Oracle Access Governanceのアクセス・レビュー: キャンペーンおよびイベント駆動マイクロ認証によるアクセス権限の認証
アクセス・レビューは、アクセス証明またはアクセス証明とも呼ばれ、企業内のアイデンティティに付与されたアクセス権限を評価および証明するプロセスです。付与された権限がまだ必要かどうかをチェックして証明し、作業中の現在のジョブと連携します。Oracle Access Governanceのアクセス・レビュー機能を使用して、アクセス権限を確認します。規範的な分析に基づいてインサイトとAIを活用したレコメンデーションを調べて、迅速で正確なレビューの意思決定を行います。
企業は、オンプレミス・システムとクラウド・システムにわたって大規模な分散環境を保有しています。無関係な権限が過剰に蓄積されたり、重要な情報への不正アクセスを回避するために、アクセス・レビューはアクセスを監視および認証するために定期的に実行されます。これらは、セキュアなアクセス管理およびコンプライアンス・プロセスにとって不可欠です。
Oracle Access Governanceでアクセス・レビューを実行する主な利点
アクセス・レビューは、頻繁にアクセスの変更を管理し、コストを削減し、アイデンティティ・アクセス・ライフサイクルを管理し、コンプライアンスを維持し、セキュリティ・ポスチャを強化するのに役立ちます。企業は、アクセスの変動を毎日処理します。定期的なレビューでは、過剰な権限や無関係な権限を事前に検出して削除できます。
Oracle Access Governanceのアクセス・レビュー機能には、アクセス権限を確認するための様々なタイプがあります。たとえば、キャンペーンを使用して、ad hocまたは定期的なアクセス・レビューのセットを起動したり、イベント変更、タイムライン変更または孤立アカウントの検出に基づくマイクロ認証を使用します。
- 不要な不要なライセンスやリソースを削除するための推奨事項を提供することで、コストを削減します。たとえば、不要になった従業員のアプリケーション・アクセスを取り消します。
- アクセスを定期的に確認することで、企業のセキュリティ体制を強化し、適切なリソースに自分のロールに十分なアクセス権が付与されるようにします。たとえば、Oracle Access Governanceは、自動マイクロ認証を実行して、イベント変更(場所変更、部門変更)、タイムライン変更を検出したり、セキュリティの脅威を引き起こす孤立したアカウントを検出します。
- 定期的なアクセス・レビュー監査レポートを維持することで、ガバナンスのコンプライアンスおよび要件を満たします。たとえば、定期的なアクセス・レビュー・キャンペーンを通じて、GDPR、HIPAA、SOXなどの業界の規制およびコンプライアンス法への準拠を保証します。
- ピア・グループ分析、外れ値の検出、推奨などのAI/ML主導のアクセス・レビュー・インサイトを推奨することで、意思決定を簡素化します。たとえば、Oracle Access Governanceでは、規範的な分析に基づいて、アイデンティティに対する高リスク権限を取り消すことを推奨しています。
Oracle Access Governanceが提供するアクセス・レビューのタイプ
Oracle Access Governanceでは、アイデンティティ、グループ、アカウント、ロール、ポリシーおよび権限のセットに対してad hocまたは定期的なアクセス・レビューキャンペーンを実行できます。所有権レビューを実行して、リソースの所有権を確認することもできます。ほぼリアルタイムのマイクロ認証を使用して、イベント変更、タイムライン変更または不一致のアカウントの発生に基づいて特定のコンポーネントで自動レビューを実行します。
アクセス・レビュー・キャンペーン: アド・ホックまたは定期アクセス・レビュー
「キャンペーン」を使用して、定期的なアクセス・レビューまたはアドホック・アクセス・レビュー・プロセスを開始します。これらはスナップショットベースのレビューであり、特定の時点で関連するすべてのアクセス情報を取得してから、アクセス・レビュー・タスクを評価および生成します。キャンペーンを設定した後にデータに加えた変更は、これらのレビューには反映されません。
Identity Accessのレビュー
アイデンティティ・アクセス・レビューは、特定のリソースへのアクセスが検証または検証される、企業内のアイデンティティに対するアクセス権限の評価を指します。アイデンティティ・アクセス・レビューを実行して、要員およびコンシューマ・アイデンティティのアクセスを証明できます。アクティブなワークフォース・ユーザーであるレビューアは、割り当てられた権限を受け入れるか取り消すことができます。
