|
| |
| Sun™ Identity Manager 8.0 管理ガイド | |
第 13 章
アイデンティティー監査: 基本概念この章では、アイデンティティー監査と監査の管理の背景にある概念について紹介します。監査の管理を使用すると、企業情報システムおよびアプリケーション全体にわたり、監査とコンプライアンスを監視および管理できます。
この章では、次の概念およびタスクについて説明します。
アイデンティティー監査についてIdentity Manager では、社内外のポリシーと規制に対するコンプライアンスを確保するために、企業全体のアイデンティティーデータを体系的に捉えて、分析し、必要な処理を行う (応答する) ことを監査と定義します。
アカウンティングおよびデータプライバシーの法律へのコンプライアンスは簡単な作業ではありません。Identity Manager の監査機能は柔軟な方法で、各企業に有効なコンプライアンスソリューションを実装できます。
大半の環境で、内部および外部の監査チーム (監査が最も重要と考える) と監査以外のスタッフ (監査を迷惑と考えていることもある) のさまざまなグループがコンプライアンスにかかわっています。IT もコンプライアンスにかかわることが多く、内部監査チームの要件を、選択されたソリューションの実装に移行する支援を行います。監査ソリューションの実装の成功に重要なのが、監査以外のスタッフの知識、コントロール、プロセスを正確に把握し、その情報の利用を自動化することです。
アイデンティティー監査の目的アイデンティティー監査により、監査のパフォーマンスは以下のように向上します。
アイデンティティー監査についてIdentity Manager は、ユーザーアカウントの特権とアクセス権を監査するための機能と、コンプライアンスを維持および保証するための別個の機能を備えています。それらの機能は、ポリシーベースのコンプライアンスと、定期的アクセスレビューです。
ポリシーベースのコンプライアンス
Identity Manager の監査ポリシー機能を用いることで、管理者はすべてのユーザーアカウントについて、会社が設定した要件に対するコンプライアンスを維持できます。
監査ポリシーを使用して、継続的コンプライアンスと定期的コンプライアンスという 2 とおりの相補的な方法でコンプライアンスを確保できます。
この 2 つの方法を相補的に使用することは、Identity Manager 以外でプロビジョニング操作が実行される可能性がある環境では特に有用です。既存の監査ポリシーを実行または遵守しないプロセスによってアカウントが変更される可能性がある場合は、定期的コンプライアンスが必要です。
継続的コンプライアンス
継続的コンプライアンスでは、現在のポリシーに準拠しない方法でアカウントを修正できないように、すべてのプロビジョニング操作にポリシーが適用されます。
継続的コンプライアンスを有効にするには、組織またはユーザー、あるいはその両方に監査ポリシーを割り当てます。ユーザーに対して実行されるプロビジョニング操作では、ユーザーに割り当てられたポリシーが評価されます。ポリシー評価の結果、違反が検出されると、プロビジョニング操作が中断されます。
組織ベースのポリシーセットは階層構造で定義されます。各ユーザーに有効な組織ポリシーセットは 1 つだけです。もっとも下位レベルにある組織に対して割り当てられたポリシーセットが、実際に適用されます。次に例を示します。
所属している組織
直接割り当てられたポリシーセット
有効なポリシー
Austin
ポリシー A1、A2
ポリシー A1、A2
マーケティング
ポリシー A1、A2
開発
ポリシー B、C2
ポリシー B、C2
サポート
ポリシー B、C2
テスト
ポリシー D、E5
ポリシー D、E5
財務
ポリシー A1、A2
Houston
<なし>
定期的コンプライアンス
定期的コンプライアンスでは、リクエストがあったときに Identity Manager によってポリシーが評価されます。準拠しない状況があればコンプライアンス違反として取得されます。
定期的コンプライアンスのスキャンを実行するときに、スキャンに使用するポリシーを選択できます。スキャンプロセスでは、直接割り当てられたポリシー (ユーザーに割り当てられたポリシーと組織に割り当てられたポリシー) と、任意に選択したポリシーセットが併用されます。
