|
| |
| Sun™ Identity Manager 8.0 管理ガイド | |
第 15 章
監査: コンプライアンスの監視この章では、監査レビューの実施方法と、法規制へのコンプライアンスを管理する上で役立つ手法の実装方法を中心に説明します。
この章では、次の概念およびタスクについて説明します。
監査ポリシーのスキャンとレポートこの節では、監査ポリシースキャンについて、および監査スキャンの実行と管理の手順について説明します。
ユーザーおよび組織のスキャン
スキャンは、選択した監査ポリシーを個々のユーザーまたは組織に対して実行します。特定の違反についてユーザーまたは組織をスキャンしたり、ユーザーまたは組織に割り当てられていないポリシーを実行したりできます。インタフェースの「アカウント」領域からスキャンを起動します。
「アカウント」領域からユーザーアカウントまたは組織のスキャンを開始するには、次の手順に従います。
- 管理者インタフェースで、メインメニューから「アカウント」をクリックします。
- 「アカウント」リストで、次のいずれかの操作を行います。
- 1 人以上のユーザーを選択し、「ユーザーアクション」オプションリストから「スキャン」を選択します。
- 1 つ以上の組織を選択し、「組織アクション」オプションリストから「スキャン」を選択します。
タスクの起動ダイアログが表示されます。図 15-1 は、監査ポリシーユーザースキャンの「タスクの起動」ページの例です。
図 15-1 タスクの起動ダイアログ
- 「レポートタイトル」フィールドにスキャンのタイトルを指定します。このフィールドは必須です。任意で、「レポートの概要」フィールドにスキャンの説明を指定できます。
- 実行する監査ポリシーを 1 つ以上選択します。少なくとも 1 つのポリシーを選択する必要があります。
- 「ポリシーモード」を選択します。これにより、ポリシーが割り当てられているユーザーに対して、選択したポリシーをどのように適用するかが決まります。ここで、ユーザーに割り当てられているポリシーとは、ユーザーに直接割り当てられたポリシーと、ユーザーが所属している組織に割り当てられたポリシーの両方が該当します。
- オプションの作業として「違反を作成しない」オプションを選択します。このオプションを有効にすると、監査ポリシーが評価され、違反が報告されますが、コンプライアンス違反の作成または更新が行われないため、是正ワークフローも実行されません。ただし、スキャンによるタスク結果で、違反が発生したことが示されるため、監査ポリシーのテスト時にこのオプションが役立ちます。
- 監査ポリシーに割り当てられた是正ワークフローを実行する場合は、「是正ワークフローを実行しますか?」を選択します。監査ポリシーに是正ワークフローが定義されていない場合は、是正ワークフローは実行されません。
- 「違反数の最大値」の値を編集して、スキャンが強制終了する前にスキャンが発行できるコンプライアンス違反の最大数を設定します。この値は、チェックが厳しすぎる可能性のある監査ポリシーを実行する場合に、リスクを制限するための安全措置です。空の値は制限を設定しないことを意味します。
- レポートの受信者を指定する場合は、「レポート結果を送信」を選択します。また、Identity Manager が CSV (カンマ区切り値) 形式のレポートを格納したファイルを添付するように設定することもできます。
- デフォルトの PDF オプションに優先して適用する場合は、「デフォルトの PDF オプションを上書き」オプションを有効にします。
- 「起動」をクリックしてスキャンを開始します。
監査スキャンの結果のレポートを見るには、「監査レポート」を表示します。
監査レポートの操作
Identity Manager には、さまざまな監査レポートが用意されています。次の表で、それらのレポートについて説明します。
表 15-1 監査レポートの説明
監査レポートのタイプ
説明
アクセスレビュー範囲
選択したアクセスレビューによって示されたユーザーのオーバーラップと差異を表示します。ほとんどのアクセスレビューでは、ユーザークエリーまたは何らかのメンバーシップの操作によって、ユーザーの範囲が指定されるため、厳密なユーザーセットは時間の経過とともに変化すると予想されます。このレポートには、2 つの異なるアクセスレビューによって指定されたユーザー間 (操作でレビューが効率的に行われるかどうかを確認するため)、2 つの異なるアクセスレビューによって生成されたエンタイトルメント間 (時間の経過とともに範囲が変化するかどうかを確認できる)、またはユーザーとエンタイトルメント間 (レビューの対象とされているすべてのユーザーに対して、エンタイトルメントが生成されたかどうかを確認できる) のオーバーラップまたは差異、あるいはその両方を表示することができます。
アクセスレビュー詳細
すべてのユーザーエンタイトルメントレコードの現在のステータスが表示されます。このレポートは、ユーザーの組織、アクセスレビューとアクセスレビューインスタンス、エンタイトルメントレコードの状態、およびアテスターによってフィルタリングできます。
アクセスレビュー概要
すべてのアクセスレビューに関する概要情報が表示されます。一覧表示されたアクセスレビュースキャンごとに、スキャンしたユーザー、スキャンしたポリシー、およびアテステーションアクティビティーのステータスの概要が表示されます。
アクセススキャンユーザー範囲
選択されたスキャンを比較して、スキャン範囲に含まれるユーザーを判断します。オーバーラップ (すべてのスキャンに含まれるユーザー) または差異 (すべてのスキャンに含まれないが、複数のスキャンに含まれるユーザー) が表示されます。このレポートは、同一または異なるユーザーを範囲とする複数のアクセススキャンをスキャンのニーズに従って編成しようとする場合に便利です。
監査ポリシーの概要
各ポリシーの規則、是正者、ワークフローなど、すべての監査ポリシーの主要な要素の概要が表示されます。
監査属性
指定されたリソースアカウント属性の変更を示すすべての監査レコードが表示されます。
このレポートでは、格納されているすべての監査可能属性に関する監査データが調べられます。すべての拡張属性に基づいてデータが調べられます。拡張属性は、WorkflowServices または監査可能としてマークされたリソース属性から指定できます。このレポートの設定については、「監査された属性のレポートの設定」を参照してください。
監査ポリシー別違反履歴
指定された期間中に作成されたすべてのコンプライアンス違反がポリシー別にグラフ形式で表示されます。このレポートは、ポリシーでフィルタリングしたり、日、週、月、または四半期ごとにグループ化したりできます。
ユーザーアクセス
指定されたユーザーの監査レコードとユーザー属性が表示されます。
組織別違反履歴
一定期間中に作成されたすべてのコンプライアンス違反が組織別にグラフ形式で表示されます。組織でフィルタリングしたり、日、週、月、または四半期ごとにグループ化したりできます。