- ユーザー(アクセス権を持つユーザー): コアおよびカスタム・アイデンティティ属性のセットを選択します。
- アプリケーション(アクセスしているアプリケーション): サービス、アプリケーションまたはクラウド・アカウントを選択します。
-
権限(権限): 管理対象システムで直接割り当てられる権限、またはOracle Access Governance内でプロビジョニングされた権限を選択します。この基準を使用して、管理対象システムから直接取り込まれた権限に基づいて、すべてのオーケストレート済システムの権限を迅速に証明できます。これらは、再調整された権限とも呼ばれます。権限に基づいてレビューを実行する方法の詳細は、管理対象システムに直接割り当てられた権限に基づくアイデンティティ・アクセス・レビューを参照してください。 ノート
- Oracle Access Governanceシステムの場合、直接割り当てられた権限(
DIRECT)または「権限」タイルからのリクエストによって付与されたアクセス・バンドルに基づいてレビューを実行できます。ポリシーを通じてプロビジョニングされた権限またはアカウントは、このレビューでは適格ではありません。 - アクセス・バンドルを作成することで、OCI IAMグループおよびアプリケーション・ロールをプロビジョニングできます。Oracle Cloud Infrastructure (OCI)システムの場合、「どの権限」タイルからOCIアクセス・バンドルを確認できます。
DIRECT)または「権限」タイルからのリクエストによって付与されたアクセス・バンドルに基づいてレビューを実行できます。ポリシーを通じてプロビジョニングされた権限またはアカウントは、このレビューでは適格ではありません。 - Oracle Access Governanceシステムの場合、直接割り当てられた権限(
- ロール(ロール): アイデンティティにプロビジョニングされたロールを選択します。
例: 組織内のジュニア・アソシエイトまたは請負業者がクリティカルな権限または制限された情報にアクセスできるかどうかを評価および証明するキャンペーンを実行できます。
管理対象システムで直接割り当てられた権限に基づくアイデンティティ・アクセス・レビュー
管理対象システムから直接取り込まれた権限に対してアイデンティティ・アクセス・レビューを実行することで、アイデンティティ・アクセスを証明できます。これらは、再調整された権限とも呼ばれます。リコンサイルされた権限は、Oracle Access Governanceからプロビジョニングせずに管理対象システムに直接プロビジョニングされる固有の権限を指します。これらのレビューを実行するには、「キャンペーン」ページからOracle Access Governanceシステムを選択します。
インサイトおよび推奨事項を使用して、レビュー担当者はこれらの権限を受け入れるか取り消すアクションを実行できます。ただし、アクセスをきめ細かいレベルで管理するには、アクセス・バンドルを使用して権限をプロビジョニングします。
「どの権限」タイルから一連の権限を選択すると、これらの権限に直接またはリクエスト(アクセス・バンドル)を介してアクセスできるすべての適格なアイデンティティのレビュー・タスクが生成されます。
- 権限タイプDIRECTで直接付与された権限を持つアイデンティティ。
- 権限タイプが「リクエスト」のアクセス・バンドルの一部として付与された権限があるアイデンティティ。
- 権限タイプが「リクエスト」のロールを介して付与された権限を持つアイデンティティ。
- 直接プロビジョニングまたはリクエストされたアイデンティティのアカウント。 ノート
ポリシーまたはOracle Identity Governance (OIG)およびOracle Cloud Infrastructure (OCI)アイデンティティ・アカウントを介してプロビジョニングされた権限またはアカウントについては、このレビューでは説明しません。
レビューに適格なコンポーネントは、選択した条件によって異なります。詳細は、「アクセス・レビュー・キャンペーンを開始する適格な編成済システム・タイプ」の表を参照してください。
- 直接割り当てられた権限、またはリクエストを介して付与されたアクセス・バンドルは、「どの権限」タイルで確認できます。レビューに含める権限は、付与タイプが「リクエスト」または「DIRECT」である必要があります。
