ユニファイド データ アクセス ガバナンスによりアイデンティティ セキュリティ プログラムを強化するための5つのヒント
執筆者:Eric Zimmerman、SailPoint、プロダクト マーケティング マネージャー
アイデンティティ セキュリティ プログラムが進化するにつれて、重要なコンテンツに関してこれまで以上に多くのコンテキストを取得し、機密情報を自社のセキュリティ プログラムの基本的な要素としてロックダウンするのに役立てることが不可欠となっています。結局のところ、最終的に統制や保護を行う対象はデータなのです。
企業の機密データが増大し、新しいデータ規制も増加している現状において、機密データに関するコンテキストが欠如すると、安易な承認や意図しないオーバープロビジョニングのリスクが高まり、不正なデータの流出やデータの盗難の可能性も増大します。機密データがどこにあり、誰がアクセス権限を持っているかが十分に可視化されていない場合、厳格な規制要件を満たすタスクはますます複雑になります。
それでは、包括的なアイデンティティ セキュリティ プログラムの中核的な側面として、ユニファイド データ アクセス ガバナンスの利点を活かすためには、どこから始め、どのように進めればよいのでしょうか?
以下に、まず優先して始めるべき推奨事項を記載します。
1. アイデンティティ セキュリティのベスト プラクティスを機密データにも拡張する
アクセス権限のガバナンスに関する意思決定を最適化して、セキュリティ制御を強化するには、機密データがどこにあり、誰がアクセス権限を持っていて、それが組織全体でどのように使用されているのかを理解することが大切です。極めて重要なデータに対して、より幅広いコンテキストとインテリジェンスを得ることにより、組織はIDのライフサイクル全体を通じてデータへのアクセスを総合的に管理し、オーバープロビジョニングを最小限に抑えて、セキュリティ体制を向上させることができます。
Data Access Securityは、SailPointのAtlasプラットフォームに組み込まれたアイデンティティ セキュリティのベスト プラクティスを活用して、企業のガバナンス プロセスを最も重要なデータ資産へと拡張します。データの検出と分類が自動化されるため、ユーザーは一元化されたプラットフォームを通じて機密性の高いコンテンツを検索してカタログ化し、アクセスを総合的に統制することができるようになります。
—
まずは、自社の機密データがどこにあるかを把握して、適切にカタログ化します。Data Access Securityのデータの検出と分類機能を使用すると、カスタマイズされたデータの分類ポリシーをセットアップし、ファイルおよびデータ ストレージの場所全体にわたって機密情報を簡単に検出できます。
たとえば、Data Access Securityのすぐに使えるデータ分類ポリシーを自社の環境内で活用することで、機密性の高い個人を特定できる情報(PII)、支払いカード情報(PCI)、HIPAA法によって規制される医療記録、GDPR(EU一般データ保護規則)やCCPA(カリフォルニア州消費者プライバシー法)などのデータ保護法など、規制対象となる機密データを自動的に分類してカタログ化することができます。また、内部識別子や動的ポリシーに基づいてコンテンツをカタログ化し、知的財産や保護者が守る情報、分類された制限コンテンツを保護することもできます。
2. データ アクセスの実態を理解する
重要なデータがどこにあるのかを確認できたら、Data Access Securityのアクセス権限分析を活用して、組織全体でIDがどのようにデータ資産に対するアクセス権限を得ているのかをより明確に可視化します。
Data Access Securityは、個人に対して直接アクセス権限が付与されているのか、あるいは一連のエンタイトルメントやグループ、アクセス パスを通じてアクセス権限が暗黙的に継承されているのかにかかわらず、誰がアクセス権限を持ち、それがどのように付与されたのかを正確に特定します。
データ アクセスの実態を総合的に分析することにより、組織はセキュリティのベスト プラクティスへの違反が発生したときや、アクセス権限の不整合が発生した状況(機密データが不特定多数に流出した)、あるいは、データが組織の外部に共有された場合などに着目することができます。
こうした異常を、特にこのような初期の段階で把握することは極めて重要です。企業のアクセス モデルの重要な構成要素である、違反を是正してエンタイトルメントやアクセス パスの整合性を取る機会が得られるためです。
