eBook

アイデンティティ・ガバナンスに関する究極ガイド: 戦略的ロードマップの作成

Identity Security
4分で読めます

戦略的ロードマップは、アイデンティティ・ガバナンスのビジョンと目標を組織に示す上で役立ちます。 ニーズを特定し、プロジェクトに優先順位を付けるための手段を提供します。 これは、初期実装をガイドし、新しい機会や課題が発生したときに計画の調整を行うための基礎を提供します。

本章では、戦略的ロードマップの作成に関するアドバイスを提供します。 また、トレーニング、コミュニケーション、測定などの活動を長期にわたって継続する必要がある理由についても説明します。

チームを編成する

運営グループ

アイデンティティ・ガバナンスは、企業内のあらゆる職務と事業ユニットにまたがっています。 また、新規事業の取り組みを支援し、新たなサイバーセキュリティの脅威に対応するために、常に進化を続けています。 これらの理由から、ほとんどの組織は運営委員会として長期的に機能するコアグループを必要としています。運営委員会は、アイデンティティ・ガバナンスにとってのビジネスニーズの評価、優先順位の設定、ロードマップの作成、組織全体での支援の構築、進捗状況の測定、ロードマップの定期的な更新を行います。

運営グループには、以下の代表者が含まれていなくてはなりません:

運営グループには、優先順位を設定してプログラムの根拠を示すためのビジネス知識だけでなく、アイデンティティ・ガバナンスがさまざまな事業の取り組みやセキュリティのニーズをどのようにサポートできるかを理解する技術的専門知識が必要です。

信頼性と影響力のあるエグゼクティブスポンサーおよび上級管理者を運営グループに含む必要があります。 アイデンティティ管理プロセスへの積極的な関与が、セキュリティと生産性にとって非常に重要である理由を、マネージャー、スーパーバイザー、そして従業員に説明する上で、これらのビジネスリーダーの役割は欠かせません。

2018年発効の欧州連合の一般データ保護規則(GDPR)では、データ保護責任者(DPO)を指名するよう企業に求めています。 DPOは、プライバシーおよび個人情報へのアクセス制限に関する規則の遵守に責任を負います。 組織にすでにDPOがいる場合、その人物をアイデンティティ・ガバナンス運営グループに参加させるか、場合によっては運営グループを主導させなければなりません。

プロジェクトチーム

個々のアイデンティティ・ガバナンスプロジェクトには、独自のプロジェクトチームが必要です。 運営グループのために選択されたメンバーに加え、以下の人物をチームに含めるべきです:

これらの職務に携わる人々は、従業員の働き方、業務に必要なコンピューティングリソース、アイデンティティ・プロセスで苦労している点、およびセキュリティと生産性に対するプログラムの潜在的な影響を理解しています。

一度に1つのアイデンティティ・ガバナンスプロジェクトのみを実行する場合は、個別のプロジェクトチームを作成する代わりに、各プロジェクトが進行している間、適切な臨時メンバーを加えて運営グループを拡張できます。

機能を評価し、ギャップ分析を実行する

戦略的ロードマップの作成を開始するには、現在のアイデンティティ・ガバナンスソリューションとプロセスを評価し、必要な機能に対してそれらを比較する必要があります。

アイデンティティ・ガバナンスプロセスの弱点

現在のアイデンティティ・ガバナンスプロセスの弱点を特定しましょう。 以下はその鍵です:

事業の取り組み

今後の事業の取り組みが、アイデンティティ・ガバナンスソリューションを必要とするかを判断しましょう。 企業は自社のサプライチェーンを統合しているか? 請負業者と仮想チームを積極的に活用しているか? 新製品の市場や地域に拡大しているか? 買収を行い、買収した企業を既存のプロセスに統合しているか? 既存のアイデンティティ・ガバナンスツールとプロセスは、これらのいずれかの取り組みの遅延を招くか?適切なセキュリティを確保できるか?

