Skip to main content
Products & Solutions

役割ベース・アクセス・コントロールの要点

  • by Jerry Aubel

Visualization of role-based access control

タイミングがすべてである場合、今が役割ベースのアクセス・コントロールを開始する適切な時期でしょうか?前回のブログでは、SecurIDガバナンスとライフサイクル (G&L) のアクセス認証とコンプライアンス機能について説明しました。本日は、G&Lソリューションのビジネス・ロール・マネージャー・モジュールに移り、役割ベースのアクセス・コントロール・モデルの実装時期が適切かどうかを確認します。

定義上、役割ベースのアクセス・コントロール (RBAC) フレームワークでは、すべてのアクセスと資格付与が企業内の特定の役割にリンクされます。役割管理は、ミッション・クリティカルなアプリケーション、データ、ITリソースへのユーザー・アクセスに関するガバナンスおよびコンプライアンス要件に対応するための重要なコンポーネントです。役割は、組織内のユーザー・ジョブ機能へのアクセス権限を調整し、ビジネス・コンテキストをビジネス・マネージャーおよびコンプライアンス・スタッフによるレビューが必要な下位レベルの資格付与および権限に提供することでコンプライアンスをサポートします。

それは誰が何にアクセスできるかをカバーします。しかし、行う時期も重要な要素です。

ここでもう一度タイミングの出番です: すべての関係者を巻き込み、ロール・アクセス・プロジェクトを早期に開始することで、ビジネス・ロール・マネージャーにより、組織にとって効果的な役割ベースのアクセス管理システムの維持に必要なレベルにかかわらず、さまざまな種類のビジネスおよびIT担当者が役割の開発、管理および導入プロセスの全方位に参加できるようになります。

なぜこれが重要なのでしょうか?役割管理の分散化により、企業は、直属の部下のビジネス要件を把握している組織内の個人に役割管理の責任を委任できます。さらにそのリソース・アクセス要件も同様に可能です。何が必要で何が成功しないのかを決めることで、与えられた役割に対する最高の知見をリーダーに提供します。

ビジネス・ロール・マネージャーは、最小権限の原則を確立し、ゼロ・トラストの考え方を採用する際に役立つツールです。これにより、ユーザーが作業を実行するために必要な最小限のアクセスレベル (それ以上でもそれ以下でもない) のみを提供することで、侵害リスクを軽減し、潜在的な攻撃者により被る可能性のある損害を軽減できます。RBACモデルでは、当然与えられるべきアクセス権と資格付与を機能、役割、またはロールセットごとに割り当てることで、複雑さを軽減し、研修プロセスを簡素化することも可能です。また、新入社員は、その役割に基づいた適切なアクセスのバンドルにより、初日から生産性を上げることができます。

ロール・エンジニアリングとロール・マイニング

ロール・マイニングとは、アクセス許可 (資格付与) とユーザーのジョブ・ロールの関係を発見することです。ビジネス・ロール・マネージャー内のロール・エンジニアリング・ツールにより、既存のユーザー属性、資格付与属性、またはユーザー資格の関連基準に基づいて、明示的に役割を定義し、役割を導き出すことができます。

ビジネス・ロール・マネージャーでは、複数のアプローチを使用してロールを設計できます。ボトムアップでは、ロールはユーザーのグループの共通ユーザー資格付与の紐付けから派生します。トップダウンでは、ロールはビジネス機能または組織に関連するユーザー資格付与の紐付けから派生します。また、マネージャーは、自分の管理下にある機能または組織に必要なロールを簡単に定義できます。また、ハイブリッド・アプローチの選択も可能です。この場合、ロールはトップダウン・アプローチとボトムアップ・アプローチの組合せを使用して導き出されます。

学習すべきことはたくさんあります。SecurIDガバナンスとライフサイクルのビジネス・ロール・マネージャー・モジュールのすべての機能を今こそご覧ください。

アイデンティティリスクをどの程度管理できているかを把握するには、IAMリスク・インテリジェンス・カリキュレーターをお試しください。