ユーザー プロビジョニングとは、オンプレミス、クラウド、ハイブリッド環境など、ユーザーのデジタル アイデンティティ(ID)と複数のリソースに対するアクセス権限を同時に作成、保存、更新、廃棄するプロセスです。
この記事では、ユーザー プロビジョニングとデプロビジョニングの定義、プロセス、ベストプラクティス、メリットについて説明します。また、自動ユーザー プロビジョニングとユーザー プロビジョニング ソリューションの意義と活用方法について詳しく解説します。
ユーザー プロビジョニングの定義
ユーザー プロビジョニングは、ユーザーアカウント プロビジョニングとしても知られているアイデンティティ アクセス管理(IAM)のプロセスのことで、名前、役職、部署、属性、エンタイトルメント、グループメンバーシップ、その他の関連データなどの重要なユーザー情報を利用してアカウントを作成し、ITインフラやビジネス アプリケーション全体でユーザーに適切な権限と特権を付与します。ここでの目的は、システム、アプリケーション、データを保護すると同時に、ユーザーが企業の戦略、目標、目的をサポートするタスクを実行するためのアクセス権限を付与することです。
ユーザー プロビジョニングは、元のシステムデータベースに新しい情報が追加または情報が更新されたときに行われ、その後、組織にいるユーザーのライフサイクル全体を通じて管理されます。アプリケーションやデータへのアクセス権限は、そのユーザーに対する企業のニーズに基づいて付与され、ロールやビジネスニーズの進化や変化に合わせて調整されます。
ユーザー プロビジョニングの種類
ユーザー プロビジョニングの種類には、以下のようなものがあります。
- セルフサービス型:パスワードの更新など、ユーザー プロビジョニングの一部をユーザー自身が管理します。
- 任意型:管理者がユーザーにデータやアプリケーションにアクセスするためのアクセス権限を付与します。
- ワークフロー型:必須の承認が得られた後に、ワークフローの要件に基づいてユーザーのアクセス権限が付与されます。
- 自動型:ユーザー プロビジョニングのプロセスは、ソフトウェアまたはアカウント用に作成されたルールに準拠したソリューションによって管理されるもので、管理者が他のタスクに集中できるようになるため効率化が図れます。
デプロビジョニング(プロビジョニング解除)とは
デプロビジョニング(プロビジョニング解除)とは、従業員の異動や退職などの変更に伴ってアカウントから特権やアクセス権限を剥奪したり、アカウントそのものを削除したりする作業です。また、社内外の脅威によってアカウントの無効化や削除が行われることもあります。ユーザーは、メンバーとして加わっているグループやロールからも削除されます。
デプロビジョニングは、セキュリティ上の理由から重要なステップになります。ユーザー自身が脅威をもたらさないにしても、休眠アカウントは情報の漏洩や侵害、その他のサイバーセキュリティ脅威への侵入経路になる可能性があります。
ユーザー プロビジョニングの例
従業員が入社した際に行うユーザー プロビジョニングの例としては、以下のようなステップがあります。
- 従業員の入社時にITプロファイルを作成し、業務初めに不可欠なアプリケーションを割り当てます。
- 従業員のオンボード中に、必要なタスクに基づいて追加のアクセス権限を付与する場合があります。
- 従業員が在籍している間は、従業員のロールの変更に合わせてアクセス権限の取り消しや付与を行う場合があります。
- チームメンバーが退職した場合は、その退職に合わせてユーザー アカウントを適切にデプロビジョニングします。
ユーザー プロビジョニングにおけるポリシーと手順は、上記の例に対する派遣社員などの非正規社員のアクセス権限に対するオン・オフ型のプロビジョニングや、既存のアカウントで問題が発生した在籍社員に対する再プロビジョニングなど、状況に応じて異なります。
ユーザー プロビジョニングのプロセス
ユーザー プロビジョニングを開始する場合や、非効率または拡張性のないプログラムを再構築する場合、以下のような手順を踏んでユーザー プロビジョニングの手続きを進めます。
- アイデンティティ アクセス管理(IAM)における取り組みの評価と検討を行う:組織のIAMの成熟度、有効性、セキュリティを考慮して、ユーザー プロビジョニングに関して組織全体での共通言語の確立を目指します。
- ユーザー プロビジョニングにおけるビジネスケースを作成する:現在使っているIAMのプロセスを可視化して、ユーザビリティと生産性のギャップや課題を洗い出し、更新プログラムによるセキュリティの向上、リスクの低減、効率の向上などのメリットを予測します。