リソース別違反履歴
指定された期間中に作成されたすべてのコンプライアンス違反がリソース別にグラフ形式で表示されます。
職務分掌
競合テーブルに配置された職務分掌違反が表示されます。Web ベースインタフェースでは、リンクをクリックすると追加情報にアクセスできます。
このレポートは、組織でフィルタリングしたり、日、週、月、または四半期ごとにグループ化したりできます。
違反の概要
現在のコンプライアンス違反がすべて表示されます。このレポートは、是正者、リソース、規則、ユーザー、またはポリシーによってフィルタリングできます。
これらのレポートは、Identity Manager インタフェースの「レポート」タブから利用できます。
監査レポートの作成
レポートを実行するには、まず、レポートテンプレートを作成する必要があります。レポートでは、レポート結果を受け取る電子メール受信者など、さまざまな条件を指定できます。レポートテンプレートを作成して保存すると、「レポートの実行」ページからそのレポートを使用できるようになります。
図 15-2 に、定義済み監査レポートのリストが表示された「レポートの実行」ページの例を示します。
図 15-2 「レポートの実行」ページの選択項目
監査レポートを作成するには、次の手順に従います。
「レポートの定義」ページが表示されます。レポートダイアログに表示されるフィールドやレイアウトは、レポートのタイプによって異なります。レポートの条件の指定については、Identity Manager ヘルプを参照してください。
レポートの条件を入力および選択したら、次を実行できます。
「レポートの実行」ページからレポートを実行したあとは、「レポートの表示」タブで、ただちにまたはあとで出力を表示することができます。
- レポートのスケジュールについては、「レポートのスケジュール」を参照してください。
監査された属性のレポートの設定
監査された属性のレポート (表 15-1 を参照) は、Identity Manager のユーザーおよびアカウントに対する属性レベルの変更を報告できます。しかし標準の監査ログでは、完全なクエリー式をサポートするのに十分な監査ログデータが生成されません。
標準の監査ログでも、変更された属性が監査ログの acctAttrChanges フィールドに書き込まれます。しかしこの場合、レポートクエリーでは変更された属性の名前に基づいたレコードの照合のみが可能な方法で、変更された属性が書き込まれます。レポートクエリーでは、属性の値を正確に照合することができません。
次のパラメータを指定することで、lastname 属性に対する変更を含むレコードを照合するようにこのレポートを設定できます。
Attribute Name = 'acctAttrChanges'
Condition = 'contains'
Value = 'lastname'
特定の属性に特定の値を持つ監査レコードのみを収集することもできます。それを実行するには、「「監査」タブの設定」の節に示した手順に従います。「ワークフロー全体の監査」チェックボックスを選択し、「属性の追加」ボタンをクリックしてレポート対象として記録する属性を選択し、「保存」をクリックします。
次に、まだ有効になっていない場合は、タスクテンプレートの設定を有効にします。それを実行するには、「タスクテンプレートの有効化」の節に示した手順に従います。「選択したプロセスタイプ」リストのデフォルト値は変更せずに、「保存」をクリックするだけにしてください。
これでワークフローでは、属性の名前と値の両方の照合に適した監査レコードを提供できるようになりました。このレベルの監査を有効にするとより多くの情報を得られますが、パフォーマンスの負荷も非常に大きく、ワークフローの実行速度が低下することに注意してください。
コンプライアンス違反の是正と受け入れこの節では、Identity Manager の是正機能を使用して重要な資産を保護する方法について説明します。以下のトピックで、Identity Manager 是正プロセスの要素について説明します。
是正について
Identity Manager は、未解決の (受け入れられていない) 監査ポリシーコンプライアンス違反を検出すると、是正リクエストを作成します。このリクエストは「是正者」によって処理される必要があります。是正者とは、監査ポリシー違反の評価と応答を許可されている、指定されたユーザーです。
是正者のエスカレーション
Identity Manager では、3 レベルの是正者のエスカレーションを定義できます。是正リクエストは、まず、レベル 1 是正者に送信されます。タイムアウト時間が経過するまでにレベル 1 是正者が是正リクエストに応答しなかった場合、Identity Manager はその違反をレベル 2 是正者にエスカレーションし、新しいタイムアウト時間を開始します。タイムアウト時間が経過するまでにレベル 2 是正者が応答しなかった場合、そのリクエストはさらにレベル 3 是正者にエスカレーションされます。
是正を実行するには、そのシステムで少なくとも 1 人の是正者を指定する必要があります。任意設定ですが、各レベルに 2 人以上の是正者を指定することをお勧めします。複数の是正者を指定すると、ワークフローの遅延や停止を防ぐことができます。
是正セキュリティーアクセス
これらの権限付与オプションは、authType RemediationWorkItem の作業項目用のものです。
デフォルトでは、権限付与に関するチェックは次のようにして行い、いずれかの条件を満たす作業項目に対して、ユーザーに是正権限が付与されます。
2 番目および 3 番目のチェックを別個に設定するには、次のオプションを変更します。
これらのオプションは、次のファイルで追加または変更できます。
UserForm: Remediation List
是正ワークフローのプロセス
Identity Manager では、監査ポリシースキャンの是正処理を行う標準是正ワークフローが提供されます。
標準是正ワークフローでは、コンプライアンス違反に関する情報を含む是正リクエスト (レビュータイプの作業項目) が生成され、監査ポリシーで指定された各レベル 1 是正者に電子メール通知が送信されます。是正者が違反を受け入れると、ワークフローによって既存のコンプライアンス違反オブジェクトの状態が変更され、有効期限が割り当てられます。
コンプライアンス違反は、ユーザー、ポリシー名、および規則名の組み合わせによって一意に識別されます。監査ポリシーで true と評価されたときに、このユーザー/ポリシー/規則の組み合わせによる既存の違反が存在していなければ、その組み合わせによる新しいコンプライアンス違反が作成されます。その組み合わせでの違反が存在し、その違反が受け入れられた状態になっている場合は、ワークフロープロセスによる処理は行われません。既存の違反が受け入れられていない場合、その再発回数が加算されます。
