アクセス・ガバナンス

Oracle Access Governanceは、接続済システムを定義することで、ターゲット・アイデンティティ・システムと統合できます。接続されているシステムでは、リモート・ターゲット・アイデンティティ・システムからOracle Access Governanceにデータをロードできます。接続済システムは、リモート・アイデンティティ・データへのアクセスに必要な、接続詳細などのパラメータを定義します。Oracle Access Governanceとターゲット・アイデンティティ・システムの間の直接接続が不可能な場合、エージェントがデプロイされ、2つの架け橋となる可能性があります。

接続済システムは、Oracle Access Governanceと統合してデータを提供できるターゲット・アイデンティティ・システムのフットプリント定義です。接続済システムを定義すると、直接接続またはエージェントを介して、ターゲット・アイデンティティ・システムとOracle Access Governanceの間の統合およびデータ同期が可能になります。

アクセス・ガバナンス・クラウド・サービスのコア・コンポーネントは、Access Governanceのデータと構成を物理的に分離するアクセス・ガバナンス・インスタンスです。図の左側にある「オンプレミス」領域には、オンプレミス接続システムの例があります。これらのシステムの一部は、アイデンティティ情報を管理する信頼できるソースである可能性があります。リソースへのアクセスを管理するターゲット・システムもあります。

Access Governanceの主要な設計原則の1つは、接続されたシステムへのコードレスで直感的な統合を可能にすることです。ほとんどのオンプレミス・システムでは、エージェントベースのアーキテクチャを使用してAccess Governanceと統合します。AGとターゲット・システム間の直接接続が使用できない接続済システムごとに、接続済システムの構成時にエージェントが生成されます。接続されたシステムをAccess Governanceと統合するには、エージェントをダウンロードして実行する必要があります。エージェントは通常、マイクロサービスとして実行されるコンテナ・イメージです。ガバナンスにアクセスするために、これらのシステムを1つ以上接続できます。

前の図は、Oracle Identity Governance (OIG)とAccess Governanceの統合を示しています。OIGは、OIGが実行されるのと同じ仮想マシン(VM)で実行できるOIGエージェント、またはDockerまたはPodmanのいずれかの互換性のあるコンテナ・エンジンを持つスタンドアロンVMインスタンスを介してAccess Governanceに統合されます。

クラウドベースのコネクテッド・システムは、信頼できるソースまたはターゲット・システムの場合もあります。クラウド・ベースのコネクテッド・システムの多くは、直接統合が可能です。たとえば、APIキーを使用してOCI IAMと統合できます。次の図は、Oracle OCIとAccess Governanceの統合を示しています。

Oracle Cloud Infrastructure Identity and Access Management (OCI IAM)とOracle Access Governanceの間の接続を確立するには、接続の詳細を入力し、クラウド・サービス・プロバイダ環境を構成します。これを実現するには、Oracle Access Governanceコンソールの「接続済システム」オプションを使用します。この統合は、APIキーを介して行われます。AGCSユーザーのAPIキーが作成され、接続されたシステム・ページで構成されます。接続したら、OCIポリシーに対してポリシー・レビューを実行できます。

Oracle Access Governanceは、接続されたシステムで定義されているコア属性とカスタム属性を自動的にフェッチします。接続されたシステムからデータがロードされると、属性の詳細は自動的にアクセス・ガバナンスにロードされます。ターゲット・システムでさらにカスタム属性を作成し、初期データ・ロード後に、Access Governanceスキーマのカスタム属性をリフレッシュして、次のデータ・ロードに最新のカスタム属性を含めることができます。

Oracle Access Governanceでこれらの属性を使用すると、アクセス・レビュー・キャンペーンの実行、アイデンティティ収集のアイデンティティの選択、イベントベースの証明の定義、使用可能なアイデンティティ・データ・セットを有効化/無効化するための属性条件の適用など、様々な機能を実行できます。

アイデンティティ・マーキング機能により、管理者はサービス内のアイデンティティをアクティブ化または非アクティブ化し、アイデンティティをワークフォースまたはコンシューマ・ユーザーとしてフラグ付けできます。Access Governanceのこの用語の意味を理解することが重要です。