- ミッションクリティカルなシステムとアプリケーション、ディレクトリ、ユーザーの一覧を作成する
- リソースを計画する:ユーザー プロビジョニングの実施には、プロジェクト マネージャー、テクニカル リード、システム管理者、データベース管理者、人事アナリストなどがあります
- プログラムのトライアルを導入する:経営幹部を含む組織のあらゆる階層の社員を巻き込んで意見を求め、完全リリースの前にフィードバックを受けるようにします。
- 企業全体でユーザー プロビジョニングを導入する:チェックリスト、定例ミーティング、あるいは指定された社内リソースを用いて、プロセスが正しく進むようにします。
- 新しいプロセスとソリューションを監視して強化する:ユーザー プロビジョニングに関する依頼と対応を追跡してKPIを測定し、プログラムの改善を繰り返し行って規模を拡大しながら、これまでのプロセスを廃止していきます。
ユーザー プロビジョニングの申請にかかる定例業務の時間が減ったことで、ITチームがより難易度の高い取り組みに時間を使えるようになったなど、指標からはすぐに可視化されない改善点にも目を向けるようにしてください。
ユーザー プロビジョニングのベストプラクティス
今日の企業が直面する最大の課題の一つは、アプリケーションとデータを保護しながら、従業員や関係者が、生産性を高める上で必要なITリソースにアクセスしやすくすることです。ユーザー プロビジョニングのベストプラクティスでは、以下の点から両者の懸念事項をサポートします。
- アイデンティティ アクセス管理の一元化を確保する:セキュリティ上のリスクを最小限に抑えつつ、ITチームの負担も軽減します。
- 最小権限の原則を使用する:ユーザーに付与するアクセス権限は、職務遂行上不可欠なリソースに、必要な期間のみアクセスできる設定にします。
- ユーザー プロビジョニングとデプロビジョニングを自動化する:ほとんどの組織において、手動によるユーザー プロビジョニングは理に適った方法ではありません。貴重なITリソースを消費する割には効果が薄く、セキュリティ面でもオーバー プロビジョニングが頻発するため、あまり有効ではありません。
- ITチームをサポートする:アクセス権限の共有と制限に関するガイドラインや、チームメンバーの入社、異動、退職時のチェックリストを作成し、ロールおよび組織のリソースへの必要なアクセス権限に関する透明性を確保します。
- 多要素認証(MFA)を使用する:このアクセス権限管理ツールは、アプリケーションやデバイスなど2つ以上のセキュリティメカニズムを組み合わせます。
- リスクベース認証(RBA)を利用する:ユーザーが特定の操作を実行した場合のリスクを判定し、潜在的な問題が検知された場合はそのユーザーをブロックしてITチームにアラートを送ります。
- コンプライアンス要件を検討し、監査を実施する:コンプライアンス要件は、セキュリティ上の懸念事項と重複することが多いです。内部監査は、セキュリティとコンプライアンスにおけるどちらの取り組みも積極的にサポートします。
ユーザー プロビジョニングのソリューションにおけるベストプラクティス
企業がユーザー プロビジョニングに対応したソフトウェアやツールを選択する際のベストプラクティスには、以下のような製品を選択することが含まれます。
- 包括的で拡張性がある
- ポジティブで、簡単なユーザーエクスペリエンスを提供する
- 可能な限り、セルフサービス型の自動化機能を提供する
- 法規制遵守要件をサポートする機能を備えている
- 社内の改善でソリューションのコストを軽減する
- 堅牢な分析機能とレポート機能がある
ユーザー プロビジョニングのメリット
企業が成長して規模を拡大し、デジタルトランスフォーメーションを実現するには、手作業のスプレッドシートを使ったプロセスを廃止して自動化と簡素化を図り、人工知能(AI)を有効活用する必要があります。ユーザー プロビジョニングはこの変革の一部であり、ITチームがサポート業務から新たな取り組みを推進するチームへのシフトすることを可能にします。
ユーザー プロビジョニングの有効活用で企業が得られるメリットには以下のようなものがあります。
- アプリケーション全体におけるアイデンティティ アクセス管理を簡素化できる。
- 従業員の入退社管理が容易になり、セキュリティの向上とコスト削減が見込める。
- チームメンバー、契約社員、パートナーの効率と生産性が向上する。
- ロール ベース アクセス制御が可能になる。
- 機密データを保護できる。
- システムを一元化することで管理者の複雑な運用が不要になり、ヒューマンエラーが減少する。