是正ワークフローの詳細については、「監査ポリシーについて」を参照してください。
是正応答
デフォルトでは、各是正者は次の 3 つの応答オプションから選択できます。
是正の例
ユーザーが買掛金と売掛金の両方を担当できないようにする規則を設定した企業で、あるユーザーがこの規則に違反しているという通知を受け取ったとします。
是正電子メールテンプレート
Identity Manager には、「ポリシー違反通知」電子メールテンプレートが用意されています。これを利用するには、「設定」タブを選択し、次に「電子メールテンプレート」サブタブを選択します。このテンプレートを、保留中の違反を是正者に通知するように設定できます。詳細については、「電子メールテンプレートのカスタマイズ」を参照してください。
「是正」ページの操作
「是正」ページにアクセスするには、「作業項目」を選択し、「是正」タブを選択します。
このページでは、次の操作を行うことができます。
ポリシー違反の表示
「是正」ページでは、違反に対するアクションを実行する前に、違反に関する詳細を表示できます。
割り当てられている機能または Identity Manager 機能の階層の位置によっては、ほかの是正者の違反を表示してアクションを実行できる場合もあります。
以下のトピックは、違反の表示に関するものです。
保留中のリクエストの表示
デフォルトでは、割り当てられている保留中のリクエストは「是正」テーブルに表示されます。「右の者に対する是正リクエスト一覧」オプションを使用すると、別の是正者に対する保留中の是正リクエストを表示できます。
結果のテーブルには、リクエストごとに次の情報が表示されます。
完了したリクエストの表示
完了した是正リクエストを表示するには、「自分の作業項目」タブをクリックし、次に「履歴」タブをクリックします。以前に是正した作業項目のリストが表示されます。
結果のテーブル (AuditLog レポートで生成される) には、是正リクエストごとに次の情報が表示されます。
テーブルのタイムスタンプをクリックすると、「監査イベントの詳細」ページが開きます。
この情報には、是正または受け入れに関する情報、イベントパラメータ (該当する場合)、監査可能属性などが含まれます。
テーブルの更新
「是正」テーブルに表示された情報を更新するには、「更新」をクリックします。新しい是正リクエストがあれば、「是正」ページのテーブルが更新されます。
ポリシー違反の優先度の設定
ポリシー違反に優先度、重要度、またはその両方を割り当てて、ポリシー違反の優先度を設定することができます。「是正」ページから違反の優先度を設定します。
違反の優先度または重要度を編集するには、次の手順に従います。
ポリシー違反の受け入れ
「是正」ページまたは「ポリシー違反のレビュー」ページで、ポリシー違反を受け入れることができます。
「是正」ページでの操作
「是正」ページで保留中のポリシー違反を受け入れるには、次の手順に従います。
- テーブルの行を選択して、受け入れるリクエストを指定します。
- 「受け入れる」をクリックします。
次のような「ポリシー違反を受け入れる」ページ (または「複数のポリシー違反を受け入れる」ページ) が表示されます。
図 15-3 「ポリシー違反を受け入れる」ページ
- 「説明」フィールドに、受け入れに関するコメントを入力します。このフィールドは必須です。
コメントは、このアクションの監査証跡として利用されるので、ひととおりの有用な情報を入力する必要があります。たとえば、ポリシー違反を受け入れる理由、日付、免除期間の選択理由などを説明します。
- 免除の有効期限を指定します。「有効期限」フィールドに日付 (YYYY-MM-DD 形式) を直接入力するか、日付の
ボタンをクリックしてカレンダから日付を選択します。
- 「OK」をクリックして変更を保存し、「是正」ページに戻ります。
ポリシー違反の是正
1 つ以上のポリシー違反を是正するには、次の手順に従います。
是正リクエストの転送
1 つ以上の是正リクエストをほかの是正者に転送できます。
是正リクエストを転送するには、次の手順に従います。
「是正」ページが再表示され、テーブルの「是正者」列に新しい是正者の名前が表示されます。
是正作業項目のユーザーの編集
適切なユーザー編集機能を持つ場合、関連付けられたエンタイトルメント履歴に説明されているとおり、是正作業項目から、ユーザーを編集して問題を是正できます。
ユーザーを編集するには、「是正リクエストのレビュー」ページから、「ユーザーの編集」をクリックします。表示される「ユーザーの編集」ページには、次の項目が表示されます。
ユーザーを変更したら、「保存」をクリックします。
注
ユーザーを編集し、保存すると、ユーザーの更新ワークフローが実行されます。このワークフローに承認プロセスが含まれている場合があるため、ユーザーアカウントを変更し、保存してもしばらくの間、有効にならない可能性があります。監査ポリシーで再スキャンが許可されており、ユーザーの更新ワークフローが完了していない場合、後続のポリシースキャンで同じ違反が検出されることがあります。
定期的アクセスレビューとアテステーションIdentity Manager では、アクセスレビューを実行するプロセスによって、マネージャーなどの責任者がユーザーアクセス特権のレビューと検証を行うことができます。このプロセスは、時間の経過とともに蓄積されたユーザー特権を識別および管理し、米国企業改革 (SOX) 法、GLBA、および米国で義務付けられているその他の規制に対するコンプライアンスを維持するのに役立ちます。
アクセスレビューは、必要に応じて実行できます。また、四半期ごとなど、定期的に実行されるようにスケジュールすることもできます。定期的アクセスレビューを実行することで、正しいレベルのユーザー特権を維持できます。アクセスレビューにオプションの作業として監査ポリシースキャンを含めることもできます。
定期的アクセスレビューについて
定期的アクセスレビューは、一連の従業員が特定の時点で適切なリソースに対する適切な特権を持っていることをアテストする定期的プロセスです。
定期的アクセスレビューでは次のアクティビティーを行います。
「ユーザーエンタイトルメント」は、特定のリソースセットについての、ユーザーのアカウントの詳細なレコードです。
アクセスレビュースキャン
定期的アクセスレビューを開始するには、まず、1 つ以上のアクセススキャンを定義する必要があります。
アクセススキャンには、スキャン対象のユーザー、スキャンに含めるリソース、スキャンで評価するオプションの監査ポリシー、および手動でアテストするエンタイトルメントレコードを決定する規則とその実行者を定義します。
アクセスレビューのワークフロープロセス
一般に、Identity Manager のアクセスレビューワークフローは次のようになります。
是正機能については、「アクセスレビュー是正」を参照してください。
必要な管理者機能