3. データのインサイトを重要な意思決定の時点で可視化する
機密データを分類してアクセス権限を分析した後は、SailPoint Identity Security Cloudがこれらのインサイトを活用して、機密情報に対するアクセス権限や、幅広い無制限のアクセス権限の付与を含む、エンタイトルメントに関するより詳しい情報を提供します。これらのインサイトは、アクセス権限を承認または拒否する際、あるいはアクセス権限のプロビジョニングを自動化するためのロール(役割)を構築する際に極めて重要です。
たとえば、IDの権限審査を行うアクセス権限のレビュー担当者は、特定のエンタイトルメントに対してどの機密データが提供されているかを確認し、各エンタイトルメントのコンテキストにおける特定のデータ分類カテゴリを閲覧できます。
統制対象のデータに関して豊富なコンテキストを得ることにより、ガバナンスに関する意思決定を最適化して、重要なデータに対する暗黙のアクセス権限を前もって明らかにできるとともに、機密コンテンツを自社のアイデンティティ セキュリティ プログラムの不可欠な部分としてロックダウンすることができます。
4. 組織全体でデータのコンテキストを統合する
エンタイトルメントの強化
エンタイトルメントの強化により、Data Access Securityはデータの流出に対する可視性を高めるとともに、厳格な統制とより頻繁なレビューを必要とする、ビジネスクリティカルなデータや規制対象の機密データへのアクセス権限を提供するIDエンタイトルメントを支援します。
たとえば、管理者は社外秘として分類された情報に対するアクセス権限を付与するエンタイトルメントを簡単に特定し、契約社員やサード パーティ、非正規社員がこのアクセス権限を得られないようにするポリシーを作成することにより、機密性の高いアクセス権限が組織全体のロールを通じて広すぎる範囲に付与されないようにできます。
権限審査(ID棚卸)の強化
Data Access Securityはまた、コンプライアンス担当者が個人を特定できる情報(PII)などの、機密性の高い規制対象データへのアクセス権限を付与するエンタイトルメントを簡単に特定できるようにします。その結果、こうしたアクセス権限が適切なタイミングでレビューおよび審査され、権限審査(ID棚卸)活動で正しい情報を実現し、監査に容易に合格することが可能になります。
権限審査(ID棚卸)の強化により、チームは規制対象の機密情報やデータ ロケーションへのアクセス権限を持つIDを審査することが可能になります。その結果、チームは更なるコンテキスト、機密性ラベル、そして非構造化データへのアクセス権限に基づくインパクト スコアを得て、データの安全性確保に役立てることができます。
たとえば、マネージャーは、あるアクセス権限によって米国のアカウントに関する極めて重要な情報が閲覧可能になることを知った後、東京オフィスの従業員にそのアクセス権限を付与することを承認する前に、詳しいレビューが必要であるという警告を受けるかもしれません。
5. 共有ダッシュボードで情報のサイロ化を最小限に抑える
アクセス権限に関する決定を、孤立した状態で下すことはもはやできません。重要なデータ資産とリスクに関するインサイトのコンテキストを認識する必要があることは、組織が下すあらゆる意思決定において不可欠となっているからです。これらの必要性を認識しているData Access Securityでは、MySailPointの共有ダッシュボードで機密データの可視性を大幅に向上させることで、重要なデータに関するインサイトを管理者やセキュリティ チームが確認できるようにしています。
主要な意思決定者がアクション可能なインサイトと最新のレポートによる十分な情報を得て、リスクを理解してセキュリティの取り組みに優先順位を付けられるようにしましょう。管理者は一目で、ガバナンス目標に対する進捗を評価し、アクティブな権限審査や棚卸のステータスをリアルタイムで把握して、重要なデータ資産をデータ所有者の割り当てなしで特定し、モニタリングを強化する必要がある領域を確認できます。
SailPointが支援する方法
Data Access Securityが持つ能力を活かすことで、セキュリティ チームはアプリケーションやデータ全体にわたり、アクセス ポリシーとコントロールを統一できます。Data Access Securityの詳細と、この製品がどのようにアイデンティティ セキュリティ プログラムに機密データに関する更なるインサイトをもたらすのかについては、今すぐ当社のチームに連絡してライブ デモを申し込みいただくか、セルフガイドの製品ツアーにご参加ください。