SailPoint

SailPointのアイデンティティ・プラットフォームとIdentityNowの違い

IdentityNow

1 SaaS-based identity governance platform
2 機能:
a プロビジョニング provisioning
b アクセス権申請・付与 access requests
c パスワード管理 password management
d アクセス権の棚卸 access certification
e 職務分掌/ポリシー管理 separation-of-duties

SailPoint Identity Platform

1 incorporates AI and machine learning into the core IdentityNow platform
2 機能
a アクセス権インサイト Access Insights
b アクセスのロール権限定義 Access Modeling
c レコメンデーションエンジン Recommendation Engine
d マルチクラウドアクセス管理 Cloud Governance

SailPoint Identity Platform機能概要

0、用語集
entitlement 権限、例:特定入室権限、ファイルアクセス権限、フォルダーアクセス権限
access profile アクセス権限集(複数権限の集合、例Admin, Guest)
role 役割・ロール
certification 棚卸
source 3rdパーティーのアプリケーションやDBなどのユーザー

1、プロビジョニング

プロビジョニングとは
プロビジョニングとは、必要なシステムやアプリケーションに対し、ユーザーアカウントの作成、変更、削除を行うことです。高度なプロビジョニングソリューションの場合、ユーザー属性のみにとどまらずアクセス権限も含めて管理し、アカウントを利用用途や業務上の役割に応じて運用し、IT部門の負荷軽減や管理業務の自動化に寄与します。

概要:
アプリケーションへの適切なアクセス権を自動で設定

機能:
a プロビジョニングの⾃動化
IT部門のプロビジョニング作業は、各種アプリケーションに対する権限をロール(役割)ごとに付与する設定を事前にしておくことで、SailPoint IdentityNowが採用や退職等の人事情報の変更を検知し、役割に応じた権限を自動でプロビジョニングします。
b 権限の⾃動更新
権限の⾃動更新は、ユーザーの⼈事異動や役職変更などの⼈事イベントが発⽣した際、SailPoint IdentityNowで⾃動的に各アプリケーションに適切な権限変更を⾏う機能です。
企業では退職したユーザーのIDが各アプリケーションにログイン可能な状態で放置されていることも少なくありません。

導入メリット:
a プロビジョニング作業時間とコストの削減
SailPointの⾃動プロビジョニングを活⽤することで、プロビジョニングにかかる膨⼤な作業が削減できます。また、ユーザーはすぐに利用を開始し業務に取りかかれるので、ユーザーの満足度も上がります。
b 従業員の不正なアクセスの抑制
役割に応じた権限付与でオーバープロビジョニングを防止
c ヒューマンエラーの抑制
⼈事システムと連携したSailPointのプラットフォームでプロビジョニングを⾏えば、全ユーザーのアクセス権が可視化され、不正な権限をもつユーザーの特定も可能です。

2、アクセス権申請・付与

アクセス管理とは
アクセス管理とは、従業員に対し社内システムのアクセス権の付与を、職務権限や部署に応じて実施・管理することです。職務権限に応じた自動的なアクセス権の付与や業務範囲の変更、業務上必要な一時的・恒久的なアクセス権の申請・承認・付与という一連の手続きを適切に運用することを目的としています。

概要:
アクセス管理を自動で行い、業務負担を軽減

課題解決:
a IT部門におけるアクセス権の管理業務が煩雑
b アクセス権の承認を得るまでの待機時間
c アクセス権の変更履歴が残らない・監査が困難

機能:
a ユーザーによるアクセス権申請・付与
ユーザーは、SailPoint IdentityNowにログインすると、各種アプリケーションが一覧表示されており、必要なアプリケーションのアクセス権を直接申請できます。
ユーザーの上長はSailPoint IdentityNow上で、アクセス権の申請を一覧で確認でき、承認することでアクセス権限をすぐに割り当て可能です。
SailPoint IdentityNowと各種アプリケーションはコネクタを介して連携しており、アプリケーションのアクセス権限変更は自動で行われます。
b 職務別のアクセス権申請・付与
職務(ロール)別に必要なアプリケーションのアクセス権をまとめて管理することも可能です。
職務別のアクセス権申請をする場合も、同じブラウザから簡単に申請することができます。
ITリテラシーが高くないユーザーでも、職務(ロール)別の申請を取り入れることで容易に必要なアプリケーションのアクセス権を申請できます。