- ITセキュリティチームの作業時間が短縮されるため、他のタスクを優先できるようになる。
- パスワード管理を簡素化できる。
- 侵害されたアカウントやオーバー プロビジョニングされたアカウントから生じるリスクを軽減できる。
- 法規制遵守と監査準備を強化できる。
- ユーザー プロビジョニングが自動化されたシステムによって、監査を効率的に進めることができ、数日から数週間かかっていた監査を数時間で実施できるようになる。
- オペレーションのスピードを上げることができる。
- テレワークのサポートやシャドーITに関連するリスクの軽減など、組織のセキュリティを維持できる。
- 情報とアプリケーションの保護に基づいた評判を向上させることができる。
自動化されたユーザー プロビジョニング
自動化されたユーザー プロビジョニングとは、ユーザー プロビジョニングとアイデンティティ アクセス管理から生まれる論理的な帰結で、ここで新入社員、異動者、退職者のロールの概念が役に立ちます。ユーザーに割り当てられたロールは、現在の組織での役職に紐づけられ、ITチームのメンバーは、個々のユーザーに紐づく属性の確認や権限を審査するクリアランスの管理に時間をかけることなく、他の優先タスクに取り組むことができます。
プロビジョニングを自動化すると、ユーザーのアカウントを手動で管理することで生じる課題や業務の中断を軽減できます。
自動化したプロビジョニングは、アクセス権を過不足なく許諾することで、セキュリティとコンプライアンスの取り組みも強化します。属性ベース アクセス制御(ABAC)では、組織での役職に基づいてアプリケーションやデータのアクセス権限を付与します。不要になったアクセス権限は自動的に取り消されるため、社内に潜む脅威のリスクを軽減します。
自動化されたユーザー プロビジョニングの基本的なワークフローは、ユーザーのロールに基づいてアプリケーションへのアクセス権限を割り当てることです。ユーザーにロールが割り当てられると、アプリケーション内にユーザーが自動生成され、アクセス権限が付与されます。仮にアクセス権限が不要になり、ユーザーからロールが削除されると、組織のデプロビジョニングのポリシーに基づいてアクセス権限が自動的に取り消されます。
ユーザー プロビジョニングのソリューション
昨今の複雑化するIT環境においても、ユーザー プロビジョニングのソリューションは、企業はアプリケーションとデータに対するユーザーのアクセス権限を一元管理するためのツールを提供します。このソリューションの情報を利用することで、アカウントのライフサイクル全体を通して、ユーザーのアクセス権限の生成、変更、取り消しをはじめとした数多くのタスクを自動化することができます。これにより、組織のインフラが簡素化されると同時に、企業の成長と規模の拡大が可能になります。
ユーザー プロビジョニングのソリューションは以下を行います。
- インフラで利用可能なIDデータを管理
- 管理者がアクセス権限の条件を指定するための適切なツールを提供
- 従業員のライフサイクルを安全にモダナイズする、費用対効果の高い方法を提供
- ID管理に関連する活動に自動化を活用
- 強力なエンタープライズ セキュリティと認証機能でデータを保護
- 従業員の生産性を向上させる優れたユーザーエクスペリエンスを提供
ユーザー プロビジョニングで企業のセキュリティを確保
ユーザー プロビジョニングは、企業がアプリケーションやデータへのアクセス権を適切にプロビジョニングとデプロビジョニングすることを可能にします。これにより、情報漏洩のリスクを低減できます。情報漏洩は多額の費用がかかるだけでなく、風評被害による組織への長期的な悪影響を及ぼす可能性があります。また、ユーザー プロビジョニングはリーダーシップチームが、企業全体の可視性を向上させることにも寄与します。
ユーザー プロビジョニングのツールは、自動化を用いてユーザーのアクセス権限を生成、監視、制御して管理作業を簡素化し、企業のアイデンティティ アクセス管理プログラムの管理体制を向上させることができます。堅牢で安定したユーザー プロビジョニングのプロセスと手順は、企業が刻々と変化するビジネス環境に応じて適応する場合でも確実に実装され、企業のさまざまな分野をサポートします。
FAQ
よくある質問
最小権限の原則の適用、定期的な権限審査(ID棚卸)、相反する権限を検知・通知するポリシー定義を作成しなどが含まれます。
アカウント プロビジョニングとは、ユーザーが必要とするアカウントの生成・保守・廃棄などを行うことです。ユーザー プロビジョニングとも呼ばれ、各種サービスやアプリケーションにおいて、ユーザーが適切な権限で利用できるように運用します。
