ガートナー ジャパン
メインメニュー ホーム リサーチ コンサルティング ベンチマーク エグゼクティブ プログラム イベント 会社情報 メインメニュー
SAMPLE RESEARCH

サンプル・リサーチ

イメージ アイデンティティ/アクセス・ガバナンス:定義と市場
インフラストラクチャ(INF)/INF-13-45
Research Note
E. Perkins
掲載日:2013年6月25日/発行日:2013年4月30日

本リサーチ分析レポートのテーマに関心をお持ちの方は、2013年7月1日(月)・2日(火)に開催する「ガートナー セキュリティ&リスク・マネジメント サミット 2013 | 今改めて考える、未知の脅威をいかに想定し対策を練るか」 のページを是非ご覧ください。
本サミットでは、クラウドやモバイルに焦点を当て、企業が行うべきセキュリティ対策やリスク・マネジメントを、グローバルのトレンドも見据えつつ提言する。
(イベント終了後も開催実績としてご覧いただけます)

 

アイデンティティ/アクセス・ガバナンス・ツールは、ビジネス部門のアイデンティティ・オーナーがアイデンティティ/アクセス要求の包括的ガバナンスを実現するために必要なライフサイクル・プロセスを確立する。


要約

アプリケーションへのアクセス管理は、企業の重要な課題であるが、残念なことに、この管理にはしばしば困難が伴い単純にはいかない。アクセス・ガバナンスを適切に行うためのプロセスとツールは導入されておらず、ガバナンスが機能するための条件 (正確で包括的なアイデンティティ・データ・モデルなど) は利用できないからである。そのため、エンドユーザーとアクセス・ガバナンス・プロセスを担当するIT部門は、効率が悪く時間を要する作業を余儀なくされ、その結果、アクセスを正確に把握できなかったり、IT監査時に不快な思いをしたりすることも少なくない。企業はどのようにすればアイデンティティ/アクセスのガバナンスを改善できるのか。1つの答えは、アイデンティティ/アクセス・ガバナンス (IAG) ソリューションの利用、十分に定義されたアクセス・プロセス、そしてその両方を支える組織構造にある。


主要な所見

    ●IAGは、ガートナーが従来使用してきた「役割ライフサイクル管理」および「権限ライフサイクル管理」という概念に置き換わる用語である。この用語は、より広い機能を対象とし、役割だけではなくアクセス権の利用とアイデンティティ管理を重視している。
    ●IAG市場はアイデンティティ/アクセス管理 (IAM) 市場屈指の急成長分野であり、背後にコンプライアンス・インテリジェンスの改善と効果的なガバナンスのニーズがある。
    ●IAGは、アイデンティティ・ガバナンス要件に関するIT部門とビジネス・ユーザーとの間の直接的なインタフェースに相当する。

推奨事項
    ●社内で利用されているIAGに関する既存のプロセス、組織構造、リソースを文書化して、現在のガバナンス能力を評価する。
    ●自社のアイデンティティ・データ・モデルの現状を評価し、IAGに関するプロセスとテクノロジを効果的に利用する上で必要となる可能性のある変更について判断する。
    ●アクセス・ガバナンスの確立が重要な成果物である場合は、IAGに関するツールとサービスの利用を検討する。


目次

  分析

    背景とコンテキスト
      アイデンティティ・データ・モデル
      IAGのワークフローと管理
      IAGのアイデンティティ・データの使用、モニタリング、最適化
      IAGの製品とサービス
      IAG単体ベンダー
      IAMスイート・ベンダー
      アイデンティティ管理ベンダー (一部IAG機能付き)
      IAGおよびIAI機能を持つその他のベンダー


    影響

    ガートナーの結論

  推奨リサーチ

図目次

    図1 プロセスとしてのIAM
    図2 IAMプロセスの「最小構成要素」

分析

IAGは、企業内のIAM実務における重要かつ不可欠な成熟ステップである。従来のIAM関連プロセスとツールでは、きめ細かいアプリケーション固有のアクセス要求が適切に処理されていなかった。IAGから得られるコンプライアンス関連のレポートおよびインテリジェンスが、監査人と経営層に求められる説明責任と透明性を実現するのであれば、より成熟度と精度の高いアクセス処理を実装する手段が必要であるという認識もある。

