プロビジョニングとデプロビジョニングとは?
プロビジョニングとは、一般的に情報技術(IT)システムをユーザーが利用できるようにするためのプロセスです。組織のニーズに応じて、ネットワーク、サーバー、アプリケーション、ユーザーといったレベルでプロビジョニングを定義することができます
- ネットワークプロビジョニングは、ユーザー、サーバー、デバイスがアクセス可能なネットワークをセットアップすることです。例えば、通信業界では、ネットワークプロビジョニングを利用して、お客様にモバイル通信環境を提供したりする例があります。
- サーバープロビジョニングとは、ネットワーク内で使用できるサーバをセットアップする作業のことです。これには、新しいマシンの作成、データセンターへの物理的なハードウェアの設置、ソフトウェアのインストールと設定、ネットワークやストレージへの接続なども含まれます。
- アプリケーションプロビジョニングは、管理者が企業内のさまざまな環境に応じてアプリケーションパフォーマンスを最適化できるようにするインフラ管理のソリューションです
- ユーザープロビジョニングとは、デジタルアイデンティティを管理するプロセスで、企業のアプリケーション、ファイル、ネットワーク、システム、リソースに対するユーザーのアクセス権と権限の作成、更新、削除を含みます。
デプロビジョニングは、ソフトウェアやネットワークサービスへのユーザーのアクセスを削除するプロセスです。簡単に言えば、プロビジョニングの正反対で、一般的には従業員が部署異動したり、会社を辞めたりするときに発生します。
プロビジョニングとデプロビジョニングは、IT システムとアプリケーションのセキュリティにおいて重要な役割を果たしますが、効果的かつ自動化されたユーザープロビジョニングは、セキュリティ態勢の強化を望むすべての組織にとって最優先事項であると言えます。
ユーザープロビジョニングとデプロビジョニングが重要な理由
新入社員が入社したとき、組織が最初に行うことのひとつは、その社員の人事レコードを作成することです。そして、その社員が業務に必要なすべてのアプリ、アカウント、システムにアクセスできるようにすることが、人事部門、IT部門、またはその2つのチームの責任となります。
したがって、ユーザーのプロビジョニングは、組織の人事システムに情報が追加または修正されるたびに行われます。これには、部門メンバーの追加、役割の変更、昇進、部署の異動などが含まれます。言い換えれば、ユーザープロビジョニングは、入社時に適切なレベルのアクセスを適切なユーザに提供し、雇用期間中にアクセスを更新し、離職時にはデプロビジョンプロセスでアクセスを削除することを意味します。
プロビジョニングの自動化とは?そのメリットは?
プロビジョニングの自動化とは、ユーザーのオンボーディング(入社)とオフボーディング(退社)というプロセスを自動化することです。大小さまざまな組織において、ユーザープロビジョニングの自動化により、IT部門や人事部門はより戦略的な業務に取り組む ことができ、ヒューマンエラーの影響を最小限に抑えることでセキュリティリスクを軽減し、より良いユーザ体験を従業員へ提供することができます。
特に昨今、社員はこれまで以上に多くの業務アプリケーションにアクセスする必要が出てきており(Oktaの最新調査では従業員2000人以上の企業で平均211個のアプリケーションを利用)、個々のユーザープロファイル、アカウント権限、グループメンバーシップを手動で更新するのは時間がかかります。それだけでなく、ITチームが他のプロジェクトに忙殺されていると、プロセスが遅れてしまうこともあります。このため、新しいユーザーを迅速にセットアップすることができず、アクセス権の付与や削除が滞り、不適切なアクセス権の監視や特定が困難になる可能性があります。プロビジョニングとデプロビジョニングの自動化により、IT部門の負担を軽減し、ビジネス価値を高めるためのプロジェクトに時間を割くことができます。
また、ユーザープロビジョニングを自動化することで、セキュリティ侵害の危険性があるアクセスの放置を解消することができます。手動でユーザーアカウントを作成するということは、組織内の誰かが従業員とパスワードを共有しなければならないということです。また、同様のヒューマンエラーは、セキュリティ上の脅威となる可能性があります。例えば、本来アクセスできないはずのシステムやデータに誤ってアクセスできてしまったり、組織を離れた後もアクセスできてしまったりする可能性があります。
ユーザーのプロビジョニングとデプロビジョニングを自動化することで、これらのリスクを排除し、安全な方法で個人に権限を与えることができます。このプロセスでは、ユーザーの役割の属性に基づいて、オンプレミスおよび外部アプリのプロビジョニングが行われるようにします。これらの属性と権限は、一元的に保管され、従業員の役割の変化に応じて簡単に変更することができます。部署やチームが新しいツールを導入したり、従業員の役割を変更したりする際にも、グループルールに基づいてアクセス権を展開することができます。
プロビジョニングは、必要な時だけユーザーに自動的にアクセス権を与え、ハッカーが企業の機密情報に不正にアクセスするようなセキュリティギャップを防ぐことができます。
ユーザープロビジョニングシステム構築の基本ステップ
ユーザーのプロビジョニングとデプロビジョニングを自動化する前に、まず、解決すべき問題を特定し、ユースケースを特定する必要があります。また、組織全体に展開する前に、限定的なスコープでパイロットプロジェクトでテストするのも良いアプローチです。
ステップ1:アイデンティティとアクセス管理の評価
最初のステップは、プロビジョニングの要件を定義し、現在のID管理の仕組みの品質と成熟度を評価することです。3つのポイントがあります。
- 人:従業員は、ユーザープロビジョニングの意味とその責任範囲について理解していますか?アクセス管理ツールは使いやすいものになっていますか?
