認証
ほとんどの組織では、アクセス認証は退屈な機械作業です。 従業員がまだ会社で働いているかどうか、また従業員が持っているアクセス権が必要かどうかを判断するには、ITマネージャーはスプレッドシートの長いリストを調べる必要があります。 ほとんどの場合、彼らは各特定の従業員がどのような情報を利用できるかわからず、推測することしかできません。その人はまだ会社で働いているので、アクセスを確認できます。 このような「すべてにマーク」のチェックボックスリストが存在することで状況は悪化し、マネージャーの時間を節約できます。このオプションを選択するだけで完了です。
しかし、管理者が関連性を知らずにアクセス権を与える場合、「ブラインド認証」は脅威ですか? まあ、本当に、何が起こる可能性がありますか? 実際には、このアプローチには深刻な問題が伴います。 例は次のとおりです。2010年10月、ソシエテジェネラルの元トレーダーであるジェロームケルビエルは3年の懲役を言い渡され、49億ユーロを支払いました。 判明したように、Cervierは経営陣の管理なしで危険な株式取引を行い、会社での以前のポジションから保持していたパスワードを使用しました。
マネージャーが従業員のアクセス権を盲目的に会社で働いているという理由で従業員に任せている場合、どのような組織でも同様のことが起こります。 たとえば、最近別の部門から異動した従業員と一緒にいるにはどうすればよいですか? 彼に以前の仕事に必要だったファイルへのアクセスを許可しますか、それともこれを行う価値はありませんか?
問題の原因
多くの場合、認証の問題には3つの理由があります。
- 情報不足。
- 対処しなければならない情報の誤解。
- 明確に定義されたアクセス認証プロセスの欠如。
情報不足
多くの場合、アクセス権を確認することが仕事であるマネージャーは、実際に確認する必要があるものの完全な状況を把握していません。 すべての従業員が部署または会社全体で働くことを確認できますが、通常、各個人のアクセスレベルに関する詳細はありません。 したがって、従業員が持っているアクセス権を保持する必要があるかどうかを確実に確認する方法はありません。 代わりに、すべてを盲目的にそのままにしておく必要があります。
一部の組織は、アプリケーション開発者に認証を委任しますが、通常、従業員の現在の役割とアクセスレベルの関連性に関する情報も持っていません。 たとえば、数年前に開発者が電子メールによるリクエストに応じて従業員へのアクセスを許可した場合、会社の人事部門のリストでこの従業員の名前しか見つけられず、その人がまだこの組織で働いていることを確認できます。 ほとんどの場合、彼はこの従業員の現在の職務に関するデータを持っていませんし、これらの職務を実行するために同じレベルのアクセスが必要かどうかについての情報も持っていません。 ある人物が最近昇進または別の部門に異動した場合はどうなりますか?
図 1.通常、プロジェクトマネージャーは、従業員が自分のチームの一員であることを確認し、特定の職務を遂行しますが、どのアクセス権を持っているかは知りません。 一方、ITマネージャーは従業員がどのシステムとアプリケーションを利用できるかを確認しますが、従業員の義務や特定のアプリケーションにアクセスする必要性については知りません。
図 2.アクセス認証の問題に対するソリューションの一部。
アクセス認証に関係するのは誰でも、プロジェクトマネージャーまたはアプリケーション開発者でもかまいません。そのような状況では、情報が不足しているために問題が発生します。
誤解
他の組織では、管理者には各特定の従業員のすべてのアクセス権のリストが提供されます(自作プログラムによって生成される可能性が高い)。 しかし、これらのリストは必ずしも理解しやすいとは限りません。 次に例を示します。プロジェクトマネージャーは、Vasily Pupkinが\\ DC7 \ C $ \にアクセスできることを確認しましたが、これが何を意味するのか理解できますか? おそらく、彼は私たちが話しているサーバーまたは共有フォルダー、Vasilyがこのサーバー上のすべてのデータにアクセスできるかどうかなどを知らないでしょう。 同意します、状況はあいまいです。
図 3.マネージャーのコントロールパネルには、従業員の数とその責任が表示されます。 信号機の形式のチャートは、未解決の問題または発生した問題の存在を報告します。
図 4. [資格]タブには、従業員がアクセスできるすべてのネットワーク要素が表示されます。
ITマネージャーの側からも誤解がありますが、まったく逆です。 彼には\\ DC7 \ C $ \が何であるかは明らかですが、Vasily Pupkinが具体的に何をしているのか、そして\\ DC7 \ C $ \へのアクセスが本当に必要かどうかはわかりません。
明確に確立された認証プロセスの欠如
多くの組織では、アクセス認証の課題は自動化システムに移行しています。 従業員が解雇されたときにアクセス権を自動的に発行し、それらを取り消す十分に確立されたアルゴリズムがある場合、定期的な認証の必要性はなくなると考えられています。 しかし、実際にはこれは機能しません。 ユーザーには常に新しいプログラムやアプリケーションへのアクセスが提供されますが、同時に時間どおりにキャンセルされるとは限りません。 典型的な例は、ソシエテジェネラルトレーダーの場合のように、会社内の従業員の異動です。 多くの場合、役職または職務を変更した後、従業員は誰もそれを閉じるように気をつけていないという理由だけで古いアクセス権を持っています。 人はまだ会社で働いていますが、問題は何ですか?