IAGプロセスの大部分は、権限管理プロセス内に見ることができる。具体的には、IAGのうちアイデンティティ・データ・モデルの作成と保守を扱う部分である (図1参照)。IAGを意味のあるものにするには、アイデンティティ・データ・モデルの品質と完全性を維持しなくてはならない。定義された関係 (IDやアカウントなどの識別子、コンテキストを提供する属性/権限/役割/規則の間の関係) の質が、アプリケーションやITリソースへのアクセス中にもたらされる説明責任と透明性の質に直接比例する。


図1 プロセスとしてのIAM

出典:ガートナー (2011年7月)

IAMソリューションの選択は、正規のアクセス要求プロセスにもっぱら重点が置かれる。効果的なプロセスはビジネス部門によって定義され、最も必要とされる部分は自動化される。アイデンティティ情報とその利用に関するビジネス部門の見方に最も近いアイデンティティ・データ・モデルを表現するソフトウェアの能力に選択を左右される。IAGは、ITのガバナンス・リスク・コンプライアンス (GRC) 実務の重要な一部である。したがって、プロセスと行動の構造化されたセットの一部であり、定義されたインプットとアウトプットを伴い、管理者と利用者の双方に特定のスキルセットが要求される。IAGソフトウェアは、必要ならばIT GRC管理ソフトウェアと十分に統合できるものであって、必要に応じてIT GRC管理に対してアイデンティティ/アクセス・インテリジェンス (IAI) をアウトプットするものが望ましい。

背景とコンテキスト
ガートナーでは、IAGを「必要なITリソース (構造化/非構造化データおよび情報を含む) に対する完全かつタイムリーなアクセスを保証するために、アクセス要求プロセスと関連機能を管理するライフサイクル・プラクティス」と定義している。これには、役割とアクセス・ポリシーの管理、権限などの重要なアイデンティティ・データをカタログ化するアイデンティティ・データ・モデルの構築、リスクのスコア化など、いくつかの異なる機能が関係する。

IAGは、第1に、IAM内の管理機能とインテリジェンス機能のセットであり、コンプライアンス要件、情報セキュリティ管理目標、リスク管理目標に従ってアクセス権限の管理、レビュー、割り当てを実行する。IAGは、コンプライアンスとアクセス管理ポリシーを、それらを必要とする重要なビジネス・システムとプラットフォームに結び付けるために必要な「接着剤」となる。IAGはコントロールを可能にし、インテリジェンスを生み出して、ビジネス・プロセス・オーナーが意思決定のための「イベント」透明性にアクセスできるようにする。IAGは、アクセス権の使用についてはエンドユーザーに、承認についてはマネージャーに、管理については管理者に責任を取らせる方法も提供する。

その他のIAG固有の対応能力を以下に挙げる。

    ●アイデンティティ・データ・モデルとユース・モデルの設計 (発見ツールとマイニング・ツールを利用)
    ●アクセス要求の管理
    ●アクセス・ポリシーの管理
    ●アクセス資格情報の管理
    ●アクセス認証
    ●役割の管理
    ●SOD(職務分掌) に関する分析と検証
    ●権限の管理

本リサーチノートで調査したIAG市場は、上記の対応能力をサポートする製品を提供している。購入企業は、自社のIAGを確立するに当たり、上記の対応能力の全部または一部を利用できる。

以前のリサーチノートで定義したように、IAGは、IAMプロセスの一部である (「A Process View of Identity and Access Management Is Essential」)。本リサーチノートの目的は、IAGツールの市場、IAGツールの機能、IAMシステム内でのIAGツールの役割について調査することである。IAGを担当する組織については、今後のリサーチノートで取り上げる。

明らかにIAGツールであるものには、機能に関して「アイデンティティ・データ・モデルの構築」「アクセス要求プロセスの管理」「ポリシーに準拠したアクセスであることを確認するためのプロセスの監視」という3つの大きなカテゴリがある。最初のカテゴリは、「IAGプロセスに必要な準備として、アイデンティティ・データの構造化モデルを構築するもの」と記述することができる。これは、ガートナーがIAMの「最小構成要素」と呼ぶ以下の要素で構成される。