導入メリット:
a 業務負担の軽減
SailPoint IdenitityNowを活用すれば、ユーザーはブラウザに直接アクセスしてアクセス権の申請を行い、IT部門に作業を依頼することなく、適切な承認を得た上で、業務に必要なアクセス権を得ることができます。
b 生産性の向上
ユーザーはこれまでIT部門に申請していたアプリケーションに関するアクセス権の付与を、SailPoint IdenitityNowを使うことで、ブラウザ上で完結することが可能です。
c ガバナンスの強化
アプリケーションへのアクセス権申請・付与などの管理業務をSailPoint IdenitityNowで自動化した場合、アクセス権限の変更履歴が蓄積され、検索機能などによって情報を可視化できます。またアクセス権インサイトにより、インシデント対応時や監査の際にはアクセス権付与の履歴を詳細に確認することが可能です。

3、パスワード管理

セルフサービスのパスワードリセットでヘルプデスクへの問い合わせを最小限に抑える
従業員がどこにいても生産性を維持できるようにします
オンプレミスおよびクラウドでのユーザーアプリケーションのサポート
構成可能なパスワードポリシーは、一貫した適用を通じてセキュリティを強化します。

4、アクセス権の棚卸

棚卸とは
棚卸とは、従業員の利用アカウントがその従業員の業務や役割に適した権限として付与されているか一定期間ごとに見直し、変更、削除する作業のことです。
棚卸を実施する対象によって「ID棚卸」「アクセス権の棚卸」と言うこともあります。

概要: 
ID棚卸・アクセス権の棚卸を自動化

課題解決:
アカウント情報が分散し、権限の範囲が不明
過剰な権限付与から生まれる情報漏洩リスク
IT部門の業務負担

機能
a アクセス権の一覧レビュー
上長がチームメンバーのアクセス権限を一覧でレビューできる機能です。
直感的な操作でメンバーのアクセス権限をレビューし、ワンクリックでアクセス権限の承認・削除が可能です。
b 権限情報を常に最新かつ適切な状態に
SailPoint IdentityNowでは、常に権限情報が最新に保たれ、可視化されます。アクセス権の棚卸時は、チームメンバーが使用するアプリケーションの承認、撤回の作業を上長が画面上で実施し、意思決定が行われると即座に自動で各アプリケーションの権限情報が更新されます。

導入メリット
a 運用効率の飛躍的向上
全てのアプリケーションのアカウント情報とロールや権限範囲がIdentityNowの管理画面上で可視化され、アプリケーション毎の違いを表示するため運用効率が大幅に向上します。
b 手動作業からの解放
従業員の異動、職位変更、退職に合わせたアカウントのライフサイクル管理を実施し、不要な棚卸作業を減らします。棚卸機能とライフサイクル管理、プロビジョニングを連携させることで、棚卸時に発生するアカウントの更新作業を自動化します。これにより、IT部門での手間のかかる手動での棚卸作業・アカウント更新作業が不要になります。
c 監査業務の軽減
アクセス権の棚卸での承認履歴が記録され、誰がいつどのような権限を承認したかを一覧で確認できます。監査のための情報を都度集める必要がなくなるため、監査業務の軽減が図れます。

5、職務分掌/ポリシー管理

職務分掌とは
職務分掌とは、社内においてそれぞれの役職や部署、個人が取り組む業務を明確にし、責任の所在や業務の権限を整理・配分することです。1人の担当者が2つ以上の職務を重複して持つことで不正を行う機会が発生してしまうことを未然に防ぎ、内部統制やコンプライアンスを実現します。
職務の分離、SoD(Separation of DutiesもしくはSegregation of Dutiesの略)とも言われます。

概要: 
相反する権限の付与を防止

職務分掌における課題を解決
a ポリシーの設定にかかる業務負荷
b 利益相反によるコンプライアンス違反

機能
a ポリシー定義の作成
SailPoint IdentityNowでは検索エンジンを用いて新たに追加するポリシーを容易に作成することができます。管理画面ではポリシーの適用や違反状況を把握できます。メールでの通知機能を有効にすることで、管理者は管理画面にログインすることなく違反状況を定期的に把握することも可能です。
b ポリシー違反の権限を検知・通知
事前に定義された職務分掌ポリシーに違反している権限を検知・通知してくれる機能です。システム部門では全ての権限をチェックする必要はありません。ポリシー違反があった権限の確認・レビューだけを行うことで作業効率化にも繋がります。違反があった権限に対してオンデマンドで棚卸を実施し、ビジネス的な正当性を確認することもできます。

導入メリット
a ポリシーの迅速な作成
b コンプライアンス対策
c 部署異動・システム変更への柔軟な対応

6、アクセス権インサイト

概念図

機能概要

システム構成




AD連携


AWS連携


Last update: