ニュース
EMCジャパン、ID・アクセス権限のガバナンスを支援する「RSA IMG」
ID・アクセス権の管理とレビューを自動化
(2015/2/9 14:50)
EMCジャパン株式会社は9日、複数のアプリケーションとITシステムに適用する役割と権限を管理するID&アクセスガバナンス管理ソリューション「RSA Identity Management&Governance(以下、RSA IMG)」の提供を開始した。参考価格は1万2000ユーザーで約3800万円(税別)。
昨今、クラウドサービスの多様なアプリ活用、業務の複雑化、ならびに組織横断的なプロジェクトにより、社員の認証や権限付与などのID管理が複雑化しているという。社員1人が利用するアプリの数が増えるにつれ、そのIDも膨大となり、1人で10個以上のIDを利用する例もみられる。また、社員の移動・昇進・退職時のID削除・設定変更も面倒な作業だ。
これらの状況は、顧客情報の持ち出しや架空取引といった不正行為の原因ともなり、経営リスクを増大。IT内部統制の観点からも、財務諸表の正確性や信頼性を保証できなくなるなどの問題を招きかねない。
RSA IMGは、こうしたID管理を効率化し、ビジネスの現場で求められるタイムリーなアクセス権要求に応えるとともに、ID・アクセス権限管理のガバナンスを支援するツール。主な特長は「アクセス権の可視化」「ID管理の効率化」「容易な導入」で、EMCジャパンでは「IDライフサイクル管理をIT視点からビジネス視点に置き換えるもの」とアピールしている。
具体的には、「Collector」と呼ばれるコンポーネントが各アプリ・システムからIDにまつわるデータを収集し、「共通データベース」に集約。セキュリティ担当者がレビュープロセスを起動すると、各部門長にレビューへの要求が飛ぶ。各部門長はGUI画面で社員ごとのIDとアクセス権限を確認し、一般社員に不当な上位権限が割り当てられているなどの違反が見つかった場合に、システムへ変更要求を出せる。すべての情報は「共通データベース」に集約され、各アプリ・システムへの変更も「Connector」と呼ばれるコンポーネントで自動化される。
RSA IMG導入前の環境では、各アプリ・システムからID・アクセス権限情報を手作業で抜き出してリスト化し、Excelなどにまとめた上で各部門長にレビューをお願いする。なかなか対応してくれない場合は主導メールで催促する必要もある。一方で各部門長はExcelにまとめられた一覧表に「面倒だな」と眉をひそめて、そのまま部下へレビュー権限を委譲してしまうケースなどもある。レビュー後も、変更が必要な場合は変更依頼書を作って手動で変更作業を行わなければならない。
実際にこうした環境でID管理を行っていたユーザー企業では「一連の作業を完了するのに36週間を要していたが、RSA IMGを導入したことで9週間に短縮できた」という。
「アクセス権の可視化」「ID管理の効率化」について、EMCジャパンでは「各部門長は、管理下のユーザーが必要とする情報、実際に使用しているアプリ、利用資格を把握できるため、各アプリ・システムに適用する役割と権限を正確に判断できる。レビュープロセスにより、ID管理とアクセス管理の不整合によるコンプライアンス違反も削減可能となる。また、新規アカウントの申請から発行までの承認プロセスや、アクセス権付与のレビュープロセスが自動化され、承認にかかる時間を短縮。ある金融機関の例では、アクセス要求のレビューが完了するまでの時間を7割削減できた」と説明している。
「容易な導入」では、同製品は必要なプログラム、データベース、ミドルウェアがパッケージ化された「ソフトウェアアプライアンス」として出荷するため、インストールが容易に完了するという。組織のビジネス要件に併せるコンフィグもWeb GUIベースで効率よく行え、RSAプロフェッショナルサービスの経験を反映した導入テンプレートを利用することも可能。「米国の例では、8種類前後のアプリを有する企業の70%が4カ月足らずで導入完了した」としている。
参考価格は、1万2000ユーザーで約3800万円(税別)。数百名の中小企業でも導入できることはできるが、ID管理が煩雑となる大企業ほど恩恵が受けられるとのことだ。2月9日から販売代理店およびEMCジャパンから提供。官公庁、金融業、製造業、通信業をはじめとする企業へ提案し、今後2年間で100万ユーザーでの利用をめざす。