• アクティブ・アイデンティティ: アクセス・レビューやアクセス制御などの主要機能を有効にするOracle Access Governanceサービス内でアクティブとしてフラグ設定されたアイデンティティ。
• 非アクティブ・アイデンティティ: アクティブ・ガバナンスによって管理されず、請求対象として考慮されないOracle Access Governanceサービス内で非アクティブとしてフラグ設定されたアイデンティティ。
• ワークフォース・ユーザー: 通常、アクセス・ガバナンスへのアクセスが必要で、アイデンティティがアクティブに管理されている従業員であるユーザー。これらのユーザーは、AGでレビューまたは管理活動を積極的に実行できます。
• コンシューマ・ユーザー: Access Governanceサービスへのアクセス権がないユーザーとそのアクセス権限は、他のユーザーが割り当てるか管理する必要があります。

アクティブ・ガバナンスを構成する最初のステップの1つは、アイデンティティをワークフォースまたはコンシューマ・ユーザーとして適切にマークし、アクティブ・ガバナンス・システム内でアクティブ化することです。

Oracle Access Governanceユーザーは、リソースおよびロールへのアクセスをリクエストできます。依頼は自分や他人のために行うことができます。このプロセスでは、追加処理なしで付与されたアクセス要求、または承認ワークフローの対象となるアクセス要求が作成されます。

• このプロセスでは、簡素化されたアクセス・カタログを備えたセルフサービス・アプローチが使用されます。
• Access Governanceは、アクセス・リクエストや承認を発生させ、追跡するための最新化されたユーザー・エクスペリエンスを提供します。
• 承認ワークフローは、組織のニーズに合わせてカスタマイズできます。
• Access Governanceは、承認されたアクセス権限のフルフィルメントを自動化することで生産性を向上させます。

ユーザーに割り当てる必要がある全ての権限またはロールは、承認ワークフローで処理する必要があります。リソース管理者は、必要な承認レベルと承認者数を指定してワークフローを設計する必要があります。これらのワークフローを使用して、ユーザー権限の割当てまたは取消しを行う前に承認を取得できます。

たとえば、ユーザーがアクセス・ガバナンスを介してアクセス・バンドルへのアクセスをリクエストすると、そのアクセスまたは権限に関連付けられた承認ワークフローによって、承認者への電子メールを介して通知がトリガーされます。承認者は、リクエストを確認して承認するか、拒否するか、詳細情報を要求できます。承認プロセスの結果が権限管理システムで更新されます。

Oracle Access Governanceのすぐに使用できるワークフローには、次の機能があります。

• レビューアに、割当済および保留中のアクセス・レビューが通知されます。
• Oracle Access Governanceでは、1レベル、2レベルおよび3レベルのアクセス・レビュー・ワークフローがサポートされています。
• アクセス・レビューを承認または取り消すことができます。

Oracle Access Governanceのワークフローでは、次のことが可能です:

• コーディングなしで完全に構成可能なワークフローの作成。
• 承認者を構成できる複数ステージの承認をサポートするワークフロー。
• すべての承認者または1人の承認者が要求を承認する必要があるかどうかを構成する機能
• 選択した基準に基づくインテリジェント・ワークフローの提案。
• 承認者が処理を行わなかった場合のエスカレーション承認者のサポート。

属性ベースのアクセス制御(ABAC)は、ユーザーおよびリソースの属性に基づいてリソースへのアクセスを制御する方法です。属性には、ユーザーのジョブ機能、部門、事業所および時刻を含めることができます。Access Governanceは、ABACのアイデンティティ・コレクションを使用します。

アイデンティティ・コレクションは、共有属性または名前付きアイデンティティに基づくアイデンティティのグループです。これらのアイデンティティは、アイデンティティ・オーケストレーションを使用して接続されたシステムからオンボーディングされます。

Identity Collectionsは、アイデンティティごとではなくアイデンティティのコレクションに対して機能を構成できるようにすることで、タスクを簡素化します。アイデンティティ・コレクションを使用して、次のことができます。

