エンタイトルメント管理とは?
ユーザーアクセスをエンタイトルメント管理を使用して制御し、システム、デバイス、ソフトウェア、デジタルコンテンツへのアクセスを管理できます。また、エンタイトルメント管理は、特権、アクセス権、アクセス許可、または認可の管理を指すこともあり、基本的には許可されたユーザーだけが特定のものにアクセスできるようにします。
エンタイトルメント管理は、システム内のアクセスやユーザー特権を制御する方法を提供します。
エンタイトルメント管理ソリューションは多くの場合に、さまざまなプラットフォーム、システム、デバイス、ネットワークコンポーネント、アプリケーションの複数のテクノロジーを使用できます。アイデンティティのガバナンス機能であるエンタイトルメント管理は、アクセス要求ワークフローを自動化することで、特権を必要とするユーザーが必要なものだけにアクセスできるようにします。
エンタイトルメント管理の理解
エンタイトルメント管理は、システム内の特定のユーザーアクセスを付与、発行、適用、取り消し、解決することでユーザー特権(エンタイトルメント)に対するアクセスを管理するテクノロジーです。エンタイトルメント管理により、適切なユーザーによる必要なシステム、ネットワーク、ソフトウェア、アプリケーション、デバイスへのアクセスを付与することによる潜在的な人為的ミスを排除しつつ、ユーザーにアクセスを許可しないもの、またはアクセスする必要がないものを管理できるようになります。
従業員のアクセスニーズや権限は絶えず変化し、進化するため、変化し続けるワークフローを管理するのが困難な場合もあります。業務の遂行に必要なシステム、アプリケーション、ソフトウェアに対するアクセスやユーザー特権が従業員にあることは重要ですが、これらのニーズの変化に伴い、必要なアクセスのタイプも変化します。エンタイトルメント管理は、組織内外のユーザーの効率的なアクセス管理に役立ちます。
ソフトウェアライセンス契約の条件に違反しないようにするために、エンタイトルメント管理を使用してライセンスされたソフトウェアに対する権利の使用方法を管理することもできます。たとえば、企業があるソフトウェアの特定の数のライセンスを購入する場合、それを使用する必要があるユーザーだけが適切な状況で使用するようにする必要があります。エンタイトルメント管理のフレームワークは、このような管理に役立ちます。
エンタイトルメント管理ソリューションとは
エンタイトルメント管理ソリューションは、単一のプラットフォームを使用して、システム管理者やソフトウェアプロバイダーのエンタイトルメントのアクティブ化やプロビジョニングなどの面倒なタスクを自動化します。
組織内のユーザー特権のアクセス管理は、サイバーセキュリティの重要な側面ではあるものの、時間がかかり、人為的ミスにつながる可能性もあります。管理オーバーヘッドを削減しつつ、標準化された方法でのITセキュリティの強化にも役立つユーザー管理ポリシーには、大きなメリットがあります。
エンタイトルメント管理ソリューションは、組織のシステム全体に簡単に導入し、統合できるものである必要があります。エンタイトルメントの一元管理は、このプロセスの合理化に不可欠です。
組織内の条件とユーザー権限は絶えず進化し、変化しています。そのため、管理者が必要に応じてエンタイトルメントを管理できる必要があります。優れたエンタイトルメント管理ソリューションは、管理、自動化、管理が容易です。
エンタイトルメント管理ソリューションは、一元化されたフレームワークを使用して特定のユーザーを指定し、ユーザーごとにアクセスできるエンタイトルメント、時間、期間を定義します。
ユーザーの特権と権利の委任には時間もコストもかかり、システム管理者が多くの時間と労力を必要とする場合があります。エンタイトルメント管理ソリューションを使用することで、このプロセス全体で特定ユーザー、ユーザーグループ、ユーザーごとの期間といった自動化が可能になります。
エンタイトルメント管理システム
エンタイトルメント管理システムは、次のことを実行できる必要があります。
- ユーザーの役割を定義する。
- ユーザーの役割の階層を管理する。
- アクセス許可とユーザーリソースを定義し、管理する。
- ユーザー権限を必要に応じて適用し、取り消す。
- アクセス制御の付与と拒否に関連する複雑な条件を処理する。
- ソフトウェアエンタイトルメントを適用する。
- データ主導型のアプローチやロールベースのアクセス制御などのアクセス制御パラダイムを実装する。
- アプリケーションのパフォーマンスを監視し、追跡することで、製品の結果や製品の特定の機能を判断する。
エンタイトルメント管理システムは、不正ユーザーがリソースにアクセスすることで発生する潜在的セキュリティ侵害を排除する重要なツールになる可能性があります。