図 5.従業員のアクセスに関する詳細Scott Harris:彼はITグループのメンバーであり、SharePoint管理者、ドメイン管理者、およびユーザーです。
図 6a。 この例は、マネージャーCandice Clarkが請負業者チームからElaine Harperを除外する方法を示しています。
個々の従業員が持つアクセス権を確認するITマネージャーと、従業員の現在の責任を理解するプロジェクトマネージャーとの間には明確な相互作用がありません。
アクセス認証への最適なアプローチ
各問題は、小さな部分に分割されていれば解決策があり、アクセス認証も例外ではありません。 このプロセスは、次のコンポーネントに分けることができます。
図 6b。 Candice ClarkがElaine Harperを従業員のリストから削除するとすぐに、管理者のScott Harrisが確認のオプションを含む通知を受け取ります。 Scottが例外を確認するとすぐに、Elaineの即時失効プロセスが開始されます。
図 7.従業員のアクセス権の定期的な認証のスケジュールを設定できます。
誰:従業員数を決定する
まず、従業員のリストが最新であることを確認する必要があります。 人事部が作成したリストに依存する必要があります。その人が会社で働いていない場合、彼らは間違いなくそれを知っているからです。 また、人事担当者は、プロジェクトマネージャーを認証プロセスに引き付けるために、部門の構造を明確にする必要があります。 従業員の責任と必要なアクセスレベルを知っているのは参加者であるため、参加することはできません。
図 8.適切なツールを使用して、プロジェクトマネージャーとITマネージャーの両方が、各従業員がアクセスできるネットワークリソースを明確に確認できます。 これにより、アクセス認証について十分な情報に基づいた意思決定を行うことができます。
内容:必要なアクセス権を決定する
次のステップでは、すべての潜在的な許容レベルと詳細なレビューを特定します。これらのレベルは特定の従業員ごとにすでに利用可能です。 多くの場合、このアイテムは最も時間のかかるものになる可能性があります。これは、各アプリケーションを担当する管理者、「共有」フォルダーなどからユーザーのリストを取得する必要があるためです。 部門または役職別にソートされた同様のリストがすでにある場合は、これも考慮に入れる必要があります。
解釈:すべてのネットワーク要素の名前を理解可能な言語に「翻訳」する
ブラインドグレーディングを防ぐには、この手順が重要です。 既に述べたように、プロジェクトマネージャーは従業員がサーバーにアクセスできることを確認できますが、それを示すコードを理解していません。 プロジェクトマネージャーは、何にアクセスできるかを明確に理解する必要があります。
証明書:ユーザーがアクセスを必要とするかどうかを判断します
これまでのすべての手順により、アクセスを正しく認証するための基盤が整いました。 誰がアクセスを許可されているのか、従業員が現在持っている権利、および各許可のわかりやすい名前(表のコードだけでなく)の明確なビジョンは、要求されたアクセスレベルが従業員の現在の義務を満たすために必要かどうかを判断するのに役立ちます。
おわりに
多くの組織のアクセス認証は、情報の欠如、誤解、確立されたプロセスの欠如のために困難を生み出します。 プロジェクトマネージャーはチームの責任を理解しますが、アクセス権は理解しませんが、ITマネージャーは反対に従業員のアクセス権を確認しますが、現在の責任を知りません。 さらに、ITマネージャーとプロジェクトマネージャー間のやり取りを自動化されたプロセスに置き換えることは、まったく不可能です。 ブラインド認証は通常、組織に深刻なリスクをもたらすため、アクセス認証に関連する問題を再検討する必要があります。
Dell One Identityは、従業員とそのアクセスレベルのわかりやすい包括的なビューをわかりやすい形式で提供します。 プロセスの明確な組織と適切な認証ツールにより、企業は時間を節約し、ネットワークと組織のニーズへのコンプライアンスをより良く保護できます。
Dell One Identityの詳細については、 こちらをご覧ください 。