ITプロジェクト

モバイルアプリケーションの展開やSaaSアプリケーションの活用の増加など、どのような要件が、ITプロジェクトが計画中のアイデンティティ・ガバナンスソリューションに必要か? 新しいセキュリティ分析またはインシデント対応ツールには、ID情報が必要か?必要な場合は、現在のシステムは完全で正確なデータを提供できるか?

ビジネスケースを作成する

現在のアイデンティティ・ガバナンスソリューションの弱点を評価し、今後の事業の取り組みとITプロジェクトの要件を決定したら、個々のプロジェクトのビジネスケースを構築できるようになります。 これは要するに、ソリューションの実装と管理のコストを差し引いた、各プロジェクトの価値を見積もるという意味になります。

アイデンティティ・ガバナンスを採用する理由のほとんどは、4つの分野に存在しています。

運用コストの削減

以下の改善の価値を見積もりましょう:

従業員の生産性の向上

以下に関する従業員の節約時間を計算しましょう:

セキュリティリスクの軽減

以下に起因するデータ侵害による年率損失期待値(ALE)1の減少の可能性を予測しましょう:

事業の取り組みによる価値の迅速な実現

堅実なアイデンティティ・ガバナンスソリューションは、事業の取り組みとITプロジェクトの展開を加速することができます。 例えば、ビジネスパートナーや仮想チームメンバーを企業プロセスに統合しても安全であるという自信を経営陣の間に高め、従業員がクラウドベースのサービスをより多く使用できるようにします。 遅延コスト方法論を使用して、この利点を概算できます。

SailPoint白書は、アイデンティティ・ガバナンスプロジェクトを採用する理由に関して詳細なアドバイスを提供しています。 こちらからコピーを入手できます: アイデンティティおよびアクセス管理のためのビジネスケースの構築。 業界アナリストであるGartner社のこのメモは若干古いものですが、トップビジネスや技術の優先事項にID管理を関連付ける方法について、役に立つ提案を行っています。

ロードマップを作成する

ビジョンを伝える

ロードマップは、18〜24か月先を見据え、主要なアイデンティティ・ガバナンスプロジェクトの開始時期と完了時期を示すべきです。 ロードマップは、ID管理のビジョンとビジネスの方向性を伝え、新しい機能がいつ利用できるようになるかを、組織に知らせる必要があります。

早期に頻繁な価値の提供を計画する

構築したプロジェクトのビジネスケースは、どのプロジェクトが最大の利点をもたらす可能性があるかを示すため、ロードマップにとって重要な情報になります。 ただし、シーケンシングプロジェクトに関しては、アジャイルの原則の適用を検討する必要があります。 特に以下が必要です:

トレーニングとコミュニケーション

アイデンティティ・ガバナンスソリューションは、定期的にマネージャーに影響を与えると同時に、ほぼすべての従業員にも影響を与えます。 ですが、ほとんどの組織において、IT以外の人間で、アイデンティティ・ガバナンスの重要性を認識している人間はごくわずかです。 また、彼らは当然ながら、適切な方法でアイデンティティ・ガバナンスツールを使用できるほど忍耐強くありません。 こうした理由のため、トレーニングとコミュニケーションが、組織のアイデンティティ・ガバナンス戦略の中心的な部分でなければなりません。

トレーニング

次の3つのレベルでトレーニングの提供を検討しましょう:

方法」だけに、アイデンティティ・ガバナンスのトレーニングの焦点を当ててはいけません。 「理由」も同様に重視しなければなりません。 従業員、マネージャー、さらにはITスタッフ全員が、強力なパスワードを使用することが重要である理由を理解し、「いつか必要になる場合に備えて念のため」アクセス権を承認したい気持ちを抑える必要があります。また、認証には細心の注意を払い、標準プロセスを回避したり、不要なスーパーユーザーアカウントを作成することを控える必要があります。

