 |
≫ |
|
|
|
|
|
- J-SOX対応
-ID管理は必須項目
- 内部統制
- 各種レギュレーション
- 個人情報保護法
|
|
|
|
|
|
・業務上のアプリケーションID管理や、システムアカウント管理は、監査において最重要指摘事項のひとつ
・ID/権限の発行・剥奪・変更の承認フローは大きなポイント
・フローを決めるだけでなく、実際にフロー通り実施されていることの証明が必要
・各省庁のガイドライン(FISC・経済産業省etc.)での必須項目
・セキュリティエリアでのガバナンス |
|
|
|
|
|
|
|
- システム増加、雇用形態の多様化による運用方式の複雑化
- 頻繁な組織変更・人事異動への対応
- 人的ミスの発生
|
|
|
|
|
|
・合併や分社化の影響が大きい
・従業員(エンドユーザー)の雇用形態の多様化、頻繁に発生する組織変更・人事異動の対応
・対象システムの複雑化が運用の煩雑化や人的ノウハウへの依存を招く
・IDの棚卸し作業は絶望的
・人的ミスの発生
・運用が煩雑化しているため、現状の運用コストの試算が困難 |
|
|
|
|
|
|
|
- 多数のID/パスワード管理を強要
- 度重なる認証画面の出現
|
|
|
|
|
|
・ユーザーはシステム単位で多数のID・パスワードを管理する必要がある
・しかも覚えにくいパスワードを要求
・配布されるアカウントの人的運用に限界
・ノートやデスクトップ画面にパスワードを記載
・個々のIDで同じパスワードを使用
・異なるアプリケーションを起動する度に本人確認を求められ、ユーザーは辟易している。 |
|
|
|
|
|
|
|
- 幽霊IDの存在
- 非公式なID登録・削除プロセスの存在
- 統一化/強化できない認証方式
|
|
|
|
|
|
・IDとユーザーが紐付かず、インシデント発生時に対応できない可能性がある。
・既存システムのID登録箇所が把握できないため、削除や変更フローが正確に実施できず、幽霊アカウントが発生。
・人的運用への過度な依存により、非公式・イレギュラーな対応が発生しセキュリティリスクの温床になる可能性がある。
・認証レベルの向上が、それぞれ独立したシステムに任されており、標準化や強化について全社レベルで検討できない。 |
|
|
|
|
|
|
 |
|
|
|
|
ID管理導入における問題点
- 内部統制やレギュレーション、情報漏えい対策で、早期に対応しなくてはならない
- 要件を固める期間が非常に長くなってしまう
- 要件を固めるが、運用イメージ、利用イメージがつかない
- 全体の導入に関して長期的になり莫大なコストがかかってしまう
|
|
|
|
|
Oracle Identity Managerについて |
|
|
|
|
Oracle Identity Managerは、人事のイベントに連動してアプリケーションやディレクトリに対するIDの追加、更新、削除プロセスを自動化する、クラス最高のユーザー・プロビジョニングおよび管理ソリューションです。
ID申請・承認を行うワークフローや棚卸、不正ID検知などのセキュリティ対策機能、ID操作に関する操作情報の証跡を取得・管理する機能を提供し、セキュリティ向上ともに運用管理や監査対応コストを削減します。 |
|
|
|
印刷用画面へ
