認証と認証：なぜこれが必要なのですか？

銀行や保険会社などの多くの組織は、確立された認証および認証手順を経て、規制要件の遵守を確認します。 海外では、これらはサーベンスオクスリー、HIPAA、FERC、バーゼルIIIなどの要件です。 国際基準とともに、ロシア銀行などの要件があります。他の企業は、ビジネスを行うことの透明性を確認する方法として、認証および認証手順を検討しています。



証明と認証にはどのようなアプローチが使用されますか、再認証はどのように編成されますか？ これについて-以下。



認証または認証？



これらの用語はしばしば同義語として使用されますが、重要な違いがあります。 実際、認証は特定の事実の正当性を確認します。 例：

• ユーザーへのアクセス権の割り当て（ADグループのメンバーシップ、SAPロール、またはロール構成による）。
• 特定の役割への技術的な役割またはアクセス権/グループの割り当て。たとえば、ADグループまたはトランザクションおよびSAP役割認証コードへのACLの割り当て。
• 特定のビジネスロールへのシステムロールの割り当て。
• 特定の従業員へのビジネスロールの割り当て。

さらに、認証プロセスはより深く、システム内のユーザー識別情報とユーザー機関を管理し、アカウントを作成するプロセスに拡張できます。



例：

• ルールの検証（競合するアクセスなど）。
• 指定されたITリソースの承認プロセスの検証。
• 従業員が組織の一部であることの確認。

再認定



再認証は、ユーザーに付与された権利、特権、および権限を再検証する継続的なプロセスです。 これにより、ユーザーはITシステムおよび情報へのアクセスを正しく許可されます。 再認証は、管理上、リスクが高く規制要件が厳しいプロジェクトでは非常に重要です。 これは、銀行や保険会社にとって特に当てはまります。銀行や保険会社では、管理手順と方法が適切な認証と認証を提供することを証明する必要があります。

多くの場合、これらは手動の手順であり、担当者は各ユーザーおよび各タイプのシステムに対して詳細なアクセス権限を入力します。



再認定の難易度



再認証に関しては、表で説明されているように、いくつかの難易度レベルが区別されます。

レベル	説明	制限事項
レベル1。再認証なし、定期的な報告なし。	再認証、報告なし	透明性と文書化なし
レベル2.繰り返しの手動プロセスとしての再認証	組織は、すべてのシステムにおける従業員とその権利のリストを含む年次報告書を作成します。 マネージャーはこれらの権利を確認し、従業員の権利を確認または修正します。	最小限の透明性とドキュメント
レベル3.自動化されたプロセスと要求、承認手順による個々の権利の再認定	再認証プロセスは、自動化された定期的な、十分に文書化された要求および承認手順です	最小限の透明性、権限を付与するための複雑な処理要求
レベル4.ビジネスロールを使用した複数レベルでの継続的な再認証	権利の割り当てに記述的な役割を使用すると、再認証の有効性が大幅に向上します	リスク管理の観点がない
レベル5.リスク管理の原則を使用した再認証	組織は、リスクの観点から再認証情報を分析できます。	いや

レベル1：認証なし、アカウントに関する定期的な報告なし。



レベル2：定期的な手動手順として実装された再認証。

レベル2の典型的な例は、組織が定期的にすべてのシステムのすべての従業員とその権限のリストを手動で編集し、部門長が従業員のリストを制御し、権限を確認および調整する場合です。 これにより、ある程度の透明性とドキュメント化が可能になります。







このアプローチの欠点は次のとおりです。

• それは面倒で時間がかかります。 多くの場合、ファイルをエクスポートし、それらを手動でマージし、長いExcelテーブルの手動印刷を渡す必要があります。 そして、権利と権限の構造に変更を加えるには、再認証とかなりの量の手動操作が必要になります。
• 透明性の欠如は、多くの場合、不必要な作業を必要とし、ユーザーに冗長な権利を与えます。 多くの場合、レポートの権利は、管理者が完全に理解していない、またはまったく理解していない技術用語で記述されます。 そして、これは単にリスクを生み出します。ユーザーに割り当てられた権利は、彼らが働く必要がある権利を超えるかもしれません。
• 不完全な画像のリスク：再認証は、最後の認証以降に割り当てられた権利を常に含むとは限らない権利に基づいています。 たとえば、認証後に一時的に人に付与された重要な権利の組み合わせは、レポートに含まれておらず、注意の対象外です。

レベル3：自動化されたプロセスと要求、および承認手順による個々の権利の再認定。 組織は、継続的な再認証プロセスを実装することにより、権利の適切性を改善できます。 このプロセスで割り当てられる最初の権利は、十分に文書化された要求/承認手順によって制御され、ユーザーは再認証中に適切な権利を保持します。

継続的な認証は、ワークフローコンポーネントを含む自動化されたID管理システム（IDM）を使用して最適に実装されます。 これにより、再認証で権利の割り当てに使用されたのと同じ手順を使用できるようになります。 自動化は手作業を容易にします。 十分に形式化され文書化されたプロセスを使用して権利を割り当てるため、第2レベルのように、不完全な画像を取得するリスクがなくなります。