- 直接割り当てられた権限がアクセス・バンドルに関連付けられており、「リクエスト」を介してアイデンティティにプロビジョニングされている場合、個々の権限ではなくアクセス・バンドルのみが表示されます。「リクエスト」を介してアイデンティティにプロビジョニングされたロールの場合、「どのロールですか。」タイルの下にロールとして表示されます。
例: 読取り権限および変更権限がアクセス・バンドルに含まれ、リクエストを介してアイデンティティにプロビジョニングされている場合、これらの特定の権限を表示および確認することはできません。アクセス・バンドルを確認するように選択できます。
- アカウントにポリシーによって付与された権限が含まれている場合、そのアカウントのレビュー・タスクは生成されません。
例: アカウントに4つの権限が含まれ、そのうちの2つはポリシーを介して付与されている場合、権限のレビューではアカウント・レビュー・タスクが生成されません。
シナリオ
- Aliceは、直接割り当てられた読取り権限および更新権限にアクセスできます。
- Janeは、アクセス・バンドルの一部として、追加の書込み権限とともにこれらの権限にアクセスできます。
- データベース管理者であるBettyは、これらの権限にアクセスできます。
- Aliceの場合、選択した権限がレビューされます。
- Janeでは、アクセス・バンドルが「リクエスト」を介して付与されている場合にのみ、アクセス・バンドルが「読取り」および「更新」および「書込み」権限でレビューされます。
- Bettyの場合、ロールがRequestによって付与されている場合にのみ、ロールがレビューされます。
- Alice、JaneおよびBettyアイデンティティ・アカウントは、アカウントに関連付けられたアカウントまたは権限がポリシーを使用してプロビジョニングされていないかどうかを確認するために考慮されます。
レビュー担当者は、「アクセス・レビューの実行」で定義されているプロセスに従って、「マイ・アクセス・レビュー」→「アイデンティティ」ページからこれらのアクセス・レビューを検証できます。
改善処理
- レビューアが権限を取り消すと、管理対象システムから取り消されます。
- 権限がアイデンティティに付与されたアクセス・バンドルの一部である場合、アクセス・バンドル全体を取り消さないかぎり、その単一の権限を取り消すことはできません。
- アカウントにポリシーによって付与された権限が含まれている場合、権限に関連付けられたアカウントは取り消されません。
- アイデンティティ・アカウントが取り消されるのは、アカウントに関連付けられたすべての権限が取り消された場合のみです。
ポリシー・レビュー
Oracle Access GovernanceポリシーおよびOCI Identity and Access Management(IAM)ポリシーをレビューし、その有効性とコンプライアンスを評価すること。
Oracle Access Governanceでは、オンデマンド・ポリシー・レビューを作成し、ポリシーをレビューするための選択基準を定義できます。承認ワークフローを定義して、レビュー・レベルの数、レビュー期間およびレビュー担当者詳細を選択することもできます。詳細は、ポリシー・レビュー・キャンペーンの作成およびOracle Access Governanceでの証明タスクのタイプを参照してください。
例: テナンシの定義済ネットワークおよびストレージ・ポリシーで四半期ごとにレビューを実行して、権限を最小限に抑え、適用可能な規制要件の原則を満たしているかどうかを評価できます。
アイデンティティ・コレクションのレビュー
適格なメンバー・セットのみがグループに割り当てられているかどうかを確認するグループのメンバーシップ・レビュー。これは一般に「グループ・メンバーシップ・レビュー」と呼ばれます。
- Oracle Access Governanceで作成されたアイデンティティ・コレクション
- Oracle Cloud Infrastructure(OCI)から派生したOCIグループ
リソース所有権レビュー
Oracle Access Governance内で作成されたリソースの所有権を、定期的に、またはアドホック・ベースでレビューします。このレビューを実行することで、リソースの説明責任が指定された所有者のみにあることを確認できます。
- アクセス・バンドル
- 承認ワークフロー