Auditor Administrator 機能を持つ Identity Manager ユーザーは、監査ポリシーを作成し、定期的なポリシースキャンとポリシー違反のレビューによってそれらのポリシーのコンプライアンスを監視することができます。違反は、是正手順と受け入れ手順によって管理できます。
Auditor Administrator 機能の詳細については、「機能とその管理について」を参照してください。
Identity Manager による監査では、ユーザーの定期的なスキャンが可能です。これらのスキャンでは監査ポリシーが実行され、設定されているアカウント制限からの逸脱が検出されます。違反が検出されると、是正のアクティビティーが開始されます。規則には、Identity Manager に付属する標準の監査ポリシー規則、またはカスタマイズされたユーザー定義の規則を使用できます。
ポリシーベースのコンプライアンスの論理タスクフロー
図 13-1 は、ポリシーベースの監査の管理を設定するための論理タスクフローを示しています。
定期的アクセスレビュー
Identity Manager の定期的アクセスレビューを使用すると、マネージャーおよびその他の責任者は、そのつど、または定期的に、ユーザーアクセス特権のレビューと検証を行うことができます。この機能の詳細については、「定期的アクセスレビューとアテステーション」を参照してください。
図 13-1 ポリシーベースのコンプライアンスを設定するための論理タスクフロー
管理者インタフェースでのアイデンティティー監査の操作この節では、管理者インタフェースでアイデンティティー監査機能にアクセスする方法について説明します。アイデンティティー監査で使用される電子メール通知テンプレートについても説明します。
インタフェースの「コンプライアンス」セクション
監査ポリシーの作成と管理を行うには、Identity Manager 管理者インタフェースの「コンプライアンス」セクションを使用します。
監査ポリシーの作成と管理を行う「コンプライアンス」セクションに移動するには、次の手順に従います。
- 管理者インタフェースにログインします (こちら)。
- メニューバーの「コンプライアンス」をクリックします。
「コンプライアンス」セクションでは、次の 3 つのサブタブ (またはメニュー項目) を使用できます。
ポリシーの管理
「ポリシーの管理」ページには、表示と編集の権限を持っているポリシーのリストが表示されます。また、アクセススキャンもこの領域で管理できます。
「ポリシーの管理」ページでは、監査ポリシーを操作して次のタスクを実行できます。
これらのタスクの詳細については、「次の節の「監査ポリシーの操作」では、監査ポリシーウィザードを使用して監査ポリシーを作成する方法について説明します。」を参照してください。
アクセススキャンの管理
アクセススキャンを作成、変更、および削除するには、「アクセススキャンの管理」タブを使用します。ここから、定期的アクセスレビューで実行またはスケジュールするスキャンを定義できます。この機能の詳細については、「定期的アクセスレビューとアテステーション」を参照してください。
アクセスレビュー
「アクセスレビュー」タブでは、アクセスレビューの起動、終了、削除、および進行状況の監視を実行できます。このタブには、スキャン結果の概要レポートと情報リンクが表示され、情報リンクからレビューのステータスおよび保留中のアクティビティーに関するさらに詳細な情報にアクセスできます。
この機能の詳細については、「アクセスレビューの管理」を参照してください。
アイデンティティー監査タスクのインタフェースリファレンス
管理者インタフェースでその他のアイデンティティー監査を実行する方法を調べるには、付録 C を参照してください。このクイックリファレンスを参照すると、さまざまな監査タスクを開始するためにはどこに移動すればよいかがわかります。
電子メールテンプレート
アイデンティティー監査では、多くの操作で電子メールベースの通知が使われます。これらの各通知には、電子メールテンプレートオブジェクトが使われます。電子メールテンプレートでは、電子メールメッセージのヘッダーと本文をカスタマイズできます。