トレーニングは、アイデンティティ・ガバナンスソリューションのベンダーやコンサルタントが提供します。 セキュリティの専門家が、Certified Identity and Access Manager(CIAM)®になれるコースを提供する組織もあります。 ただし、従業員のトレーニングについては、独自のインストラクターを育成するか、カスタムオンラインコースの作成を検討するべきです。

コミュニケーション

コミュニケーション計画をロードマップに組み込みましょう。 コミュニケーションの役割は以下の通りです:

コミュニケーションを、アイデンティティ・ガバナンス戦略を発表する1回限りのタスクとして考えないでください。 それは、長期にわたって認識と積極的な関与を構築するための、継続的なプログラムでなければなりません。

広い意味でのコミュニケーションを検討してください。 公式発表や会社のニュースレターの記事から始めても構いません。 内部ポータルにメッセージフォーラムを作成して、常に最新情報を提供するのも良いでしょう。 または、電子はがきを送信するか、アドバイスを提供したり、進捗状況を伝えるためにブログを始めていいかもしれません。 従業員やマネージャーが自ら学び、成功事例を見つけることができるような、資料を投稿できるファイル共有またはwikiはありませんか? 創造性を発揮して、データセキュリティやアイデンティティ・ガバナンスの必要性をドラマ仕立てで説明するビデオを制作してはどうでしょう?

実装と測定

上記では、早期に価値を生み出し、最初の成功を実証し、勢いをつけて、初期の取り組みから学んだ教訓に基づいてロードマップを調整できるようにするために、プロジェクトをセグメントに分割することについて言及しました。 これを成功させるには、進捗状況を測定し、フィードバックを求める必要があります。

測定は、戦略的ロードマップの一部として作成したビジネスケースに関連付ける必要があります。 例:

アイデンティティ関連のプロセスに対する従業員とマネージャーの満足度を追跡することもできます。 この行為は、ユーザーによる混乱や無関心がプログラムの成功を脅かしている際に、早期警告シグナルを提供してくれます。 また、アイデンティティ・ガバナンスソリューションとプロセスの向上や改善方法に関する貴重な情報も提供します。

ユーザーによるフィードバックの価値を最適化するには、大勢を対象にできる高速で安価な方法であるオンライン調査と、詳細な調査を可能にする選択的な1対1のインタビューを組み合わせます。 もう1つの手法は、プロジェクト全体で従業員のフィードバックを取得できるような、「ユーザー評議会」を立ち上げることです。

勢いを維持する

アイデンティティ・ガバナンスの戦略的ロードマップは、以下にリソースを割り当てることによより、長期的かつ明示的に計画する必要があります:

SailPointがどのようにあなたの組織に役立てるかをご覧ください。

*必須フィールド

Privileged Task Automation datasheet

Privileged Task Automation: Datasheet

Improve IT operations accuracy and efficiency by automating and delegating repetitive tasks that require elevated privileges. 

View the datasheet
クラウド インフラとは

クラウド インフラとは

クラウド インフラとは、クラウド コンピューティングの枠組みを提供する、仮想化され拡張性のあるリソースの集合体で、インターネットまたは専用ネットワークを通して提供および管理されます。

記事を読む
KuppingerCole社によるアクセス ガバナンスに関するLeadership Compassレポート

KuppingerCole社によるアクセス ガバナンスに関するLeadership Compassレポート

SailPointのアイデンティティ アクセス ガバナンス(IAG)機能が「Strong Positive(ストロング ポジティブ)」を獲得した理由をご覧ください。この評価は、SailPointの提供するIAGソリューションが包括的かつ多機能であることを示すものです。

特別レポートをダウンロード

お問い合わせ

SailPoint Identity Security Cloudの
詳細をご希望ですか?

DX時代の先進的な企業が、アプリケーションやデータの安全な利用を、スピードと拡張性を持って管理・保護するという課題に、SailPointのソリューションがどのように対応できるのかご紹介します。

お問い合わせ