- プロセス:既存のユーザーアクセスのプロビジョニング、管理、デプロビジョニングのエンドツーエンドプロセスはどうなっていますかか?事務的な負担が発生していませんか?
- テクノロジー:あなたの業務に必要なテクノロジーは、どれだけ包括的で、安全で、使いやすいですか?従業員の役割に応じて、システムが柔軟に即座に対応できますか?
現在のプロビジョニングシステムと、それを維持するために必要な時間とリソースを理解することは、次のステップを特定するために役立ちます。
ステップ2:ユーザープロビジョニングが必要な根拠を準備する
ユーザーのプロビジョニングは、すぐに結果が出るような簡単な作業ではありません。ソリューションを導入する前に、生産性の向上とリスクの低減、時間とコストの削減、ユーザー体験の向上、従業員のライフサイクル管理の容易化など、そのソリューションが組織にどのように役立つかを説明する包括的なビジネスケースを用意する必要があります。
数百、数千のアプリケーションを持つ企業では、ユーザーアクセスの管理に追われることになりがちです。そのため、ビジネスケースでは、重要なシステムやリソースを棚卸しし、優先順位をつける必要があります。
ステップ3:パイロットプロジェクトの発足
パイロットプロジェクトでユーザープロビジョニングを試行することが重要です。そのためには、従業員の参加を促すために主要な経営幹部の賛同を得るとともに、組織内のさまざまな事業部門からさまざまな上級職のトライアルユーザーを選定することが必要です。
試験的なプログラムには、4つのポイントがあります。
- 対象:対象となるシステムおよびユーザーを特定します。
- 期間:パイロットプロジェクトのスケジュールを作成し、確認と必要な変更を行うための十分な時間を確保します。
- 成果:パイロットプロジェクトが成功したかどうかを判定するための測定基準を定義します。これには、時間の節約の観点、生産性、ユーザー体験の向上などが含まれます。
- フィードバック:パイロットプロジェクトに参加したユーザーから意見を集めることで、メリットとデメリットを特定することができます。これは、SurveyMonkeyのようなツールを使って、簡単に匿名で行うことも可能です。
ステップ4:組織全体のユーザープロビジョニングへ拡大する
パイロットプロジェクトから得られた知見を実践に移せば、組織の他の部分にもユーザープロビジョニングを導入する準備が整います。できるだけスムーズに展開するために、ヘルプデスク、内部監査、コーポレートチームなど、さまざまな関係者を巻き込んで展開します。
しかし、単にプロビジョニングとデプロビジョニングの自動化を開始するだけでは、長期的な成功は望めないことを心に留めておく必要があります。以下を継続的にモニターする必要があります。
- 一定時間内にユーザーのプロビジョニングを完了させられた件数
- ヘルプデスクが処理するリクエストの数 。時間の経過とともに減少するはずです
- ユーザーアクセスに関連する内部監査の結果
- ユーザーからのフィードバックは、体験を継続的に向上させるために活用することができます
ユーザープロビジョニングのベストプラクティス
以下のベストプラクティスは、ユーザープロビジョニングを安全に成功させるために非常に重要なポイントです。
プロビジョニングとデプロビジョニングを自動化する
従業員のアクセス要件は、昇進、チームの異動、新しいデバイスの使用、さまざまな新しいソフトウェアツールの採用、退社などに応じて変化します。また、システムやネットワークへのアクセスを制限する必要がある請負業者やパートナーと一時的にのみ仕事をするケースや、組織が再編されたりする可能性も起こりえます。
プロビジョニングとデプロビジョニングを自動化することは、アクセス権付与のミスを防ぐために非常に重要です。このプロセスにより、IT部門は膨大な時間を節約でき、ヒューマンエラーや不必要なフラストレーションのリスクを取り除き、適切な人物のみが常にファイルやシステムにアクセスできるようにすることができます。
セキュリティを強化
ユーザープロビジョニングの仕組みは、個々のユーザのアクセスを管理するだけでなく、人事部とITチームが、部署やグループをまたがり、アクセス、アプリケーションの役割、セキュリティポリシーを管理することを可能にします。つまり、ITシステムをより安全にすることができます。グループルールにより、管理者はメンバーシップ、アプリケーションの許可、プロビジョニングなどを決定するポリシーを設定することができます。また、グループプッシュなどの機能を使って、サードパーティアプリにユーザーを簡単にプロビジョニングすることができます。
継続的なモニタリング
プロビジョニングエラーは、生産性を脅かすだけでなく、ユーザーに必要以上のアクセス権を与えることで、コンプライアンスやセキュリティが損なわれる可能性があります。企業は、ユーザーのアクセスを継続的に監視し、定期的にレポートを実行して、ユーザーアクセスの確認、割り当ての確認、孤立したアカウントの検出を可能にする必要があります。
ITへのアクセスを提供することは、継続的なプロセスです。OktaのLifecycle Management(LCM) が、ユーザーのプロビジョニングとデプロビジョニングを自動化し、システムを安全に保つためにどのように役立つか、ご確認ください。
このブログはこちらの英語ブログの翻訳、三船 亜由美によるレビューです。