアテステーションのリストに戻ります。

   ---

   注 –

   各ユーザーエンタイトルメントの「履歴」領域に転送アクションの詳細が表示されます。

   ---

アクセスレビューアクションのデジタル署名

アクセスレビューアクションを処理するデジタル署名を設定できます。デジタル署名の設定については、「承認の署名」を参照してください。署名付き承認のために証明書と CRL を Identity Manager に追加するために必要な、サーバー側とクライアント側の設定について説明しています。

アクセスレビューレポート

Identity Manager には、アクセスレビューの結果を評価するために使用できる、次のレポートが用意されています。

• アクセスレビュー範囲レポート。ユーザーエンタイトルメントのオーバーラップまたは相違、あるいはその両方を含むユーザーのリストが、レポートの定義に応じて、表形式で表示されます。このレポートには、どのアクセスレビューにオーバーラップや相違が含まれているかを示す追加の列が含まれる場合もあります。

• アクセスレビュー詳細レポート。このレポートには、次の情報が表形式で表示されます。

  • 「名前」。ユーザーエンタイトルメントレコードの名前

  • 「ステータス」。レビュープロセスの現在のステータス。初期化中、終了中、終了、進行中のスキャンの数、スケジュールされているスキャンの数、アテステーションを待機中、完了のいずれかになります。

  • 「アテスター」。そのレコードのアテスターとして割り当てられた Identity Manager ユーザー

  • 「スキャン日」。スキャンの実行が記録されたタイムスタンプ

  • 「処理日」。エンタイトルメントレコードがアテストされた日付 (タイムスタンプ)

  • 「組織」。エンタイトルメントレコード内のユーザーの組織

  • 「マネージャー」。スキャンされたユーザーのマネージャー

  • 「リソース」。このユーザーエンタイトルメントに取得された、ユーザーがアカウントを持つリソース

  • 「違反」。レビューで検出された違反の数

  • ユーザーエンタイトルメントレコードを開くには、レポートで名前をクリックします。「アクセスレビューレポート」に、ユーザーエンタイトルメントレコードビューに表示される情報の例を示します。

    

• アクセスレビュー概要レポート。

  このレポートは、「アクセスレビューの進行状況の管理」でも説明されています。また、図 15–5 に、このレポートを示しています。このレポートには、レポート用に選択したアクセススキャンに関する次の概要情報が表示されます。

  • 「レビュー名」。アクセススキャンの名前

  • 「日付」。レビューが起動された時のタイムスタンプ

  • 「User Count」。レビューでスキャンされたユーザー数

  • 「エンタイトルメント数」。生成されたエンタイトルメントレコードの数

  • 「承認済み」。承認されたエンタイトルメントレコードの数

  • 「却下済み」。拒否されたエンタイトルメントレコードの数

  • 「保留中」。保留中のエンタイトルメントレコードの数

  • 「却下済み」。取り消されたエンタイトルメントレコードの数

    これらのレポートは、「レポートの実行」ページから PDF (Portable Document Format) 形式または CSV (カンマ区切り値) 形式でダウンロードできます。

アクセスレビュー是正

コンプライアンス違反の是正と受け入れ、およびアクセスレビューの是正は、「作業項目」タブの「是正」領域から管理します。ただし、この 2 つの是正タイプには違いがあります。この節では、アクセスレビューの是正に固有の動作について説明し、「コンプライアンス違反の是正と受け入れ」で説明している是正タスクおよび情報との違いを示します。

アクセスレビュー是正について

アテスターがユーザーエンタイトルメントを是正するように要求する場合、Standard Attestation ワークフローによって、是正リクエストを作成します。 このリクエストは「是正者」によって処理される必要があります。

是正者とは、是正リクエストの評価と応答を許可されている、指定されたユーザーです。問題は是正のみ可能で、受け入れることはできません。

問題が解決されるまで、アテステーションを続行できません。 アクセスレビューによって是正者が指定された場合、アクセスレビューダッシュボードで、レビューにかかわるすべてのアテスターと是正者が追跡されます。

アクセスレビュー是正リクエストのエスカレーション

アクセスレビューの是正リクエストは、最初の是正者より上にエスカレーションされません。

是正ワークフローのプロセス

アクセスレビューの是正のロジックは、Standard Attestation ワークフローに定義します。

アテスターがユーザーエンタイトルメントの是正をリクエストした場合、Standard Attestation ワークフローは次のようになります。

• 是正が必要なユーザーエンタイトルメントに関する情報を含む是正リクエスト (accessReviewRemediation タイプ) を生成します。

• リクエストされた是正者に電子メールを送信します。

新しい是正者は、Identity Manager を使用して、または別の方法でユーザーを編集し、違反している箇所を是正できた場合には作業項目を是正済みとしてマークします。その時点で、ユーザーエンタイトルメントは再スキャンされ、再評価されます。

アクセスレビュー是正応答

デフォルトでは、アクセスレビュー是正者は次の 3 つの応答オプションから選択できます。

• 「是正」。是正者は、何らかの処理を行なって問題を修正したことを示します。

  ユーザーエンタイトルメントは再スキャンされ、再評価されます。ユーザーエンタイトルメントに是正が必要であると再度マークされると、そのユーザーエンタイトルメントが元のアテスターのアテステーション作業項目リストに再表示されます。

  各ユーザーエンタイトルメントの「履歴」領域に是正リクエストアクションの詳細が表示されます。

• 「転送」。是正者は、是正リクエストを解決するために別の人物に再割り当てします。

  各ユーザーエンタイトルメントの「履歴」領域に転送アクションの詳細が表示されます。

• 「ユーザー編集」。是正者は、問題を是正するためにユーザーを直接編集します。

  このボタンは、是正者がユーザーを変更する権限を持つ場合にのみ表示されます。ユーザーを変更し、「保存」をクリックすると、是正者は是正の確認ページに移動し、ユーザーの変更について説明するコメントを入力します。

  ユーザーエンタイトルメントは再スキャンされ、再評価されます。ユーザーエンタイトルメントに是正が必要であると再度マークされると、そのユーザーエンタイトルメントが元のアテスターのアテステーション作業項目リストに再表示されます。

  各ユーザーエンタイトルメントの「履歴」領域に是正リクエストアクションとして編集の詳細が表示されます。

「是正」ページ

アクセスレビュー是正作業項目であるすべての是正作業項目の「タイプ」列に、UE (ユーザーエンタイトルメント) と表示されます。

サポートされないアクセスレビュー是正アクション

アクセスレビュー是正では、優先度と受け入れ機能がサポートされません。