従業員の役割が変わったり、退職したりすると、ビジネスニーズが急速に変化する可能性があります。従業員が別のグループや部門に異動する場合、異なるアクセス制御権限が必要になる場合があります。従業員が退職した場合、エンタイトルメントへのその従業員のアクセスを取り消す必要があります。
エンタイトルメント管理システムは、エンドユーザーやソフトウェア開発者に対するエンタイトルメントの内部でのプロビジョニングを可能にします。ソフトウェア開発者が新しい機能をソフトウェア収益化ソリューションの一部として追加してソフトウェアアプリケーションを再パッケージ化することで、市場の変化に適応することもできます。
エンタイトルメントへのアクセスの制御
エンタイトルメント管理ソリューションは、アクセスパッケージを使用して、ユーザーが業務の遂行にあたってアクセスする必要があるリソースを特定し、それらのリソースをまとめることができます。この機能は、組織の内部と外部の両方のユーザーに利用できます。
誰がどのエンタイトルメントにアクセスできるかを制御するため、管理者やこの役割が委任されているアクセスパッケージマネージャーは最初に、すべてのリソースとユーザーがそれらのリソースに必要とする役割のリストを参照します。
リソースとしては、次のようなものがあります。
- グループ
- 用途
- Webサイト
- ネットワークプラットフォーム
- デバイス
- システム
- ファイルやデータベース
- ソフトウェア
アクセスパッケージには、各アクセスパッケージの割り当てのルールを設定するポリシーも存在することになります。これらのポリシーにより、認可されたユーザーのみがアクセスパッケージへのアクセスを要求できること、アクセスを許可または拒否する承認者が設定されていること、更新されない場合はアクセスが失効すること(すなわち期限付き)が決定されます。アクセスパッケージマネージャーまたは管理者がアクセスパッケージごとのポリシーを定義し、それらのポリシーによってエンタイトルメントへのアクセスが指定され、制御されます。
アクセスパッケージはどのような場合に使用されるか
アクセスパッケージは、次のような状況での誰がどのエンタイトルメントにアクセスできるかの制御に特に役立ちます。
- 従業員や従業員のグループは、リソースにアクセスする必要がありますが、その時間は限られています。エンタイトルメント管理システムを使用すると、管理者は、プロジェクトの期間中に特定のリソースに対するアクセスを委任し、設定した期間の終了時にそのアクセスが期限切れになるようにできます。
- 組織内の部門は、IT部門への依頼を必要とすることなく、特定のリソースに対するアクセス制御のパッケージやポリシーを管理できます。
- 組織内のマネージャーやその他の指定された個人がユーザーアクセスを付与する必要がある場合は、アクセスパッケージが役立ちます。
- アクセスパッケージは、2つ以上の組織や組織の内外の個人が共同プロジェクトの目的で同じリソースにアクセスする必要がある場合に特に役立ちます。このタイプのアクセス制御により、ユーザーは必要な特定のリソースに対してのみ、エンタイトルメントを必要とする期間のみ、アクセスできるようになります。
こちらの情報も併せてご活用ください
強力なエンタイトルメント管理ソリューションは、リアルタイムのアクセスのガバナンス、脅威の監視、継続的なリスク評価の作成、ユーザー、リソース、アセットの保護を可能にします。
これを可能にする、市販されているソフトウェアソリューションは、組織のフレームワークにシームレスに統合され、複数のアクセスパッケージとポリシーの一元的なアクセス制御ポイントを提供します。
たとえば、MicrosoftのAzure Active Directoryのセキュリティとガバナンスなどがあります。
2021年Gartnerマジック・クアドラントのコンテンツサービスプラットフォーム部門で、Oktaは、アクセス制御管理ソリューションのリーダーの1社に位置づけられました。Oktaを採用することで、Okta(Auth0)を使用してアクセス制御を効果的に管理し、クラウドソリューションやWebアプリケーションを確立し、適用できます。
参考文献
Adaptive Identity and Access Management- Contextual Data Based on Policies(2016年8月、EURASIP Journal on Information Security)
Azure Active Directory Security and Governance(2022年、Microsoft)
2021 Gartner Magic Quadrant for Content Services Platforms(2022年、M-Files, Inc.)