• ポリシーを使用して、アイデンティティを適切なアクセス・バンドルまたはロールに関連付けます。
• アクセス・レビュー・タスクをアイデンティティ・コレクションに委任します。
• 承認ワークフローで承認者として割り当てます。

企業には、アクセスを制御する必要がある複数のアプリケーションとサービスがあります。これらの各アプリケーションでは、ユーザーのロールに基づいて付与する必要がある複数の権限が定義される場合があります。これらのアクセス権は粗い粒度で、細かい粒度になることがあります。これらの権限をユーザーに個別に付与することは可能ですが、複雑でエラーが発生しやすい場合があります。通常、ユーザーにはタスクを実行するための権限セットが必要です。これらの権限の一部のみを付与すると、その職務の実行に問題や遅延が発生します。

アクセス・バンドルは、ユーザーの職責を実行するために常にグループ化される一連の権限の使用に基づきます。

アクセス・バンドルは、リソース、アプリケーション機能および機能へのアクセスをリクエスト可能なユニットにパッケージ化する権限のコレクションです。特定のアクセス・バンドルは単一のターゲットに関連付けられます。特定のリソースのユーザーは、そのリソースに関連付けられた各権限をリクエストする必要はありません。かわりに、そのリソースのアクセス・バンドルをリクエストします。これにより、リソース権限をリクエストするプロセスが簡略化されます。

たとえば、ターゲット・アプリケーションOracle Integrationを使用して、開発者のアクセス・バンドルを作成できます。このバンドルを統合開発者アクセスと呼び、統合開発者がアプリケーションを使用するために必要な読取り、編集および作成権限を選択できます。組織の開発者がOracle Integrationアプリケーションへの開発者アクセスをリクエストする必要がある場合、個々の権限ではなく、バンドルをリクエストするだけで済みます。アクセス・バンドルはアプリケーション所有者によって管理され、アクセス・カタログからリクエストできます。

アクセス・バンドルを定義すると、そのバンドルをロールに割り当てたり、ポリシーで使用して権限のセットを付与できます。ロールおよびポリシーは、通常、管理者が管理します。管理者は、職務を分離する方法を提供します。

ロールベースのアクセス制御(RBAC)は、ユーザーが持っているロールに基づいてリソースへのアクセスを制御する方法です。ロールは、職務機能や部門、その他の条件に基づいてユーザーに割り当てられます。

Access Governanceでは、ロールは1つ以上のアプリケーションとサービスのアクセス・バンドルのグループです。1つのロールに含まれるアクセス・バンドルは、複数のターゲットにまたがることができます。たとえば、データベース管理者のロールで、OracleのDB管理をグループ化できます。DB Admin for DB2およびDB Admin for MySQLアクセス・バンドル。これにより、そのロールを実行するために関連するアクセス・バンドルを組み合せたロールを作成できます。これらのロールは、ポリシーを介してアイデンティティに関連付けることができます。デフォルトでは、ロールはリソースへのアクセスを提供しません。ポリシーまたはセルフサービス・リクエストによってロールがそのアイデンティティに割り当てられると、アイデンティティにアクセス権が付与されます。ロールはロール管理者によって管理され、アクセス・カタログからリクエストできます。

ポリシーベースのアクセス制御(PBAC)は、ポリシーに基づいてリソースへのアクセスを制御する方法です。ポリシーは、誰がどのリソースにアクセスできるか、どのような条件でアクセスできるかを定義するルールです。

ポリシーは、ロールおよびアクセス・バンドルを介して、リソースおよび権限をアイデンティティに関連付けます。次の図は、Access Governanceサービス内でポリシーを保守する方法を示しています。

アイデンティティ・コレクションは、属性に基づいて定義されたユーザー・アイデンティティのグループです。ユーザーはアプリケーションとサービスにアクセスする必要があり、権限はアクセス・バンドルに配置されます。ロールは、ユースケースに基づいてアクセス・バンドルをグループ化できます。ポリシーは、アイデンティティ・コレクションをロールまたはアクセス・バンドルに関連付けます。PBACは、出生時およびジャストインタイムのアクセスを可能にし、内部監査者およびコンプライアンス管理者が管理できるポリシー管理およびアクセス・レビューを一元化する方法を提供します。

