Varonisによるエンタイトルメント管理の合理化

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

Varonisの「データセキュリティ」コラムの第64回目では、「Varonisによるエンタイトルメント管理の合理化」と題して、アクセス権申請の合理化、エンタイトルメントレビューの自動化、ジャストインタイムアクセスのサポート、最小権限の強制、IT部門の負担の軽減を実現する「Data Access Governance」の概要を紹介する、Nathan Coppingerのブログ記事をご紹介します。

ほとんどの組織にとって、アクセス許可の適正化は困難なものです。

ユーザーは頻繁に、離職、着任、職掌変更があり、新しいデータセットが継続的に作成され、新しいアクセス許可が必要となります。このため、アクセス権のもつれた網が出来上がり、IT部門とセキュリティ部門が管理に苦労することになります。Active Directoryのようなネイティブツールでは、最小特権を強制するために必要となる文脈と制御が不足しており、組織はリスクとコンプライアンスのギャップに晒されています。

Varonisを使用することにより、データ所有者は、IT部門が関与しなくても、誰がどのくらいの期間、自分のデータにアクセス権を必要とするかについて、十分な情報に基づいた判断を下すことができます。

Varonisは、エンドユーザーがデータ所有者に直接データ、アプリケーション、セキュリティグループへのアクセス権を申請するための直感的なWebインターフェースを提供することによって、エンタイトルメント管理を簡素化し、IT部門の負担を軽減します。データに対するアクセス権の制御、エンタイトルメントレビューの自動化、ジャストインタイムアクセスのサポート、最小権限の原則の強制ができるようにすることにより、データ所有者を支援します。

Varonisがお客様の組織のエンタイトルメント管理をどのように合理化できるかを具体的にご紹介しましょう。

セルフサービスによるアクセス権申請

Varonisを使用すると、エンドユーザーは、SharePoint Onlineサイト、Active Directoryグループからオンプレミス環境のファイル共有まで、幅広いアセットへのアクセス権申請を、直感的なWeb UIから直接データ所有者に対して簡単に送信することができます。このセルフサービス方式によって、IT部門の負担を軽減し、アクセス権承認プロセスを迅速化できます。データ所有者は、ジャストインタイムのアクセス制御を強制するために、アクセス権に開始日と終了日を設定し、必要な期間のみアクセス権が許可されるようにすることができます。

データ所有者に権限を付与

データの所有者よりもデータをよく理解している人は誰でしょうか？IT部門やセキュリティ部門は、データのアクセス権の管理を任されることがよくありますが、誰が本当にアクセス権を必要としているのかについて、十分な情報に基づいた判断を行うために必要な業務上の文脈が不足していることがよくあります。

これを補うため、通常は、静的な職掌に基づいてアクセス許可を割り当てる役割ベースのアクセス制御 (RBAC) に依存しています。 

しかし、今日の動的で部門横断的な環境では、RBACだけでは不十分な場合が多くあります。プロジェクトチームの流動的な性質や、職責の変化、あたかじめ定義されている役割と必ずしも一致しない臨機応変な共同作業は、考慮されていません。この不一致により、過剰な権限付与と不必要なアクセス権の障壁の両方が生じ、セキュリティと生産性のいずれもが損なわれる可能性があります。

データのアクセス権を効果的に決定するためには、個々のユーザーの特定のタスク、プロジェクト、データに対するニーズを可視化する必要があります。

Varonisを使用することにより、管理者は、データ所有者と信頼できる承認者を識別して任命することができます。データの最も近くにいるこれらの個人が、VaronisのUIから直接、あるいは電子メールからアクセス権を付与したり拒否することができるため、シームレスで効率的なワークフローが保証されます。

文脈に基づくアクセス権レビューの合理化

Varonisは、アクセス権を付与しようとしているデータの分類や機密性、ユーザーのドメイン、部署、所属をデータ所有者に示すことにより、誰がアクセス権を持つべきかについて十分な情報に基づいた判断を下すことを支援します。この包括的なビューにより、データ所有者は潜在的なリスクを評価し、組織のポリシーとセキュリティ方針に沿ったた意思決定を行うことができます。

申請が行われると、データ所有者はUIまたは電子メールで申請を確認するように求められ、申請されたデータとユーザーに関してVaronisが持つ文脈の全容が提供されます。定期的なアクセス権レビューで、継続的にエンタイトルメントを監視して調整することにより、安全な環境を維持することができます。

アクセス権承認の自動化

絶え間ない組織の変化に伴い、IT部門、セキュリティ部門、データ所有者は、誰が何にアクセス権を必要としているのかを把握するのに苦労しています。これに対処するために、管理者はVaronisを使用して、ドメイン、部門、場所、電子メール、さらに特定の名前やユーザーなどのさまざまな属性に基づいて、データやグループへのアクセス権を付与あるいは取り消す自動承認ルールを作成することができます。

これらのルールは、アクセス権管理プロセスを合理化し、手動による介入のない、ポリシー手動のアクセス制御を保証します。例えば、Varonisが、財務グループのユーザーに、financeフォルダーとSharePointサイトへのアクセス権を自動的に付与するように構成することができます。

総合的なデータセキュリティ

セルフサービスによるアクセス権申請と、エンタイトルメントレビューの自動化は、組織がデータへのエンタイトルメントを管理し、大規模な露出リストを自動的に修正することができるようにする、Varonisの広範なデータアクセスガバナンス制御の一部に過ぎません。

Varonisは、自動的に共有リンクを削除し、データを検疫し、古いアクセス許可を削除して、最小限の労力で爆発範囲を大幅に縮小することができます。アクセスガバナンスとデータセキュリティを統合することにより、Varonisは機密性の高い情報が不正アクセスや潜在的な侵害から保護されることを確実にします。

参考資料

・オリジナルブログ記事（英文）
https://www.varonis.com/blog/entitlement-management

・製品データシート「Data Access Governance」
https://view.highspot.com/viewer/3d5ca03db043ecf1c57663e7feb83220

ブログ著者について

Nathan Coppinger

Nathanは、最先端のテクノロジーを学ぶことが好きでしたが、コーディングをするための忍耐力はありませんでした。そこで彼は、ソフトウェアコードの背後にいる才能ある人々を代弁するマイクとなるという自分の立ち位置を見つけました。

（翻訳：跡部 靖夫）