ただし、レベル2と同様に、透明性が不足しています。 権利と権限の名前は技術専門家には理解できますが、それらを承認したリーダーにはわかりません。 さらに、このアプローチは非常に便利ではありません。多数の権利を持つ個々の作業が必要になるためです。



レベル4：ビジネスロールを使用したいくつかのレベルでの継続的な再認証が含まれます。 説明的な役割は権利の割り当てに使用され、権利は個別に割り当てる必要はありません。 これにはいくつかの利点があります。 1つ目は透明性です。 理解できない技術名は説明的な役割に置き換えられるため、権利と権限を付与する責任はIT担当者からビジネスリーダーに移ることができます。 後者は、誰とどのようなアクセスが必要かをよりよく理解しています。 これにより、冗長な権利を割り当てるリスクが軽減されます。 さらに、組織的または技術的な変更の場合に権利を変更する手順が簡素化されます。

たとえば、従業員が財務部門からマーケティング部門に異動すると、財務データへのアクセス権が自動的に取り消され、必要なマーケティング情報へのアクセスが提供されます。

ロールを使用すると、大量の認証を実行することもできます。これは、たとえば、大規模な再編成や大量の権利の再認証の場合に必要になることがあります。 企業は、組織内の役割に基づいて段階的な再認証プロセスを使用できます。 マネージャーが単に従業員に役割を割り当てるだけで十分（「調達マネージャー」など）、これらの役割に実際に関連付けられている権利を知る必要さえありません。

最後に、必要に応じて、再認証プロセスにセキュリティを強化するためのビジネスロールの定義を含めることができます。









レベル5：リスク管理の原則を使用した再認証。

リスク管理方法は、すぐに認証および再認証プロセスの一部になりつつあります。 すべてのユーザー、すべてのアクセス権限、またはすべてのデータを分析する代わりに、組織は最もリスクの高い領域に焦点を合わせます。 そして、このためにあなたは理解する必要があります：

• どのシステムに最も重要なデータが含まれていますか？
• これらのシステムに誰がアクセスできますか？
• そこに何かを変えるために、彼らにはどんな力と権利がありますか？
• ユーザーアクセスは職務分離の原則に違反しますか？

レベル5認証システムにより、組織はこれらの質問に答え、認証プロセスにインテリジェンスの要素を追加できます。



Dell One Identity Manager認証および認証の実装



ビジネスロールを使用して権利の割り当てを管理する最新の認証および認証アーキテクチャをどのように実装できますか？ Dell One Identity Managerを使用すると、再認証タスクだけでなく、アカウントのライフサイクル全体を管理するために設計されたIDおよびアカウント管理ソリューションが提供されます。 Identity Managerには、ユーザーとアカウントの識別を処理および更新するための一連のプロセスとテクノロジが含まれています。 資格情報の同期、アカウントの作成と削除、属性、特権、ユーザー権限の管理ができます。







Identity Managerアーキテクチャには、2つの主要コンポーネントが含まれています。

• 認証のオブジェクト。これは基本的に認証者向けのインタラクティブなレポートです。 このレポートに含まれるものが重要です。すべての関連情報が表示され、プロセスの明確な画像が提供されます。

• 認証ポリシー。各オブジェクトの認証を誰、どのように、どのような条件で実行するかを決定します。

このようなアーキテクチャは、厳しい要件を満たし、さまざまな国で採用されている標準に従ってセキュリティを確保します。また、権限だけでなく、許可よりも複雑なデータも管理できます。

• プロセス、個人のステータス、要求および承認手順、ビジネスロール、Webインターフェイスバージョン、コンプライアンスルールなどのオブジェクト。
• 通常の計画に加えて、ユーザー権限の追加、削除、変更、アカウントの追加または無効化ができるトリガー。

認証および再認証パネル



認証および再認証パネルは、組織が継続的なプロセスとして認証および再認証のステータスを監視するのに役立つ便利な監視ツールです。 多くの認証プロセスのステータスを示し、次の質問への回答を提供します。

• 認定または再認定されたオブジェクトの合計数は？
• これは、以前の認証および再認証プロセスと比較してどうですか？
• 作業効率のために異なるユニットを比較する方法は？

たとえば、Identity Managerの認証および再認証パネルには、認証ポリシーのステータスを示すグラフが含まれています。



おわりに



多くの組織は現在、規制要件を満たし、リスクを軽減するという課題に直面しています。 特に、ITシステムの権利を追跡する手段はますます普及しており、組織はより高度な方法を使用して、より高いレベルの認証と再認証を達成したいと考えています。 最先端の企業は、ビジネスロールを使用して割り当てられた権利を制御する最先端の認証および再認証アーキテクチャを導入しています。認証および再認証パネルは、潜在的な問題の特定とプロセスの制御に役立ちます。