- アイデンティティ・コレクション
- オーケストレート済システム
- ポリシー
- ロール
- アクセス・ガードレール
選択した承認ワークフローに基づいて、リソースのプライマリ所有者またはアクティブなワークフォースのOracle Access Governanceアイデンティティがレビュー対象とみなされます。レビュー担当者は、レビューの実行中にリソースの所有権を証明または変更できます。詳細は、所有権レビューの作成およびリソース所有権レビュー・タスクを参照してください。
イベントベースのマイクロ認証
イベントベース設定を使用して、自動マイクロ認証を構成します。これは、レコード・システムに変更があった場合、重要な日時マイルストンの発生、または孤立アカウントの検出がある場合にのみトリガーされます。これらはリアルタイム・レビューに近いもので、Oracle Access Governanceはプロファイルの変更を継続的に監視してアクセス・レビューを開始します。
イベントベースのレビューを有効にする属性を構成する必要があります。詳細は、アイデンティティ属性の管理を参照してください。
アクティブなワークフォース・ユーザーは、「マイ・アクセス・レビュー」→「アイデンティティ」ページからイベント・レビュー・タスクをレビューできます。イベントに変更があるが、そのアイデンティティのレビュー可能なアクセス・アイテムがない場合、アイデンティティのレビュー・タスクは生成されません。
- 変更イベント: レコード・システムでアイデンティティ属性が更新されるたびに、アイデンティティ・プロファイルで行われた変更によってトリガーされます。これらはコア属性またはカスタム属性です。
- タイムライン・イベント: アクセス・レビューを実行する従業員の就業記念日など、特定の日付の発生時にトリガーされます。
- 一致しないイベント: オンボーディングされたアカウントがOracle Access Governance内のどのアイデンティティとも一致しない場合にトリガーされます。
アクセス・レビュー・キャンペーンを開始するための適格な編成済システム・タイプ
アクセス・レビューのタイプとOracle Access Governanceで確認できる内容は、レビューの実行中に選択したシステム・タイプによって異なります。You can review access to systems managed by Oracle Access Governance including ownership reviews, review access for Oracle Cloud Infrastructure (OCI), and review access to systems managed by Oracle Identity Governance (OIG).
Oracle Access Governanceで管理されているシステムへのアクセスのレビュー
アクセス・レビューを実行するか、リソース所有権レビューを実行するには、このシステムを選択します。Oracle Access Governanceシステムでは、Oracle Database、フラット・ファイル、Microsoft Active Directoryなど、Oracle Access Governanceによって管理されるすべてのオーケストレート済システムに対してアイデンティティ・アクセス・レビューを実行できます。
- アクセスの確認: アイデンティティ・アクセス・レビュー、ポリシー・レビューおよびアイデンティティ・コレクション・レビューを実行します。
- 所有権のレビュー: 所有権レビューを実行して、権限のある所有者のみがリソースを管理しているかどうかを確認できます
Identity Accessのレビュー
Oracle Access Governanceシステムを使用して、調整されたすべてのシステムのアイデンティティ・アクセス・レビューを実行します。これらのレビューは、コアまたはカスタムのアイデンティティ属性、アクセス権を持つアプリケーション、管理対象システムから付与された権限、アクセス・バンドルの一部としてOracle Access Governance内でプロビジョニングされた権限、またはアイデンティティに付与されたロールに基づいて実行できます。アイデンティティ・アクセス・レビューの実行の詳細は、アイデンティティ・アクセス・レビューを参照してください。
| 選択基準 | レビュー中の適格コンポーネント |
|---|---|
| アイデンティティ属性を選択するためのアクセス権を持つユーザー |