    ●アクセス関連ビジネス要件に対するIAGの解釈を定義する「アクセス・ポリシー」
    ●複数の属性から成立するコンテキストに基づいてアクセス・ポリシーを適用するために、ソフトウェアに適用される具体的な命令に相当する「ルール」
    ●グローバルIDやアカウント名などの「識別子」
    ●識別子にコンテキスト(住所やステータスなど) を付加する「識別子属性」
    ●X.509証明書などの「認証情報」あるいは強度の高い「認証メカニズム」
    ●アプリケーション内での読み書き機能などの 「権限」


IAGの一般的構成要素である役割も、アイデンティティ・データの構造化モデルに含めることができる。このモデルは各要素間の関係を定義し、モデルの状態はアクセス要求プロセスによって最新に保たれる。こうした機能から導き出されたIAIを使用すると、プロセスの継続的改善も可能になる (図2参照)。



図2 IAMプロセスの「最小構成要素」

出典:ガートナー (2011年7月)

各要素間の関係の例には、ポリシーを実施するためにルール・セットを定義することや、ルールを踏まえてアイデンティティのコンテキストを定義するために属性を識別子に割り当てることなどがある。アクセス決定ステップにおいてルールと属性を組み合わせることにより、そのアクセス決定時に使用される権限が決定される。上記の要素間の相互作用は、アイデンティティ・データ・モデルの恒常的かつ動的な側面であり、IAGツール導入の成否を判断する重要な尺度となる。

アイデンティティ・データ・モデル
アイデンティティ・データ・モデルはIAGツールの出発点である。多くの面で、これは標準的な企業ディレクトリ内のデータモデルを拡張し、ツールが提供するデータベース (モデルを完成するために必要な権限カタログ、ルール・セット、拡張属性情報などが含まれる) で補足したものである。アイデンティティ・データ・モデルは、ネットワーク化されたモデルと考える方がより正確である。なぜなら、企業内の多くの異なるソースから得たデータで構成される可能性があるからである。モデルの構築はビジネス部門の選ばれた利害関係者とITアーキテクトによる共同作業であり、トップダウン方式で対応付けを行う。その際は、上述した関係がアイデンティティ・モデルにできるだけ緊密に反映されるよう、アクセスに関するビジネス要件をIT部門に対して正確に説明する。

例えば権限割り当ての場合、IT部門はアプリケーションとシステムの内部で、権限がどのように定義されているかを把握している。IT部門と共同で作業に当たるビジネス・プランナーは、重要なアプリケーションとサービスにアクセスする必要のあるビジネス・プロセスで使用するビジネス上の役割とコンプライアンス義務に、権限がどのように関連しているかを把握している。「対応付け」のプロセスとは、アイデンティティ・データ・モデルの構築時に、ビジネス部門側の権限関係の見方を、IT部門側のアプリケーションとシステムに固有の見方に重ね合わせることである。この対応付けは大変重要であり、IAGの戦略的プランニングの領域が反映される。ビジネス部門の権限利用の見方を反映できるかどうかによって、IAGの成否がおおむね決まる。

アイデンティティ・データ・モデルは、アイデンティティ・データの「利用」要素も含む。これはすなわち、IAGツールの活動とイベントのログ・メカニズムである。このログは、プログラム管理ライフサイクルとガバナンス・ライフサイクルの一部として (「Best Practices for Identity and Access Management Program Management and Governance」参照)、 IAGがIAIを実現する上で不可欠である (「Identity and Access Intelligence: Making IAM Relevant to the Business」参照)。IAGログは、属性、認証情報、権限を識別子と役割に割り当てた際の管理活動と、アクセス要求の処理時にIAGアプリケーションから報告されたイベントを記録する。IAGは、セキュリティ情報/イベント管理 (SIEM)、情報漏洩防止 (DLP)、権限管理などの隣接テクノロジによって記録された外部ログにアクセスして、現在起きている事象、その影響を受ける人物や事物、影響が生じる時期を完全に把握することもできる。IAMは、上記の各製品に関するインテリジェンスの供給源にもなる。

IAGによって、職務分掌違反を特定し是正する「統制の継続的モニタリング (CCM)」も可能になる (「Continuous Controls Monitoring for Transactions: The Next Frontier for GRC Automation」参照)。アイデンティティ・データ・モデルの正確性を維持することは、IAG運用を成功させるための前提条件であり、当初は前途有望であったIAGプログラムが失敗する原因にもなる。

