効果的なアクセス・レビューに対するレビュー担当者の処理について
アクセス・レビューアは、「自分のアクセス・レビュー」機能を使用してアクセス権限を証明できます。 アイデンティティ、アクセス制御、および所有権のレビュー・タスクを確認し、低リスク項目の一括承認、AI/ML搭載の規範的なアナリティク・インサイトのチェック、リスクの高い項目の確認、Oracle Access Governanceが提供するAI/ML主導の推奨事項に基づく情報に基づいたディシジョンを行うことができます。 また、レビュー・タスクを他のレビューアに再割当または委任することもできます。
Oracle Access Governanceのアクセス・レビュー・タスク・タイプ
キャンペーンが開始されると、Oracle Access Governanceの「キャンペーン」サービスは、スコープ内のアイデンティティのアクセスをアクティブに追跡し、インテリジェントなインサイトを生成してアクセス・レビューを作成します。 Oracle Access Governanceは、アクセス・レビュー・タイプに基づいて、アイデンティティ・レビュー、アクセス制御または所有権レビュー・タスク(あるいはその両方)を生成します。
各アクセス・レビュー・タスクの詳細は次のとおりです:
アイデンティティ・レビュー・タスク
「アイデンティティ・レビュー」タスクには、アイデンティティ・アクセス権の証明、ユーザー・アカウント、権限およびロールの評価が含まれます。 これらは、オンデマンドのアイデンティティ・レビュー・タスクを起動したときに開始されるか、部門の変更、マネージャの変更など、一部のアイデンティティ・イベントが発生したときに開始されます。 1つのキャンペーンで複数のレビュー・タスクが生成される場合があります。 たとえば、「アイデンティティ・アクセスのレビュー」を起動すると、Oracle Access Governanceは、「自分のアクセス・レビュー」→ 「アイデンティティ」ページで、1つのアイデンティティに関連付けられたアカウント、権限またはロールのアクセス・レビュー・タスクを生成できます。
Oracle Access Governanceは、規範的なインサイトを生成し、レコメンデーションを提供して、レビュー担当者が必要なアイデンティティ・アクセスを「承認」または「却下」のいずれかに対して十分な情報に基づいてディシジョンできるようにします。
アクセス制御のレビュー・タスク
「アクセス制御レビュー」タスクには、Identity and Access Management (IAM)ポリシーの監査、およびオンデマンドの「ポリシー・レビュー」および「アイデンティティ・コレクションのレビュー」キャンペーンによって開始されるアイデンティティ・コレクションが含まれます。 たとえば、テナンシのドメイン管理者ポリシーのレビューを起動すると、Oracle Access Governanceによって、「自分のアクセス・レビュー」→ 「アクセス制御」ページで「ポリシー」タイプのアクセス・レビュー・タスクが生成される場合があります。
Oracle Access Governanceは、規範的なインサイトを生成し、推奨事項を提供します。これにより、レビュー担当者は、ポリシー全体を一度に「承認」または「却下」にディシジョンしたり、そのポリシーで「承認」または「却下」に固有のポリシー・ステートメントをディシジョンできます。
ノート:
OCIポリシーの場合、レビューは基本的なポリシー構成に制限されます。 「where」句を含む高度な構文は、サポートされている機能の範囲外です。所有権レビュー・タスク
- Identity and Access Management (IAM) 「不一致アカウント」の監査(イベントベースのアクセス・レビューによって開始)。 これらのタスクは、Oracle Access Governance内のアイデンティティの一致しないアカウントを確認するのに役立ちます。 一致しないアカウント・イベントの設定時に、一致しないアカウントを自動的に削除するように選択できます。 レビューアとして、照合するアイデンティティを選択するか、一致しないアカウントを削除できます
- Oracle Access Governanceリソースの「所有権レビュー」。 これらのタスクは、認可された所有者のみがOracle Access Governanceリソースを管理していることを確認し、検証するのに役立ちます。 たとえば、Oracle Access Governanceで定義されているアイデンティティ・コレクションのグループ所有権を確認するために、定期的なキャンペーンを実行できます。