|
| アプリケーションにアクセスするには、何にアクセスしますか。 |
|
「アクセス・バンドル」を選択するための権限 (REQUEST)
|
|
「権限」(DIRECT)を選択するには、「権限」を選択します。
|
ノート
Oracle Access Governanceポリシーを介してアクセス権を付与するために権限に関連付けられたアカウントも含まれている場合、アカウント・レビュー・タスクは生成されません。 |
「ロール」を選択して(REQUEST)
|
ロール |
ポリシー・レビュー
Oracle Access Governanceポリシー・レビューを実行して、ポリシーの有効性を評価します。Oracle Access Governance内で作成されたポリシーを確認します。Oracle Access Governanceポリシーには、ロールまたはアクセス・バンドル(あるいはその両方)によってIDグループにアタッチされたリソースおよび権限の詳細が含まれます。
アイデンティティ・コレクションのレビュー
グループのメンバーシップ・レビューを実行して、承認されたメンバー・セットのみがグループに割り当てられているかどうかを確認します。これは一般に「グループ・メンバーシップ・レビュー」と呼ばれます。Oracle Access Governanceで作成されたアイデンティティ・コレクションのレビューを実行できます。
権利のレビュー
所有権レビューを実行して、認可された所有者のみがリソースを管理しているかどうかを確認できます。たとえば、所有権レビューを実行して、指定および認可された所有者のみが承認ワークフローを管理しているかどうかを検証できます。
Oracle Cloud Infrastructure(OCI)が管理するクラウド・サービスへのアクセスの確認
アイデンティティ・アクセス・レビュー、ポリシー・レビューおよびOCI IAMアイデンティティ・コレクション・メンバーシップ・レビューを認証するには、このシステムを選択します。さらに、Oracle Access Governanceで管理されるOCI IAMグループおよびアプリケーション・ロールの割当てを確認できます。
- アイデンティティ・レビュー(直接): アプリケーション・アクセス(付与されたアプリケーション・ロール)を確認して、アイデンティティ・アクセス権を取得します。
-
Oracle Access Governanceが管理するアクセスのアイデンティティ・アクセス・レビュー: アクセス・リクエストを介してOracle Access Governance内で割り当てられたOCI IAMグループおよびクラウド・サービス・アプリケーション・ロールのアイデンティティ・アクセス権限。 ノート
OCI IAMグループまたはクラウド・サービス・アプリケーション・ロールを含む関連付けられたアクセス・バンドルを含むOracle Access Governanceロールをリクエストして割り当てる場合は、Oracle Access GovernanceシステムでOracle Access Governanceロールを確認することを選択します。 - ポリシー・レビュー: ポリシーの構成および機能を評価するOCI IAMポリシー。
- アイデンティティ・コレクション・レビュー: 適格なメンバーのみがグループにアクセスできることを評価するグループ・メンバーシップ。OCI IAMグループを確認することを選択し、Oracle Access Governanceから割り当てられた少数のメンバーが含まれている場合、このレビューでは、直接割り当てられたメンバーのみを受け入れるか取り消すことができます。Oracle Access Governanceから割り当てられたメンバーの場合、「どの権限」タイルを使用してOCIアクセス・バンドルを確認することを選択します。
Oracle Cloud Infrastructure (OCI)システムでのレビューの対象となる選択基準
レビューに適格なコンポーネントは、選択した基準に基づいて次のように異なります。
| 選択基準 | レビュー中の適格コンポーネント |
|---|---|
| テナンシ、クラウド・コンパートメントまたはドメインを選択するテナンシ |
|
| アイデンティティ属性を選択するためのアクセス権を持つユーザー |
|
| 何にアクセスしていますか。クラウド・サービスにアクセスします |
|
「アクセス・バンドル」を選択するための権限 (REQUEST)
|
|