IAGのワークフローと管理
IAGツールの2番目の主要機能カテゴリは、アクセス要求のワークフローと管理の実行である。この機能は、ビジネス部門のアクセス要求の管理責任者から、IT部門のアイデンティティ・データ・モデル・サポートシステムとIAGワークフローの管理責任者に至るまで、ガバナンス・ライフサイクルのさまざまな参加者を対象とする。IAGツールは、ITプロセスとビジネス・プロセスとの真の接点の1つに相当し、そこには、アプリケーションとシステムに対する完全かつタイムリーで正確なアクセスに必要なデータの完全性に関する共同責任が存在する。ビジネス部門の代表者は、部門内のユーザーが要求する権限の承認と認証に説明責任を負う。また、IT部門と協力して、責任分野内でのアクセス要求の処理方法が反映されるようIAGワークフローを正確に定義することにも責任を負う。多くの企業では、これはIT部門からビジネス部門への説明責任の「移管」を意味する。これは、ユーザー・プロビジョニングのような第1世代のIAM製品が数年前に企業に導入された際には起きなかったことである。

IAGのアイデンティティ・データの使用、モニタリング、最適化
IAGのワークフローと管理を適用すると、ログが生成される。このログは、IAG製品の使用を通じて、システム、レビューと要求、アイデンティティ活動とイベントを把握し、実行されているIAGプロセスの、ありのままでありつつも包括的な姿を把握する。IAG機能の重要な部分は、IAIの作成と生成であり (リサーチノート、INF-13-34、2013年4月10日付「アイデンティティ/アクセス・インテリジェンス:IAMをビジネス部門にとって意味のあるものにする」参照)、IAIはあらゆる形態のアイデンティティ・データ利用について、構造化された分析的な手法によって関連付け、レビュー、分析、報告を行うことから導き出される。サポートするIAGシステムのモニタリングと最適化は、IAIのアウトプットに重点を置き、システムとプロセスを改善する「閉ループ」として働く。

コンプライアンス・レポートは、IAGシステムから生み出されたIAIの最初の実用的形態であり、現在もそうである。IAGだけがIAIを生成するのではないが、IAGは最も重要なものの1つであり、効果的なIAIの恩恵を最も受けるプラクティスでもある。IAGのアイデンティティ・データの利用は、今後のリサーチのテーマとなる予定である。

IAGの製品とサービス
現在、市場には以下の4つのタイプのIAG製品ベンダーが存在する。

    ●発見、マイニング、エンジニアリングを通じたアイデンティティ・データ・モデルの構築を重視し、きめ細かいアクセスの要求と管理のためのワークフローの提供に重点を置くベンダー

    ● より広範なIAMスイートの一部としてIAG機能を提供するベンダー

    ● 自社スイート内の別製品の一部として重要なIAG機能を提供するベンダー

    ● IAGの関連分野を重視し、一部のIAGおよびIAI機能を保有するが、IAG製品とは見なされないベンダー (製品は、CCMまたは職務分掌関連であることが多い)
次項では、各タイプのベンダーの代表例を示す。これは上記の説明に合致するベンダーとそのIAG製品を網羅したリストではないが、市場への参入状況を把握することはできる。ガートナーでは、2011年後半にIAG市場に関するさらに大規模なマジック・クアドラントを公開し、主として最初の2つのタイプのベンダーに注目して、ベンダーの能力と市場での位置付けについてさらに詳細に解説している。

IAG単体ベンダー

Aveksa ( http://www.aveksa.com/ )
米国、マサチューセッツ州ウォルサム
製品:Aveksa Enterprise Access Governance Platform (すなわちCompliance Manager、Role Manager、Access Request and Change Manager、Data Access Governance)

Bhold ( http://www.microsoft.com/en-us/server-cloud/forefront/identity-manager.aspx )
オランダ、ユトレヒト (監訳者注:2011年9月、Microsoftにより買収された)
製品:Bhold Suite、Bhold Controls、Bhold Attestation

CrossIdeas ( http://www.crossideas.com/ )
イタリア、ローマ
製品:Ideas Core、Access Certifier、Role Constructor、Compliance Control for SAP-CCS