アクセス・レビュー・キャンペーンは、リソースへのユーザー・アクセスをレビューおよび更新するための体系的なプロセスです。アクセス・レビュー・キャンペーンは通常、年次や四半期など定期的に実施され、ユーザーが自分のジョブを実行するために必要なリソースのみにアクセスできるようにします。

アクセス・レビュー・キャンペーンには、通常、次のステップが含まれます。

• キャンペーンを作成します。
• レビューに含める内容を選択して、キャンペーンの範囲を定義します。
• 承認ワークフローを構成します。
• キャンペーンを1回限りまたは定期的なキャンペーンとしてスケジュールすると、これらのキャンペーンを手動で追跡する必要がなくなります。
• キャンペーンを実行します。

キャンペーンは、すべてのレビュー・タスクが完了した後に完了します。

アクセス・レビュー・キャンペーンは、セキュリティ体制の重要な部分です。ユーザー・アクセスを定期的に確認することで、機密データおよびシステムへの不正アクセスのリスクを軽減できます。

Oracle Access Governanceのアクセス・レビュー・キャンペーンは、アクセス権を確認するために使用されます。Access Governanceでは、次のタイプのアクセス・レビュー・キャンペーンがサポートされています。

• ユーザー・アクセス・レビュー・キャンペーン:企業のメンバーに対するアクセス・レビューのグループで構成され、特定のソースへの個々のアクセスをチェックし、認証または修正するものです。
• ポリシー・レビュー・キャンペーン: Identity and Access Management (IAM)ポリシーのアクセス制御を評価するポリシー・レビューのグループで構成されます。
• イベントベースのアクセス・レビュー: 1つ以上の事前定義済イベント・タイプが発生すると、Oracle Access Governanceによって自動的に開始されるアクセス・レビュー。
• アイデンティティ収集レビュー・キャンペーン:アクセス・ガバナンスで定義されたアイデンティティ・コレクション、またはOCIから導出されたアイデンティティ・コレクションをレビューするための、1回または定期的なアクセス・レビュー・キャンペーン。

アクセス・レビューとは、エンティティ(通常はエンド・ユーザー)のアクセスおよび権限のレビューで、そのエンティティに割り当てられたアクセスおよび権限がまだ有効かどうかを確認するために実行されます。

キャンペーン管理者は、Oracle Access Governanceコンソールで1回限りまたは定期的なアクセス・レビュー・キャンペーンを作成できます。選択基準は、ユーザー、アプリケーション、権限およびロールに基づいて定義できます。また、承認ワークフローを定義して、評価レベルの数、評価期間、評価者の詳細を選択することもできます。

前の図は、アクセス・レビューをスコープとする選択基準を示しています。次の情報では、基準について説明します。

• アクセス権を持つユーザー:標準(組織、ジョブ、場所)またはカスタム属性に基づいてユーザーをフィルタする基準。
• アクセス対象:アクセス権を持つリソースに基づいてユーザーをフィルタする基準。
• どの権限:バンドルの作成、更新、終了、承認、アクセスなど、個々の権限に基づいてユーザーをフィルタする基準。
• どのアイデンティティ・コレクション:アイデンティティ・コレクションのレビューを実行できます。

キャンペーン管理者は、ユーザーに関連付けられたポリシーに基づいて選択基準を定義することで、OCIのオンデマンド・ポリシー・レビューを作成できます。承認ワークフローを作成するには、レビュー・レベルの数、レビュー期間およびレビュー担当者詳細を選択します。

前の図は、ポリシー・レビューの対象となる選択基準を示しています。次の情報では、基準について説明します。

• アクセス権を持つユーザー:標準(組織、ジョブ、場所)またはカスタム属性に基づいてユーザーをフィルタする基準。
• アクセス対象:アクセス権を持つリソースに基づいてユーザーをフィルタする基準。
• どのテナンシ:スコープに含めるテナンシに基づいてユーザーをフィルタする基準。
• どのポリシー:レビューを実行するポリシーを選択します。
• どのロール:ポリシー・レビューを実行するロールを選択します。