リソースに対して実行されたすべての過去の所有権レビューは、「アクセス・レビュー証跡」セクションで表示できます。 キャンペーンで選択した承認ワークフローに基づいて、プライマリ所有者またはアクティブなOracle Access Governanceワークフォース・アイデンティティがレビューアとして選択されます。 レビューアは、リソースのプライマリ所有者または追加所有者(あるいはその両方)の変更、現在の所有権の証明、他のアクティブなOracle Access Governanceユーザーへのレビュー・タスクの再割当てを行うことができます。
インテリジェントなインサイト - 規範的なアナリティクスに基づく推奨のレビュー
Oracle Access Governanceは、規範的なアナリティクスを活用してインサイトを生成し、レビュー・タスクに必要なアクションを推奨します。 これにより、アクセス・レビュー担当者は、修正的なディシジョンを行い、管理上の負担を軽減し、コストを削減できます。
処方的アナリティクスは予測を超えており、アクション指向の推奨事項を伴います。 これらはデータ主導型のガイダンスです。 Oracle Access Governanceは、複雑な計算を実行し、ディシジョンを推奨する前に、組織、ロケーション、リソース、そのリソースの機密性などの多くのディメンションを考慮します。 上位レベルでは、権限の分析は次のファクタに基づきます:
- 同じマネージャのもとで働く同僚との比較
- 同じジョブ・コードの同僚との比較
- 同じ組織の同僚との比較
- ユーザー・プロファイルの最新の変更
レビュー担当者は、レビュー・プロセスを簡素化し、異常な権限の識別にかかる手作業を軽減するデータ主導型の推奨を受けます。 「インサイト」ページから、監査の目的で必要な特定のアクセスで発生したレビューの証跡を追跡することもできます。 また、そのアクセスに関係する一連のイベント変更を追跡することもできます。 これらの詳細はすべて、そのアクセスについて情報に基づいたディシジョンを行うのに役立ちます。
監査証跡: アクセス・レビューおよびアクセス・リクエストのディシジョンのモニタリング
Oracle Access Governanceの監査証跡では、リクエスト承認およびアクセス・レビュー・タスクの履歴が取得されます。 アクセス・リクエストおよびレビュー中に行われたディシジョン(アクセスが受け入れられたか、拒否されたか、取り消されたかなど)と、提供された理由が記録されます。
範囲内 - 追跡対象
- 承認およびアクセス・レビューのディシジョン(アクセスの受理、却下または取消のディシジョンを含む)には、理由があります。
- リクエストによって付与されたアクセス、または管理対象システムで直接割り当てられたアクセスのイベントを許可および取り消します(付与タイプ「リクエスト」および付与タイプ「直接」)。
- アイデンティティ属性の変更があった場合にトリガーされるイベントベース・レビューのアイデンティティ・アクセスの取消。 属性の変更がある場合、ポリシーによって取り消されたアクセスは表示されません。
- SOD違反のあるアクセス・リクエストの承認。 これらのリクエストは、リスクManagement Cloudからの職務の分離違反があった場合でもリクエストが承認されたことを示す
アイコンで識別されます。
- 承認またはリクエストされた、適切な理由による時間制限アクセス・レビュー。 すべての時間制限アクセスは、
によって識別されます。
表示されます。
対象外 - 追跡対象外
- ポリシーによって付与または取り消されたアクセスは、アイデンティティ・レベルではなくポリシー・レベルでレビューされるためです。
- オーケストレーション・システムで直接行われた更新。 たとえば、ロールが「Orchestrated Systems」から削除されます
最近の変更イベント・ログ: 属性変更のトラッキング
「最近の変更ログ」は、「イベントベースの設定」で有効になっているアイデンティティ属性の変更を追跡します。 キャンペーン(非イベントベース)の場合、過去6か月間に特定のアイデンティティに対して発生した「イベントベースの設定」が有効な属性のすべての変更イベントが表示されます。 イベント・ベースのキャンペーンの場合、レビューをトリガーする属性の変更のみが記録されます。
範囲内 - 追跡対象
- イベントベース設定で有効になっている場合は、部門の更新などの属性変更。
- マイクロ認証を実行するためにイベントベースのレビューをトリガーした属性の変更。
- キャンペーンの場合、過去6か月間のイベントベース設定で有効化されたアイデンティティ属性の変更。