どのロールですか。OCIでアプリケーション・ロールを選択します。(DIRECT)
|
OCIで直接割り当てられたロール。 |
| OCIポリシーを選択するためのポリシー | ポリシー |
OCI IAMグループを選択するアイデンティティ・コレクション (DIRECT)
|
アイデンティティ・コレクション ノート
OCI IAMグループを確認することを選択し、Oracle Access Governance内で割り当てられた少数のメンバーが含まれている場合、このレビューでは、直接割り当てられたメンバーのみを受け入れるか取り消すことができます。Oracle Access Governanceで管理される割当ての場合、「権限」タイルを使用してOCIアクセス・バンドルを確認することを選択します。 |
Oracle Identity Governance (OIG)によって管理されているシステムへのアクセスのレビュー
アプリケーション・アクセス、付与されたロールまたは権限(権限)を確認してOIGアイデンティティのアクセス権を証明するには、このシステムを選択します。1つのキャンペーンで、特定の権限(権限)とロールのレビューを組み合せることはできません。
使用例: アクセス・レビュー・キャンペーンおよびイベントベース・レビューによるアクセス権限の証明
キャンペーンおよび自動アクセス・レビューが役立ついくつかのシナリオを見てみましょう。
例1: 重要な機能を持つ高プロファイル・アプリケーションのアクセス権限の確認
シナリオ: 企業がデータ機密アプリケーションのアクセス権の不正使用に対する損害を抑止できるようにするには、四半期ごとのキャンペーンをスケジュールして、更新権限や終了権限などの重要な機能へのアクセスを証明する必要があります。
キャンペーンを作成して権限をレビューするか、ロールをレビューできますが、両方を1つのキャンペーンで選択することはできません。この例では、「どのロールですか。」と「どのポリシーですか。」が無効になります。アイデンティティ・アクセスのレビューを選択したため、ポリシーおよびアイデンティティ・コレクション・レビューの選択パラメータも無効になります。
例2: すべてのクラウド・リソースのポリシーの確認
シナリオ: 貴社がデータ・ストレージのセキュリティ・プロトコルを更新しました。クラウド・セキュリティ管理者は、クラウド・アカウントで使用可能なすべてのIAMポリシーのオンデマンド・アクセス・レビューを実行して、最新のセキュリティ標準および規制を満たしていることを確認する必要があります。
そのためには、まずシステムを選択し、選択基準を追加してクラウド・プロバイダ、クラウド・アカウント、ドメインまたはコンパートメントを選択します。キャンペーン・ステップを完了して、適切なワークフローおよびキャンペーン詳細を割り当てます。この例では、キャンペーン・レビューアは「マイ・アクセス・レビュー」→「アクセス制御」タブで、「ポリシー」タイプで該当するすべてのレビュー・タスクを確認できます。
例3: プロジェクト・グループのグループ・メンバーシップ・レビュー
シナリオ: プロジェクト・マネージャとして、チームの四半期ごとのグループ・メンバーシップ・レビューを実行して、現在のチーム・メンバーのみがコード・リポジトリにアクセスでき、必要なサードパーティ・アプリケーションにアクセスできるようにします。このプロセスは、不正なアクセスを削除し、プロジェクト・コストを監視および管理するのに役立ちます。
そのためには、まずOCIシステムを選択し、選択基準を追加してOCIグループを選択し、承認ワークフローとキャンペーン詳細を追加します。この例では、キャンペーン・レビューアは、「マイ・アクセス・レビュー」→「アクセス制御」タブで、「アイデンティティ・コレクション」タイプの該当するレビュー・タスクをすべてレビューできます。
例4: 変更イベントによってトリガーされた従業員の自動アクセス・レビューの有効化
シナリオ: ビジネス・オーナーとして、従業員のマネージャ、ジョブ・コードまたは場所が変更されるたびにマイクロ認証を実行するために、自動アクセス・レビューを設定する必要があります。
そのためには、職務コード、管理者、所在地についてイベント ベースのアクセス レビューを有効にします。これらの更新により、オーケストレーションされたシステムから最新のデータ同期が発生するたびに、Oracle Access Governanceでは、この単一のアイデンティティに関連付けられた複数のイベントベースのアクセス・レビューが自動的に発行されます。