RM5 Software ( http://www.rm5software.com/ )
フィンランド、ヘルシンキ
製品:RM5 IdM、RM5 IdM SaaS

SailPoint ( http://www.sailpoint.com/ )
米国、テキサス州オースティン
製品:SailPoint IdentityIQ (Compliance Manager、Lifecycle Manager、Governance Platform、Provisioning Engine、Identity Intelligenceを含む)

IAMスイート・ベンダー

NetIQ ( http://www.netiq.com/ )
米国、テキサス州ヒューストン
製品:Novell Access Governance Suite (AveksaのOEM)、またNovell Identity Managerに組み込まれた役割管理機能

CA Technologies ( http://www.ca.com/ )
米国、ニューヨーク州アイランディア
製品:CA Role & Compliance Manager、CA Identity Manager

Courion ( http://www.courion.com/ )
米国、マサチューセッツ州ウォルサム
製品:Access Assurance Suite (ComplianceCourier、RoleCourier、AccountCourier)

Hitachi ID Systems ( http://www.hitachi-id.com/ )
カナダ、アルバータ州カルガリー
製品:Identity Manager、Group Manager

IBM Tivoli ( http://www.ibm.com/ )
米国、ニューヨーク州ホワイトプレーンズ
製品:Tivoli Identity Manager、IBM Security Role and Policy Modeler

Oracle ( http://www.oracle.com/ )
米国、カリフォルニア州レッドウッドショアーズ
製品:Oracle Identity Analytics、Oracle Identity Manager

アイデンティティ管理ベンダー (一部IAG機能付き)

Avatier ( http://www.avatier.com/ )
米国、カリフォルニア州サンラモン
製品:Avatier Identity Management Suite (AIMS)

Beta Systems ( http://www.betasystems.com/ )
ドイツ、ベルリン
製品:SAM Enterprise Identity Manager、SAM Rolmine

BMC Software ( http://www.bmc.com/ )
米国、テキサス州ヒューストン
製品:BMC Remedy Identity Manager (SailPointと提携)

Evidian ( http://www.evidian.com/iam/ )
フランス、レ・クレイ
製品:Evidian Identity & Access Manager

Fischer International ( http://www.fischerinternational.com/ )
米国、フロリダ州ネープルズ
製品:Fischer Identity Suite、Identity as a Service Solutions

Microsoft ( http://www.microsoft.com/ )
米国、ワシントン州レドモンド
製品:Forefront Identity Manager、Sentillion proVision

Omada ( http://www.omada.net/ )
デンマーク、コペンハーゲン
製品:Omada Identity Suite (Compliance Attestation Manager、Compliance Report Center、Advanced Role-Based Access Controlを含む)

Quest ( http://www.quest.com/ )
米国、カリフォルニア州アリソビエホ (監訳者注:2012年9月、Dellにより買収された)
製品:Quest One Identity Manager、ActiveRoles Server

SAP ( http://www.sap.com/ )
ドイツ、ウォルドルフ
製品:SAP NetWeaver Identity Management

Siemens ( http://www.siemens.com/ )
ドイツ、ミュンヘン
製品:DirX Identity、DirX Audit

IAGおよびIAI機能を持つその他のベンダー

Approva ( http://www.infor.com/product_summary/fms/approva-continuous-monitoring/ )
米国、バージニア州ハーンドン (監訳者注:2011年9月、Inforにより買収された)
製品:Access Manager、Authorizations Insight、Certification Manager、Configuration Insight

LogLogic ( http://www.tibco.com/products/event-processing/log-management/default.jsp )
米国、カリフォルニア州サンノゼ (監訳者注:2012年4月、Tibcoにより買収された)
製品:LogLogic Compliance Manager

LogRhythm ( http://www.logrhythm.com/ )
米国、コロラド州ボルダー
製品:LogRhythm for Compliance and Audit

SAP ( http://www.sap.com/ )
ドイツ、ウォルドルフ
製品:SAP BusinessObjects Access Control

Security Compliance Corp. (SCC) ( http://www.securitycompliancecorp.com/ )
米国、カリフォルニア州オリンダ
製品:Access Auditor

Security Weaver ( http://www.securityweaver.com/ )
米国、カリフォルニア州サンディエゴ
製品:Secure Provisioning、Separations Enforcer