監査ログの有効化コンプライアンス管理およびアクセスレビューを開始するには、Identity Manager 監査ログシステムを有効にし、監査イベントを収集するように設定する必要があります。デフォルトで、監査システムは有効になっています。「Configure Audit」機能を持つ Identity Manager 管理者が監査を設定できます。
Identity Manager には、Compliance Management 監査設定グループが用意されています。
コンプライアンス管理グループに格納されたイベントを表示または修正するには、次の手順に従います。
- 管理者インタフェースにログインします (こちら)。
- メニューバーの「設定」を選択し、「監査」をクリックします。
- 「監査設定」ページで、「Compliance Management」という監査グループ名を選択します。
監査設定グループの設定の詳細については、「設定」の章の「監査グループおよび監査イベントの設定」を参照してください。
監査システムでのイベントの記録方法については、第 10 章「監査ログ」を参照してください。
監査ポリシーについて監査ポリシーは、1 つ以上のリソースのユーザーのセットに対するアカウント制限を定義します。監査ポリシーは、ポリシーの制限を定義する「規則」と、発生した違反を処理する「ワークフロー」から構成されます。監査スキャンでは、監査ポリシーに定義された条件を使用して、組織内で違反が発生しているかどうかを評価します。
監査ポリシーは次のコンポーネントで構成されます。
監査ポリシー規則を使用したポリシーの作成
監査ポリシー内では、規則によって、属性に基づいた競合の可能性を定義します。1 つの監査ポリシーに、広範囲のリソースを参照する多数の規則を含めることができます。規則の評価時に、規則は 1 つ以上のリソースからのユーザーアカウントデータにアクセスします。監査ポリシーで、規則に使用できるリソースを制限できます。
1 つのリソースの 1 つの属性のみをチェックする規則、または複数のリソースの複数の属性をチェックする規則を設定できます。
是正ワークフローによるポリシー違反への対応
ポリシー違反を定義する規則を作成した後は、監査スキャンで違反が検出されたときに起動するワークフローを選択します。Identity Manager には、監査ポリシースキャンのデフォルトの是正処理を提供するデフォルトの標準是正ワークフローが用意されています。たとえば、このデフォルトの是正ワークフローでは、レベル 1 是正者として指定された各是正者に対して通知電子メールが生成され、必要な場合はそれ以下のレベルの是正者にも生成されます。
注
Identity Manager ワークフロープロセスとは異なり、是正ワークフローには AuthType=AuditorAdminTask および SUBTYPE_REMEDIATION_WORKFLOW のサブタイプを割り当てる必要があります。監査スキャンで使用するワークフローをインポートする場合は、この属性を手動で追加する必要があります。詳細については、「(省略可能) ワークフローを Identity Manager にインポートする」を参照してください。
是正者の指定
是正ワークフローを割り当てる場合は、1 人以上の是正者を指定する必要があります。3 レベルまでの監査ポリシーの是正者を指定できます。是正の詳細については、「コンプライアンス違反の是正と受け入れ」を参照してください。
是正者を割り当てるには、その前に是正ワークフローを割り当てる必要があります。
監査ポリシーのシナリオ例
買掛金と売掛金の責任者であり、経理部で働く従業員が担当する金額の総計が危険な額に達しないようにするための措置を講じる必要があると仮定します。このポリシーでは、買掛金の担当者が売掛金の担当も兼ねていないかどうかを確認する必要があります。
監査ポリシーには、次のものが含まれます。
規則によってポリシー違反 (この例では、過剰な権限を持つユーザー) が検出されると、関連付けられたワークフローで特定の是正関連タスク (指定された是正者への自動通知など) を起動することができます。
レベル 1 是正者は、監査スキャンでポリシー違反が検出されたときに連絡される最初の是正者です。監査ポリシーで 2 レベル以上の是正者が指定されている場合、この領域で指定されたエスカレーション期間を過ぎると、Identity Manager は次のレベルの是正者に通知します。
次の節の「監査ポリシーの操作」では、監査ポリシーウィザードを使用して監査ポリシーを作成する方法について説明します。