定期的アクセスレビューを実行してレビュープロセスを管理するユーザーは、「Auditor Periodic Access Review Administrator」機能を持っている必要があります。「アクセススキャン監査管理者」機能を持つユーザーは、アクセススキャンの作成と管理を行うことができます。
これらの機能を割り当てるには、ユーザーアカウントを編集してセキュリティー属性を変更します。これらの機能およびその他の機能の詳細については、「機能とその管理について」を参照してください。
アテステーション
アテステーションは、特定の日付に存在しているユーザーエンタイトルメントを確認するために、1 人以上の指定されたアテスターが実行するアテステーションプロセスです。アクセスレビュー中に、アテスターは電子メール通知によってアクセスレビューアテステーションリクエストの通知を受け取ります。アテスターは、Identity Manager ユーザーである必要がありますが、Identity Manager 管理者である必要はありません。
アテステーションワークフロー
Identity Manager は、レビューを必要とするエンタイトルメントレコードがアクセススキャンで検出されたときに起動されるアテステーションワークフローを使用します。アクセススキャンは、アクセススキャンで定義された規則に基づいてこの判断を行います。
アクセススキャンで評価される規則によって、ユーザーエンタイトルメントレコードを手動でアテストする必要があるか、あるいは自動的に承認または拒否できるか決まります。ユーザーエンタイトルメントレコードを手動でアテストする必要がある場合は、2 番目の規則を使用して適切なアテスターが決定されます。
手動でアテストする各ユーザーエンタイトルメントレコードは、1 人のアテスターにつき 1 つの作業項目でワークフローに割り当てられます。これらの作業項目のアテスターへの通知を、アテスターごと、スキャンごとに項目を 1 つの通知にまとめる ScanNotification ワークフローを使用して送信できます。ScanNotification ワークフローが選択されていない場合は、ユーザーエンタイトルメントごとの通知になります。この場合、1 人のアテスターが同じスキャンで複数の通知を受け取ることになり、スキャンするユーザー数によっては多数の通知になる可能性があります。
アテステーションセキュリティーアクセス
これらの権限付与オプションは、authType AttestationWorkItem の作業項目用のものです。
デフォルトでは、権限付与に関するチェックは次のようにして行い、いずれかの条件を満たす作業項目に対して、ユーザーに是正権限が付与されます。
2 番目および 3 番目のチェックを別個に設定するには、次のフォームプロパティーを変更します。
lastLevel の整数値は、デフォルトでは -1 に設定され、これは直属の部下と直属ではない部下を含むことを意味します。
これらのオプションは、次のファイルで追加または変更できます。
UserForm: AccessApprovalList
.
注
アテステーションのセキュリティーが組織管理に設定されている場合 (controlOrg が true)、ほかのユーザーが所有しているアテステーションを変更するには Auditor Attestor 機能も必要です。
委任されたアテステーション
デフォルトの動作として、アクセススキャンワークフローは、アクセスレビューアテステーション作業項目およびアクセスレビュー是正作業項目に対して、アテステーション作業項目およびその通知用にユーザーが作成した委任設定に従います。しかし、アクセススキャンの管理者が、「委任に従う」オプションを選択解除して委任設定を無視する場合があります。アテスターがすべての作業項目を別のユーザーに委任している場合でも、アクセスレビュースキャンで「委任に従う」オプションが設定されていなければ、委任を割り当てたユーザーではなく、そのアテスターがアテステーションリクエスト通知と作業項目を受け取ることになります。
定期的アクセスレビューの計画
アクセスレビューは、どの企業でも多くの労働力と時間を要するプロセスです。Identity Manager の定期的アクセスレビュープロセスを使用すると、プロセスの多くの部分が自動化されるため、必要なコストと時間を最小限にできます。ただし、それでも時間のかかるプロセスがいくつかあります。たとえば、いくつもの場所から多数のユーザーのユーザーアカウントデータを取得するプロセスには、かなりの時間を要する場合があります。レコードを手動でアテストする作業も、時間がかかる場合があります。適切な計画を行えば、プロセスの効率を高め、必要な手間を大幅に減らすことができます。
定期的アクセスレビューの計画では、次のことを考慮する必要があります。
スキャンタスクのチューニング
スキャンプロセス時に、複数のスレッドがユーザーのビューにアクセスし、ユーザーがアカウントを持つリソースにアクセスする可能性があります。ビューへのアクセス後、複数の監査ポリシーと規則が評価され、コンプライアンス違反が生成されることがあります。
2 つのスレッドが同じユーザービューを同時に更新することを避けるため、プロセスはユーザー名にメモリー内ロックを設定します。このロックがデフォルトで 5 秒以内に設定できない場合、スキャンタスクにエラーが書き込まれ、ユーザーはスキップされるため、同じユーザーセットを処理する同時スキャンが防止されます。
スキャンタスクへのタスク引数として提供されるいくつかの「チューニング可能パラメータ」の値を編集できます。
- clearUserLocks (ブール型) - true の場合、スキャンの開始前に、現在のすべてのユーザーロックが解除されます。
- userLock (整数) - ユーザーをロックしようとして待つ時間 (ミリ秒)。デフォルト値は 5 秒です。負の値を設定すると、スキャン中にユーザーのロックは行いません。
- scanDelay (整数) - スキャンスレッドのディスパッチ間でスリープする時間 (ミリ秒)。デフォルト値は 0 (遅延なし) です。この引数の値を指定すると、スキャンは遅くなりますが、システムのほかの操作の応答が速くなります。
- maxThreads (整数) - スキャンの処理に使用する同時スレッド数。デフォルト値は 5 です。リソースの応答が極めて遅い場合は、この数値を大きくすると、スキャンのスループットが向上する可能性があります。
これらのパラメータの値を変更するには、対応する「タスク定義」フォームを編集します。このタスクの詳細については、『Identity Manager ワークフロー、フォーム、およびビュー』を参照してください。
アクセススキャンの作成
アクセスレビュースキャンを定義するには、次の手順に従います。
- 「コンプライアンス」を選択し、「アクセススキャンの管理」を選択します。
- 「新規」をクリックして、「新規アクセススキャンの作成」ページを表示します。
- アクセススキャンに名前を割り当てます。
注
アクセススキャン名には、次の文字を含めることはできません。