イベントベースのアクセス・レビューは、1つ以上の事前定義済イベント・タイプが発生した場合にOracle Access Governanceによって自動的に開始されるアクセス・レビューです。次の図は、イベントベースのアクセス・レビューがどのように機能するかを示しています。

職務コードの変更、勤務地の変更などのイベントが発生するたびに、イベント ベースのアクセス レビューが開始されます。レビュー担当者は、これらを使用して、影響を受けるユーザーまたはアプリケーション・ロール、権限または権限を確認、認証または修正できます。カスタム属性(コスト・センター、プロジェクト・コードなど)に加えて、コア属性(ジョブ・コード、組織、場所など)に対してイベントベースのアクセス・レビューを有効にできます。

レビューのワークフローは、レビュー・レベルの数、期間、レビューの実行者という観点から定義できます。複数イベントは、Oracle Access Governanceが1つのアイデンティティに関連付けられている複数のイベント・タイプに対する変更を受信した場合に発生します。共有ワークフローは、複数のイベントが識別されるときに適用されます。イベントベースのアクセス・レビューに関する情報は、Oracle Access Governanceのイベントベースのレポート機能を使用してレポートを生成することで分析できます。

次の理由により、承認を委任したり、レビューに他のユーザーにアクセスしたりできます。

• 休暇、疾病、または他のタスクでの作業のために使用不可
• 最も有能な人が決定を下す
• 追加割当てを処理するユーザーの能力の開発

次の図に、委任の概念を示します。

Oracle Access Governanceでは、プリファレンスを設定および管理できます。ユーザーは、Oracle Access Governanceコンソールを使用してタスクとアクティビティを委任できます。「自分のプリファレンス」設定を使用して、タスクおよびアクティビティを別のユーザーまたはアイデンティティ・コレクションに割り当てることができます。この委任プロセスを開始するタイミングや、委任の期間も指定できます。

Oracle Access Governanceでは、アクセス・レビューを実行するユーザーと、ユーザーにかわって承認を実行するユーザーを委任できます。タスクは、個人またはアイデンティティ・コレクションに委任できます。アイデンティティ・コレクションには、1つ以上のメンバーを含めることができます。委任の期間は、時間範囲または無期限に設定できます。

規範的分析とは、何が起こったのか、何が起こるのかを説明したり予測したりする以上のデータ分析の一種です。次のステップでは、特定の状況で実行するための最善のアクションを提案します。

規範的な分析では、機械学習、最適化、シミュレーションなど、さまざまな手法を使用してデータを分析し、可能な限り最善の行動方針を特定します。これは、ビジネス、医療、政府などの幅広い分野で意思決定を改善するために使用できます。

Oracle Access Governanceは、AIと機械学習ベースの規範的な分析を使用して、インテリジェントなインサイトとリスク管理を提供します。詳細なアナリティクスと忠実度の高いレコメンデーションにより、レビュー担当者はアクセスを容易に承認または拒否できます。

Oracle Access Governanceは、AIと機械学習を使用して、ビジネスにインサイトベースのアクセス・レビュー、アイデンティティ分析、インテリジェンス機能を提供します。

Oracle Access GovernanceでAIと機械学習を使用する方法には、次のようなものがあります。

• ピア・グループ分析: Oracle Access Governanceでは、AIを使用して、同様のアクセス権限を持つユーザーのピア・グループを識別します。この情報を使用して、過剰なアクセス権限を持つ可能性のあるユーザーを識別できます。
• 外れ値の検出: Oracle Access Governanceでは、機械学習を使用して、標準とは異なるアクセス・パターンを持つユーザーを識別します。この情報を使用して、アクセス権限を悪用するリスクがあるユーザーを識別できます。
• 推奨事項: Oracle Access Governanceでは、AIを使用してアクセス・レビューおよび修正アクションの推奨事項を生成します。この情報は、データのセキュリティを向上させるのに役立ちます。
• 自動化されたワークフロー: Oracle Access Governanceでは、機械学習を使用してアクセス・レビューや改善アクションなどのタスクを自動化します。これにより、アクセス管理プロセスの効率が向上します。