Varonis Systems ( http://www.varonis.com/ )
米国、ニューヨーク州ニューヨーク
製品:Varonis Data Governance Suite

影響
IAGに関する製品とサービスの市場は、重要なITシステムとアプリケーションへのアクセスに関するガバナンス義務の遂行に向けて一般的なIAMとその選択肢に関する議論を深める企業が増えるために、急速な成長と拡大が続く。2014年末まで、IAGはIAM市場で最も成長の速いセグメントとなり、ユーザー・プロビジョニング、アクセス管理、ディレクトリ・サービスの成長ペースを上回る。新規参入企業は、IAMの既存の実装を活用することおよび、従来型ベンダーとの提携やその機能セットの組み込みを通してIAG製品のデータ管理/ポリシー管理/ワークフロー能力を拡張することを目指す。IAGから見たIAIの価値は、アイデンティティ・データ・リポジトリと使用方法分析ツールのための、より正規のプログラムが適用されるにつれて増大し、結果としてガバナンス機能からIAIを要求するユースケースが増える。

大手IAMスイート・ベンダーは、IAGの管理とワークフローの機能をユーザー・プロビジョニングなどの従来型のIAM製品に組み込み、アイデンティティ・データ・モデルの構築とアイデンティティ・データの使用方法分析をサポートする。さらに複雑な機能については別の製品セットに一任しようとしている。そのため、IAMスイート・ベンダーの安定した顧客基盤に食い込もうとする単体IAGベンダーにとって、技術革新に向けたプレッシャーがますます強くなる可能性が高い。企業が、問題のあるアイデンティティ・データ・モデルを修正して自社のアイデンティティ利用方法をより正確に反映させることによってIAGツールとIAGツールから得られたIAIを利用できる態勢を整えるにつれ、アイデンティティ・データ・リポジトリの構築、合理化、クレンジングのすべて、またはいずれかが行われる事例が増える。

IAGは、ビジネス・プロセス・オーナーとアプリケーション・オーナーがアクセスの管理に当たって望むことに直接対処し、財務/監査/リスクに関する意思決定担当者に一層の重点を置くとともに、IT部門の支援も得るため、新しい購入センターが増え続ける。代表的なアイデンティティ・データ・モデルの構築とそれに続くワークフローの構築は複雑な作業であり、企業はコンサルティング・サービスと統合サービスへの依存を深める。そうしたサービスは、企業がIT GRCの懸念事項に対処するに当たりIAGがふさわしい位置を占めるようになるにつれて成長し拡大する。従来のIAMインテグレーターは既にIAGに関する役割と経験の拡張と集約を行っており、優れたIAIを開発している。

ガートナーの結論
テクノロジ・プロバイダーとサービス・プロバイダーは、企業にはアクセスとアイデンティティ・ライフサイクル全体にわたるガバナンスを義務付ける各社固有の要件があることを認識すべきである。この要件は、プロセス、人材、インフラストラクチャの前提条件を規定し、必要な変更を実施する際の優先順位に関する情報を企業に提供する。前提条件が特定され優先順位付けされている範囲において、基本的なIAMシステムを開発した企業はIAG導入の準備が整っていると考えてよい。多くの企業にとって、IAGとは何よりもまず、アクセスのエンド・ツー・エンド・プロセス全体に対してガバナンス (承認と認証を含む) を実施することである。プロバイダーは、このコンテキストにおいて引き続きIAGの定義を精緻化し、IAGの展開と利用を具体化するために必要なステップについて、合理的な理由を企業に提示しなければならない。

推奨リサーチ
・ 「Entitlement Life Cycle Management: The Evolution of Role Life Cycle Management」
・ 「アイデンティティ/アクセス・インテリジェンス:IAMをビジネス部門にとって意味のあるものにする」(INF-13-34、2013年4月10日付)
・ 「A Process View of Identity and Access Management Is Essential」
・ 「Best Practices for Identity and Access Management Program Management and Governance」
・ 「Continuous Controls Monitoring for Transactions: The Next Frontier for GRC Automation」

(監訳:石橋 正彦)

INF: INF-13-45
※本レポートの無断転載を禁じます。

←INDEXに戻る

 

gartner.com
TOP OF PAGE
Copyright