' (アポストロフィー)、. (ピリオド)、| (パイプ)、[ (左角括弧)、] (右角括弧)、, (カンマ)、: (コロン)、$ (ドル記号)、" (二重引用符)、¥ (円記号)、= (等号)。
また、_ (下線)、% (パーセント記号)、^ (キャレット)、および * (アスタリスク) の使用も避けてください。
- 必要に応じて、そのスキャンを特定する説明を追加します。
- オプションの作業として「動的エンタイトルメント」オプションを有効にします。有効にした場合、アテスターは、次の追加オプションから選択できます。
- 「ユーザー範囲タイプ」で、次のいずれかのオプションを選択します。このフィールドは必須です。
- 「属性条件規則に従う」 - 選択したユーザー範囲規則に従って、ユーザーをスキャンする場合は、このオプションを選択します。Identity Manager では次のデフォルトの規則を使用できます。
- 「All Administrators」
- 「All My Reports」
- 「All Non-Administrators」
- 「My Direct Reports」
- 「Users without a Manager」
注
ユーザーの範囲を指定する規則を追加するには、Identity Manager Integrated Development Environment (IDE) を使用します。IDE については、「Identity Manager IDE」を参照してください。
- 「リソースに割り当て」 − 選択した 1 つ以上のリソースにアカウントを持つすべてのユーザーをスキャンする場合は、このオプションを選択します。このオプションを選択した場合、ページにユーザー範囲リソースが表示され、リソースを指定できます。
- 「特定のロールに従う」 − 指定したロールを少なくとも 1 つ、またはすべて持つメンバーをすべてスキャンする場合は、このオプションを選択します。
- 「組織のメンバー」 - 選択した 1 つ以上の組織のすべてのメンバーをスキャンする場合は、このオプションを選択します。
- 「特定のマネージャーの部下」 − 選択したマネージャーに直属するすべてのユーザーをスキャンする場合は、このオプションを選択します。マネージャーの階層は、ユーザーの Lighthouse アカウントの Identity Manager 属性によって決まります。
ユーザー範囲タイプが「組織のメンバー」または「特定のマネージャーの部下」の場合は、「範囲を再帰的に計算?」オプションを使用できます。このオプションを使用すると、管理する一連のメンバーを通して再帰的にユーザー選択が行われるようにできます。
- アクセスレビュースキャンで監査ポリシーもスキャンして違反を検出する場合は、このスキャンに適用する監査ポリシーを「利用可能な監査ポリシー」リストから選択し、「現在の監査ポリシー」リストに移動させます。
アクセススキャンに監査ポリシーを追加した場合の動作は、同じユーザーセットに対して監査スキャンを実行するのと同じ結果になります。ただし、それに加えて、監査ポリシーによって検出された違反がユーザーエンタイトルメントレコードに格納されます。この情報により、ユーザーエンタイトルメントレコード内に違反が存在するかどうかを規則のロジックの一部として使用できるので、自動承認または自動拒否が容易になります。
- 前の手順でスキャンする監査ポリシーを選択した場合は、「ポリシーモード」オプションを使用して、アクセススキャンされる各ユーザーに対してどの監査ポリシーを実行するかを指定することができます。ユーザーレベルまたは組織レベル、あるいはその両方でユーザーにポリシーを割り当てることができます。デフォルトのアクセススキャンでは、ユーザーにまだポリシーが割り当てられていない場合にのみ、アクセススキャンで指定されたポリシーが適用されます。
- (省略可能)「レビュープロセスの所有者」を指定します。定義しているアクセスレビュータスクの所有者を指定する場合は、このオプションを使用します。レビュープロセスの所有者を指定すると、アテステーションリクエストへの応答で競合が起こる可能性があるアテスターは、ユーザーエンタイトルメントを承認または却下する代わりに「拒否」できます。その場合、アテステーションリクエストはレビュープロセスの所有者に転送されます。選択 (省略記号) ボックスをクリックして、ユーザーアカウントを検索し、選択を行います。
- 「委任に従う」 - アクセススキャンの委任を有効にする場合は、このオプションを選択します。このオプションを選択した場合、アクセススキャンでは委任設定のみが遵守されます。「委任に従う」は、デフォルトで有効になっています。
- 「ターゲットリソースを制限」 - ターゲットのリソースのみにスキャンを制限する場合は、このオプションを選択します。
この設定は、アクセススキャンの効率に直接関係します。ターゲットリソースを制限しない場合、各ユーザーエンタイトルメントレコードには、そのユーザーが関連付けられているすべてのリソースのアカウント情報が含まれます。つまり、そのスキャンでは、各ユーザーに割り当てられたすべてのリソースが問い合わせを受けます。このオプションを使用してリソースのサブセットを指定すると、Identity Manager がユーザーエンタイトルメントレコードを作成するために必要な処理時間を大幅に減らすことができます。
- 「違反の是正を実行する」 - 違反が検出された場合に監査ポリシーの是正ワークフローを有効にする場合は、このオプションを選択します。
このオプションを選択すると、割り当てられた監査ポリシーのいずれかに対する違反が検出されると、その監査ポリシーの是正ワークフローが実行されます。
特別に必要な場合を除いて、このオプションは選択しないようにしてください。
- 「アクセス承認ワークフロー」 - デフォルトの Standard Attestation ワークフローを選択するか、またはカスタマイズしたワークフロー (使用可能な場合) を選択します。
このワークフローは、レビュー用のユーザーエンタイトルメントレコードを適切なアテスター (アテスター規則によって決まる) に提示するために使用されます。デフォルトの Standard Attestation ワークフローでは、1 人のアテスターに対して 1 つの作業項目が作成されます。アクセススキャンにエスカレーションが指定されている場合、このワークフローでは、保留状態の時間が長すぎる作業項目のエスカレーションが行われます。ワークフローが指定されていない場合、ユーザーアテステーションは無期限に保留状態のままになります。
注
『Identity Manager 配備ツール』というマニュアルには、Identity Auditor 規則についての詳細な説明と、規則をどのようにカスタマイズできるか、およびカスタマイズを行う理由についての説明が記載されています。「規則の操作」の章の、「デフォルト規則および規則ライブラリのカスタマイズ」節で、「監査規則」というトピックを参照してください。
- 「アテスター規則」 - 「Default Attestor」規則を選択するか、またはカスタマイズしたアテスター規則 (使用可能な場合) を選択します。
アテスター規則は、ユーザーエンタイトルメントレコードを入力として受け取り、アテスター名のリストを返します。「委任に従う」が選択されている場合、アクセススキャンでは、元の名前リストにある各ユーザーが設定した委任情報に従って、名前リストが適切なユーザー名のリストに変換されます。Identity Manager ユーザーの委任がルーティングサイクルになった場合、その委任情報は破棄され、作業項目は最初のアテスターに配信されます。「Default Attestor」規則では、エンタイトルメントレコードに示されたユーザーのマネージャー (idmManager) がアテスターとなり、そのユーザーの idmManager が null の場合は Configurator アカウントがアテスターとなります。マネージャーだけでなくリソースの所有者もアテステーションに携わる必要がある場合は、カスタム規則を使用する必要があります。アテスター規則のカスタマイズの詳細については、『Identity Manager 配備ツール』を参照してください。
- 「アテスターエスカレーション規則」 - 「Default Escalation Attestor」規則を指定する場合、またはカスタマイズした規則 (使用可能な場合) を選択する場合は、このオプションを使用します。また、規則のエスカレーションタイムアウト値を指定することもできます。デフォルトのエスカレーションタイムアウト値は 0 日です。
この規則は、エスカレーションタイムアウト時間が経過した作業項目のエスカレーションチェーンを指定します。「Default Escalation Attestor」規則では、割り当てられたアテスターのマネージャー (idmManager) にエスカレーションされるか、または、アテスターの idmManager の値が null の場合は Configurator にエスカレーションされます。
エスカレーションタイムアウト値は、分単位、時間単位、または日単位で指定できます。
『Identity Manager 配備ツール』には、アテスターエスカレーション規則に関する追加の情報が含まれています。
- 「レビュー決定規則」 - スキャンプロセスがエンタイトルメントレコードの処置を決定する方法を指定する場合は、次のいずれかの規則を選択します。このフィールドは必須です。
- 「Reject Changed Users」 - 同じアクセススキャン定義による最後のユーザーエンタイトルメントと異なっていて、最後のユーザーエンタイトルメントが承認されているユーザーエンタイトルメントレコードを自動的に拒否します。これを選択しない場合は、以前に承認されたユーザーエンタイトルメントから変更されたすべてのユーザーエンタイトルメントを手動でアテステーションおよび承認する必要があります。デフォルトでは、この規則に対して、ユーザービューの「アカウント」部分のみが比較されます。
- 「Review Changed Users」 - 同じアクセススキャン定義による最後のユーザーエンタイトルメントと異なっていて、最後のユーザーエンタイトルメントが承認されているすべてのユーザーエンタイトルメントレコードの手動アテステーションを強制します。以前に承認されたユーザーエンタイトルメントから変更されていないユーザーエンタイトルメントはすべて承認します。デフォルトでは、この規則に対して、ユーザービューの「アカウント」部分のみが比較されます。
- 「Review Everyone」 - すべてのユーザーエンタイトルメントレコードの手動アテステーションを強制します。
この規則は次の値を返します。
- -1 − アテステーションを必要としない
- 0 − アテステーションを自動的に拒否する
- 1 − 手動のアテステーションが必要
- 2 − アテステーションを自動的に承認する
- 3 − アテステーションを自動的に是正する (自動是正)
『Identity Manager 配備ツール』には、レビュー決定規則に関する追加の情報が含まれています。
- 「是正者規則」 − 自動是正の場合に、特定のユーザーエンタイトルメントを是正するユーザーを特定するときに使用する規則を選択します。この規則により、ユーザーの現在のユーザーエンタイトルメントと違反を調査できます。規則は是正すべきユーザーのリストを返す必要があります。規則を指定しない場合、是正は行われません。この規則は一般的に、エンタイトルメントにコンプライアンス違反がある場合に使用します。
『Identity Manager 配備ツール』には、是正者規則に関する追加の情報が含まれています。
- 「是正ユーザーフォーム規則」 − ユーザーの編集時に、アテステーション是正者に適切なフォームを選択する場合に使用する規則を選択します。是正者は独自のフォームを設定でき、このフォームより優先されます。このフォーム規則は、スキャンでカスタムフォームに一致する厳密に限定されたデータを収集する場合に設定します。
『Identity Manager 配備ツール』には、レビュー決定規則に関する追加の情報が含まれています。
- 「通知ワークフロー」 - 作業項目ごとに通知動作を指定する場合は、次のオプションのいずれかを選択します。
アクセススキャンで「レビュープロセスの所有者」が指定されている場合、ScanNotification ワークフローでは、スキャンの開始時と終了時に、レビュープロセスの所有者にも通知が送信されます。手順 9 を参照してください。
ScanNotification ワークフローでは、次の電子メールテンプレートを使用します。
ScanNotification ワークフローはカスタマイズできます。
- 「違反の最大値」 - このオプションを使用すると、コンプライアンス違反の数がここで設定した数値に達した時点で、スキャンを強制終了します。デフォルトの制限は 1000 です。フィールドの値を空にした場合は、制限なしと同じです。
通常、監査スキャンまたはアクセススキャンでは、ポリシー違反の数はユーザー数に比べると少ないですが、この値を設定すると、欠陥のあるポリシーによって違反数が大幅に増えた場合の保護対策になります。たとえば、次のようなシナリオを考えてみます。
50,000 ユーザーのアクセススキャンで、ユーザーあたり 2 〜 3 個の違反が発生すると、各コンプライアンス違反の是正にかかるコストは Identity Manager システムに有害な影響を及ぼす可能性があります。
- 「組織」 - このアクセススキャンオブジェクトで使用可能な組織を選択します。これは必須フィールドです。
「保存」をクリックしてスキャン定義を保存します。
アクセススキャンの削除
1 つ以上のアクセススキャンを削除できます。アクセススキャンを削除するには、「コンプライアンス」タブで「アクセススキャンの管理」を選択し、スキャンの名前を選択して「削除」をクリックします。
アクセスレビューの管理
アクセススキャンを定義したあと、そのスキャンをアクセスレビューの一部として使用またはスケジュールすることができます。アクセスレビューの開始後、いくつかのオプションを使用してレビュープロセスを管理できます。詳細については、次のセクションを参照してください。
アクセスレビューの起動
管理者インタフェースからアクセスレビューを起動するには、次のいずれかの方法を使用します。
表示された「タスクの起動」ページで、アクセスレビューの名前を指定します。「利用可能なアクセススキャン」リストでスキャンを選択し、「選択されたアクセススキャン」リストに移動させます。複数のスキャンを選択した場合は、次のいずれかの起動オプションを選択できます。
アクセスレビュープロセスを開始するには、「起動」をクリックします。
アクセスレビューを起動すると、プロセスの手順を示すワークフロープロセス図が表示されます。
アクセスレビュータスクのスケジュール
アクセスレビュータスクは、「サーバータスク」領域でスケジュールできます。たとえば、定期的にアクセスレビューを行う場合は、「スケジュールの管理」を選択し、スケジュールを定義します。毎月、または四半期ごとにタスクを実行するようにスケジュールできます。
スケジュールを定義するには、「タスクのスケジュール」ページでアクセスレビュータスクを選択し、タスクスケジュールの作成ページに情報を入力します。
「保存」をクリックして、スケジュールしたタスクを保存します。
注
Identity Manager では、アクセスレビュータスクの結果は、デフォルトで 1 週間維持されます。1 週間に 1 回よりも短い間隔でレビューをスケジュールする場合は、「結果オプション」を「削除」に設定します。「結果オプション」が「削除」に設定されていない場合は、前のタスク結果がまだ存在しているため新しいレビューは実行されません。
アクセスレビューの進行状況の管理
アクセスレビューの進行状況を監視するには、「アクセスレビュー」タブを使用します。この機能には「コンプライアンス」タブからアクセスします。
「アクセスレビュー」タブから、すべてのアクティブなアクセスレビューおよび以前に処理されたアクセスレビューの概要をレビューできます。一覧表示されるアクセスレビューごとに、次の情報が表示されます。
レビューの詳細情報を表示するには、そのレビューを選択して概要レポートを開きます。
図 15-5 に、アクセスレビュー概要レポートの例を示します。
図 15-5 「アクセスレビュー概要レポート」ページ
「組織 (Organization)」または「アテスター (Attestors)」フォームタブをクリックして、それらのオブジェクト別に分類されたスキャン情報を表示します。
「アクセスレビュー概要レポート」を実行することにより、レポートのこの情報をレビューおよびダウンロードすることもできます。
スキャン属性の変更
アクセススキャンの設定後、スキャンを編集して新しいオプションを指定できます。たとえば、スキャンするターゲットリソースの指定、アクセススキャンの実行中に違反をスキャンする監査ポリシーの指定などを行うことができます。
スキャン定義を編集するには、「アクセススキャン」リストから目的のスキャンを選択し、「アクセスレビュースキャンの編集」ページで属性を変更します。
スキャン定義の変更を保存するには、「保存」をクリックする必要があります。
注
アクセススキャンの範囲を変更すると、レビュー決定規則でユーザーエンタイトルメントを以前のユーザーエンタイトルメントレコードと比較している場合、その規則に影響する可能性があるため、新しく獲得されるユーザーエンタイトルメントレコードの情報が変わることがあります。
アクセスレビューのキャンセル
「アクセスレビュー」ページで「終了」をクリックすると、選択された進行中のレビューを停止します。レビューを終了すると、次のアクションが発生します。
アクセスレビューの削除
「アクセスレビュー」ページで「削除」をクリックして、選択されたレビューを削除します。
アクセスレビューのタスクのステータスが「TERMINATED」または「COMPLETED」の場合、そのアクセスレビューを削除できます。進行中のアクセスレビュータスクは、終了させなければ削除できません。
アクセスレビューを削除すると、そのレビューで生成されたすべてのユーザーエンタイトルメントレコードも削除されます。削除アクションは監査ログに記録されます。
アクセスレビューを削除するには、「アクセスレビュー」ページから、「削除」をクリックします。
注
アクセスレビューをキャンセルし、削除すると、大量の Identity Manager オブジェクトやタスクを更新する可能性があるため、完了するまでに数分かかることがあります。処理の進行状況は、「サーバータスク」>「すべてのタスク」でタスクの結果を表示して確認できます。
アテステーション作業の管理
アテステーションリクエストの管理は、Identity Manager の管理者インタフェースまたはユーザーインタフェースで行うことができます。この節では、アテステーションリクエストへの応答、およびアテステーションに必要な作業について説明します。
アクセスレビューの通知
スキャン中、アテステーションリクエストの承認が必要になると、Identity Manager からアテスターに通知が送信されます。アテスターの役割が委任されている場合、そのリクエストは委任者に送信されます。複数のアテスターが定義されている場合は、それぞれのアテスターが電子メール通知を受け取ります。
Identity Manager インタフェースでは、リクエストは「アテステーション」作業項目として表示されます。保留中のアテステーション作業項目は、割り当てられたアテスターが Identity Manager にログインしたときに表示されます。
保留中のリクエストの表示
インタフェースの「作業項目」領域からアテステーション作業項目を表示します。「作業項目」領域の「アテステーション」タブを選択すると、承認を必要としているすべてのエンタイトルメントレコードが一覧表示されます。「アテステーション」ページでは、すべての直属の部下のエンタイトルメントレコードや、直接または間接的に管理している特定のユーザーのエンタイトルメントレコードも表示できます。
エンタイトルメントレコードの操作
アテステーション作業項目には、レビューを必要とするユーザーエンタイトルメントレコードが含まれます。エンタイトルメントレコードは、ユーザーアクセス特権、割り当てられたリソース、およびポリシー違反に関する情報を提供します。
アテステーションリクエストに想定される応答を次に示します。
- 「承認」 − エンタイトルメントレコードに記録された日付において適切なエンタイトルメントであることを認証します。
- 「拒否」 − エンタイトルメントレコードに現時点では検証または是正できない矛盾がある可能性があることを示します。
- 「再スキャン」 − 再スキャンをリクエストし、ユーザーのエンタイトルメントを再評価します。