Access Governanceは、インテリジェンスをコアとするアイデンティティをフェッチし、さまざまなシステムからポリシーを取得することで、アプリケーションやその他のアイデンティティ・システムを管理できるシステムになります。収集されたアイデンティティと権限により、Access Governanceは、誰が何にアクセスできるかを示します。ポリシーを使用すると、アイデンティティが権限にアクセスする方法のインテリジェンスを表示することもできます。アプリケーションの使用状況に関する情報を使用して、プロビジョニング・アクセスで何が起こっているのかを把握することもできます。これにより、適切なユーザー、ボット、サービスへのアクセスを最適化することで、リスクとコストを削減できます。

Access Governanceでは、さまざまな手法を使用してアクセス権限を可視化しています。

• Oracle Access Governanceは、定期的なアクセス・レビューまたはイベント主導のアクセス・レビューを実施するために使用できます。これにより、ユーザーは自分のジョブを実行するために必要なアクセス権のみを持つようになります。
• Oracle Access Governanceを使用すると、アイデンティティ・データを分析して、過剰なアクセス権限を持つユーザーや、組織を離れたが機密データにアクセス可能なユーザーなどの潜在的なリスクを識別できます。
• Oracle Access Governanceを使用すると、アクセス権限に関するインサイトを提供するレポートおよびダッシュボードを生成できます。この情報は、組織データのセキュリティを向上させるために使用できます。

3つのダッシュボードでは、次の図に示すように、誰が何にアクセスできるかについて詳しく説明します。

ダッシュボードは次のとおりです。

• 自分のアクセス
  • ユーザーは、自分に割り当てられたアプリケーション、クラウド・リソース、権限およびロールの詳細を表示できます。
• 自分の直属部下のアクセス:
  • マネージャは、アプリケーション、クラウド・リソース、権限および直属の部下に割り当てられたロールを表示できます。
  • この機能は、接続されたシステムに基づいて使用可能であり、サポートされているすべての接続されたシステムでは使用できません。
• 企業全体のアクセス
  • 管理者ロールを持つユーザーは、Oracle Access Governanceコンソールから、すべてのリソースとそれらのリソースに対する権限を360度ビューで確認できます。
  • 「エンタープライズ全体のアクセス」ページでは、Oracle Access Governanceに接続されている様々なシステム全体の組織のリソースおよびリソース・タイプのリストを表示し、そのリソースに現在割り当てられているアイデンティティ、権限レベル、およびそれらの権限の割当てまたは付与方法をフェッチできます。

セキュリティの修復とは、セキュリティの脆弱性を特定して対処するプロセスです。これは、リスクの低減とコンプライアンスの向上に役立つため、組織のセキュリティ体制の重要な部分です。Access Governanceには、次の修正関連機能があります。

• 推奨事項: Access Governanceは、機械学習分析に基づいて、適切なアクションを特定して推奨するのに役立ちます。修復アクションは、Access Governanceの推奨どおりに受入れまたは取り消すことができます。
• カスタマイズ可能な理由エントリ:レビュー担当者が修正に対してアクションを実行すると、理由を指定できます。これは、推奨のタイプに基づいてAccess Governanceで構成できます。
• キャンペーン完了時の自動修正:キャンペーンが終了すると、Access GovernanceはAccess Governanceコンソールで自動的に修正を実行できます。

アクセス・ガバナンスでは、様々なシステムからのアイデンティティが自動的に相互に関連付けられます。相関は、ユーザーの360度ビューを提供する基盤となる機能です。

Access Governanceでは、次の相関アクティビティが実行されます。

• EメールIDまたはユーザー名(あるいはその両方)に基づいてアイデンティティを関連付けます。
• 統合されたアイデンティティに基づくインテリジェンスを組み合わせ、それに基づくインサイトを提供します。
• ターゲット・システムの一致しないアイデンティティを検出し、トラブルシューティングのレポートを提供します。