
- 認証
- ID管理
IDaaSとは?(3)Active Directoryからの移行ロードマップ
さてIDaaSへ移行するとして、既存のActive Direcoryの扱いはどうしたら良いのでしょう?IDaaSへの移行ロードマップについて、押さえておきたいポイントを踏まえながらご紹介します。
|
皆さんこんにちは。アシストの長谷川まりです。
人事異動の時期を中心に、「ID棚卸」の苦労についてお客様から伺います。ID棚卸は、システムにおけるID管理工程の1つで、セキュリティ対策上欠かせない作業ですが、実際にはどんな作業なのでしょう。
ID棚卸とは、退職者のユーザーIDや利用が終了したテストIDなど、本来システムに残っていてはいけないIDがないか、不適切な権限を持ったIDがないかを源泉となる情報と比較して確認する、システムのID管理における最も基本的な工程です。
多くの場合、ID棚卸は、IDの不正利用の防止や監査対応を目的に、年度末に1回ないしは、上期下期のタイミングで年2回程度、2~3週間かけて実施されているようです。ただ、中には半年もかかったというお客様もいて、対象サーバがざっと1,500台、担当の方は3~4名専属で作業していたそうで、なんとも大変な作業だったかと思います。
では、ID棚卸の作業工程とはどんなものなのでしょう。ざっと以下の2ステップに分けられます。
|
まずは各システムに登録されているID情報を、それぞれエクスポートします。具体的にはこのような作業を行うことになります。
Active Directoryの登録ユーザー | csvdeコマンドを使って、CSV形式でユーザー情報をシステムからエクスポート |
Oracle Databaseの登録ユーザー | SQLを発行してユーザー情報を取得 |
WindowsOSユーザー | 管理画面やコマンドでIDを取得、詳細情報も取得する場合はWindowsAPIを使ってプログラムを作成 |
対象システムによってID情報を抜き出す方法が異なるため、ひとつずつ実行しなければならなくなります。
続いて、各システムから集めたID情報を、ユーザーの源泉情報などと突合して、「変更リスト」を作成します。あるべき姿と現状を比較しながら、変更すべきIDを抜き出す作業です。
ユーザーの源泉情報となるのは、主に人事情報ですが、その人が現在、在籍しているのかどうか、権限は不適切ではないか、○×などでリスト化します。Excelのマクロを組んで行うケースも多くあるようですので、得意な人がいれば、助かりますね。
さて、これらの<ステップ1>と<ステップ2>の作業ですが、実際には、各部署の協力を仰ぐ形で行われる企業が多いようです。各システムを運用する担当者が、対象システムのID情報を部署毎の一覧にして配布し、各部署に不要なID情報がないかを確認して、結果を戻してもらうというやり方です。ただ、これでは各部署に負担をかけてしまうし、時間もかかってしまうので、源泉と差異があるID情報だけを配布できたら効率的なのにな、というお話もよくいただきます。
そこで、この<ステップ1>と<ステップ2>を自動化できるソフトウェアとして、アシストでは「ID棚卸キット」をお奨めしています。 |
|
また、自動化のメリットは、工数削減だけではありません。まず、人手によるミスを防げることでセキュリティリスクの削減に貢献できますし、工数削減ができることで、長期的なID棚卸の実施スケジュールが立てやすくなります。結果、監査対応にも自信を持って備えられます。
なお、このID棚卸という工程は、ID管理ソフトウェアを導入すれば自動化できると思われがちです。が、実はID管理ソフトウェアは、システム間でのIDの変更を一括管理できても、源泉となる情報との突合が出来ない場合が多くありますので、注意が必要です。
ID棚卸は工数のかかる大変な作業です。ミスから思わぬセキュリティ事故に繋がる危険もあるので、ソフトウェアで作業を自動化するメリットを是非検討ください。
どのように自動化できるのか、下記の動画でわかりやすく解説しています。
ID棚卸作業を自動化する「ID棚卸キット」のご紹介:概要編(Youtube、3分56秒)
ID棚卸キットが実際にどのように使われるのか、もっと詳しく知りたい方に、代表的な4つの利用シーンをご紹介します。「ウェビナーで見る」ボタンよりお申込フォームにご入力頂くと、折り返しすぐに4つの視聴URLが届きます。お気軽にご利用ください。
長谷川 まり
|
|
さてIDaaSへ移行するとして、既存のActive Direcoryの扱いはどうしたら良いのでしょう?IDaaSへの移行ロードマップについて、押さえておきたいポイントを踏まえながらご紹介します。
シングルサインオンを実装する仕組みの1つであるSAML(サムル)。このSAMLを使った基本的なシングルサインオンの流れが楽しくイメージできるよう、RPG風のストーリーに仕立ててみました。
IDaaSは、オンプレミス縮小とクラウドシフトの渦中において、ITリソース利用時に快適で安全な本人確認の手段を提供する「認証基盤」です。具体的にどんな機能があって、どんな期待効果があるのかを解説します。