- アクセス・リクエストの許可と、管理対象システムでリクエストによって付与されたアクセスまたは直接割り当てられたアクセスのレビュー。
- イベントベースのアクセス・レビュー(ポリシーベースではない)を介してレビューされた失効
対象外 - 追跡対象外
- 属性の変更により失われたか得られた特定のアクセス。
例: 個人の部門が変更され、部門属性がイベントベースの設定 -> 変更イベントで有効になっている場合、変更された属性値がこのセクションに表示されます。 変更された属性値のみが表示され、属性の変更によって失われた、または取得された特定のアクセスは表示されません。 このムーバー・シナリオでは、アイデンティティが現在所有しているすべてのアクセスをレビュー・タスクとしてレビューする必要があります。
レビュー・タスクの委任
アクセス・レビュー・タスクを委任すると、一時的にまたは無期限に、今後のレビュー・タスクを他のレビュー担当者に転送できます。 通常は、休暇など、休暇欠勤中にレビュー項目を他のレビュー担当者またはアイデンティティ・コレクションに委任します。
委任の場合、レビュー項目の所有権は変更されません。 バックアップ・レビューアは、意図したレビューアがない場合に割り当てられるため、遅延は発生しません。 「インサイト」ページでは、レビューアは「アクセス・レビュー証跡」から完全な詳細を確認できます。 たとえば、マネージャが休暇を取ると、レビュー・タスクをチーム・リードに委任できます。 欠席中、チーム・リードは引き続き、「アクセス・レビュー証跡」から確認できる代理でディシジョンを下すことができます。 ただし、アクセス・レビュー・タスクをレビューする主な責任は引き続きマネージャにあります。 セルフサービス機能(「自分のスタッフ」→ 「自分のプリファレンス」)を使用して、アクセス・レビューを委任できます。 詳細は、「委任設定の管理」を参照してください。
レビュー・タスクの再割当
アクセス・レビュー・タスクを再割当すると、保留中のレビュー・タスクのレビューアを他のレビューアに永続的に変更できます。 再割当では、レビュー項目の所有権が変更されます。 レビュー・タスクは元のレビューアから移動され、新しいレビューアに割り当てられます。 アクセス・レビュー・トレイルで再割当詳細を表示できるのは、新しいレビュー担当者のみです。
通常、職責に変更があった場合は、保留中のレビュー項目を再割当します。 たとえば、マネージャが会社を辞職すると、既存のレビュー・タスクをマネージャまたは代替担当に再割当できます。 これにより、保留中のレビュー項目が新しいレビュー担当者にシフトされます。
一括変更 - 複数のレビュー項目の同時管理
Oracle Access Governanceを使用すると、同じディシジョンを個別にするのではなく、複数のレビュー項目を同時に承認、否認または再割当できます。 複数の品目を一度にレビューすると、管理上の負担が軽減され、時間が節約されます。
データ主導の推奨事項を使用して、複数のリクエストを一度に承認または却下するディシジョンを効率的に行います。 たとえば、チームの定期的なアクセス・レビューの実行中に、「受入れ」推奨を一度に含めて、すべての低リスク・レビュー項目を承認できます。 複数の項目またはすべての項目を選択して、他のレビューアにタスクを再割当することもできます。
- アイデンティティ・レビュー・タスクの場合、複数のレビュー・タスクを同時に承認または否認できます。 複数のアイデンティティ・レビュー・タスクを一度に再割当することもできます。
- アクセス制御タスクの場合、ポリシーに対して、すべての文を一度に承認または拒否できます。
- アクセス制御タスクでは、アイデンティティ・コレクションについて、すべてのメンバーを一度に承認または否認できます。
- イベントベースのレビューでは、低リスク・タスクを自動承認するように構成できます。 また、一致しないアカウントを自動削除するように構成することもできます。
一括変更と規範的なアナリティクスを組み合わせることで、プロセスを高速化し、セキュリティを損なうことなく業務効率を向上させることができます。
オラクルのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWebサイト(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=docacc)を参照してください。
Oracle Supportへのアクセス
お客様のOracleサポート・サービスへのアクセスおよびご利用は、該当するサービスの注文時に指定された利用条件に従うものとします。