- 「転送」 − 別の受信者がレビューするように指定できます。
- 「拒否」 - このレコードのアテステーションを適切に行えない場合、あるいは、より適切なアテスターがわからない場合にこのオプションを選びます。アテステーション作業項目は、レビュープロセスの所有者に転送されます。このオプションは、アクセスレビュータスクにレビュープロセスの所有者が定義されている場合にのみ使用できます。
指定されたエスカレーションタイムアウト時間までにアテスターがこれらのアクションのいずれかを実行することでリクエストに応答しなかった場合は、エスカレーションチェーン内の次のアテスターに通知が送信されます。通知プロセスは、応答がログに記録されるまで続行されます。
「コンプライアンス」>「アクセスレビュー」タブで、アテステーションステータスを監視できます。
クローズループ是正
ユーザーエンタイトルメントを拒否する前に、次の手順を実行できます。
是正のリクエスト
アクセススキャンで定義されている場合、保留中のアテステーションを別のユーザーに配信して是正してもらうことができます。
別のユーザーから是正をリクエストするには、次の手順に従います。
- アテステーションのリストから 1 つ以上のエンタイトルメントを選択し、「是正のリクエスト」をクリックします。
「是正のリクエストの選択と確認」ページが表示されます。
- ユーザー名を入力して、「追加」をクリックし、そのユーザーを「転送先」フィールドに追加します。または、「...」ボタンをクリックして、ユーザーを検索します。検索リストのユーザーを選択して、「追加」をクリックし、そのユーザーを「転送先」リストに追加します。「閉じる」をクリックして、検索領域を閉じます。
- 「コメント」フィールドにコメントを入力して、「続行」をクリックします。
Identity Manager はアテステーションのリストを返します。
アテステーションの再スキャン
アクセススキャンで定義されている場合、保留中のアテステーションを再スキャンし、再評価することができます。
保留中のアテステーションを再スキャンするには、次の手順に従います。
アテステーション作業項目の転送
1 つ以上のアテステーション作業項目をほかのユーザーに転送できます。
アテステーションを転送するには、次の手順に従います。
アクセスレビューアクションのデジタル署名
アクセスレビューアクションを処理するデジタル署名を設定できます。デジタル署名の設定については、「承認の署名」を参照してください。その節では、署名付き承認のために証明書と CRL を Identity Manager に追加するために必要なサーバー側とクライアント側の設定について説明しています。
アクセスレビューレポート
Identity Manager では、次のレポートでアクセスレビューの結果を評価できます。
- 「アクセスレビュー範囲レポート」 − このレポートでは、レポートがどのように定義されているかに応じて、以下の情報を表形式で提供できます。
- 「アクセスレビュー詳細レポート」 - このレポートには、以下の情報が表形式で表示されます。
- 「名前」 - ユーザーエンタイトルメントレコードの名前
- 「ステータス」 - レビュープロセスの現在のステータス。初期化中、終了中、終了、進行中のスキャンの数、スケジュールされているスキャンの数、アテステーションを待機中、完了のいずれかになります。
- 「アテスター」 - そのレコードのアテスターとして割り当てられた Identity Manager ユーザー
- 「スキャン日」 - スキャンが行われた日付として記録されたタイムスタンプ
- 「処理日」 - エンタイトルメントレコードがアテストされた日付 (タイムスタンプ)
- 「組織」 - エンタイトルメントレコード内のユーザーの組織
- 「マネージャー」 - スキャンされたユーザーのマネージャー
- 「リソース」 - このユーザーエンタイトルメントに取得された、ユーザーがアカウントを持つリソース
- 「違反」 - レビューで検出された違反の数
ユーザーエンタイトルメントレコードを開くには、レポート内で名前をクリックします。図 15-6 は、ユーザーエンタイトルメントレコードの情報の表示例を示します。
図 15-6 ユーザーエンタイトルメントレコード
- 「アクセスレビュー概要レポート」 - このレポートは、「アクセスレビューの進行状況の管理」でも説明されており、図 15-5 にも示されています。このレポートには、レポート用に選択したアクセススキャンに関する以下の概要情報が表示されます。
これらのレポートは、「レポートの実行」ページから PDF (Portable Document Format) 形式または CSV (カンマ区切り値) 形式でダウンロードできます。
アクセスレビュー是正コンプライアンス違反の是正と受け入れ、およびアクセスレビューの是正は、「作業項目」タブの「是正」領域から管理します。ただし、この 2 つの是正タイプには違いがあります。この節では、アクセスレビューの是正の一意の動作、「コンプライアンス違反の是正と受け入れ」で説明している是正タスクおよび情報との違いを説明します。
アクセスレビュー是正について
アテスターがユーザーエンタイトルメントを是正するように要求する場合、Standard Attestation ワークフローによって、是正リクエストを作成します。このリクエストは「是正者」によって処理される必要があります。
是正者とは、是正リクエストの評価と応答を許可されている、指定されたユーザーです。問題は是正のみ可能で、受け入れることはできません。
問題が解決されるまで、アテステーションを続行できません。アクセスレビューによって是正者が指定された場合、アクセスレビューダッシュボードで、レビューにかかわるすべてのアテスターと是正者が追跡されます。
是正者のエスカレーション
アクセスレビューの是正リクエストは、最初の是正者より上にエスカレーションされません。
是正ワークフローのプロセス
アクセスレビューの是正のロジックは、Standard Attestation ワークフローに定義します。
アテスターがユーザーエンタイトルメントの是正をリクエストした場合、Standard Attestation ワークフローは次のようになります。
新しい是正者は、Identity Manager を使用して、または別の方法でユーザーを編集し、違反している箇所を是正できた場合には作業項目を是正済みとしてマークします。その時点で、ユーザーエンタイトルメントは再スキャンされ、再評価されます。
是正応答
デフォルトでは、アクセスレビュー是正者は次の 3 つの応答オプションから選択できます。
「是正」ページの操作
アクセスレビュー是正作業項目であるすべての是正作業項目の「タイプ」列に、UE (ユーザーエンタイトルメント) と表示されます。
サポートされないアクセスレビュー是正アクション
アクセスレビュー是正では、優先度と受け入れ機能がサポートされません。
