マクニカ
ゼロトラスト 2022.02.28

ゼロトラスト時代のワークフロー自動化

はじめに

今回はインフラ運用の様々な場面で発生する、手動でのワークフローを改善する方法を解説します。
ゼロトラスト運用の中で、セキュリティ面でのSOAR運用だけではなく、各種ワークフローの自動化についての実現の参考にしていただける内容となります。

インフラ運用の種類

インフラ運用には、①最終的に人が判断する必要があるもの、②あらかじめ決まった手順にそって行うもの、の2種類が存在します。

 ①人が判断する必要がある業務の代表例
 ・トラブル対応など原因を追究するもの
 ・セキュリティ対策などでインシデントレスポンスが必要なもの

 ②決まった手順にそって行う業務の代表例
 ・ユーザ入社時のアカウント登録
 ・ユーザの部署移動によるSaaS権限変更

以前のブログでも記載しましたが、すべてを監視・検査するゼロトラスト環境では、運用項目が増えるため、効率的な運用が必要です。

今回は、「決まった手順にそって行う業務(ワークフロー)の自動化」に関して記載していきます。

ワークフロー自動化に必要なこと

ワークフロー自動化のために必要かつ一番大切なことは、業務の棚卸/見える化です。
日常的にどのような業務があるのかを精査する必要があります。
現状の業務の中で効率化できていない課題を探し、改善に努めていく意思がとても重要です。

ワークフローの自動化に関して、様々なことが実現可能ですが、一番難しいことは改善のアイディアを出すことです。
「このワークフロー業務は自動化できないか?」「効率化ができる業務はないか?」など、通常運用時にもご検討いただいたり、
他社ではどのようにやっているのか事例を確認したり、業務改善意識があれば、自動化のアイディアになります。

今回は実際にどのようなことが自動化できるのか、oktaWorkflowsを使った例を見ていきましょう。

OktaのWorkflowsとは

 複雑なカスタムコードなしで、ID管理タスクを自動化するツールです。
 ノーコードローコー ドで簡易GUIベースの操作でID管理タスクの自動化ができます。
 通常は、ユーザが登録された際に紐づくSaaSへの権限を与えたりすることが主な使い道ですが、
 アイディア次第で様々な用途でワークフローの自動化が可能です。

WF1.png

wf2.gif

ワークフロー自動化の参考例

ユーザへの操作マニュアル送付

社内に新しいツールを導入した際に、ユーザから使い方などの問い合わせがヘルプデスクに増えることはありませんか。
ユーザが配られたマニュアルを見ていないことが、問い合わせの原因となっていることも多々あると思います。

ヘルプデスク担当者は、ユーザに対してマニュアルを確認してほしいと回答するなどの対応が発生しますが、毎回マニュアルを送付するよう自動化すれば、問い合わせが減る可能性があります。
さらに、ただ配るのではなく、ユーザが操作ミスをした際に、自動でマニュアルを送ることでユーザ自身にマニュアルを読むよう促すことができます。

wf3.png

Okta workflowsの動作としては、oktaで定期的に特定のエラーイベントを検知するフローを動作させておき、エラーが発生した際に発生したユーザのメールへマニュアルを送る挙動になります。

アプリケーションユーザ無効化とライセンス削除

部署移動や役割変更、入退社によってSaaS側のアカウントをきちんと管理できているでしょうか。
記録もれ、登録ミスなどによってSaaS側に不要なアカウントが残っておりライセンスが無駄にかかってしまうことも多くあると思います。

こういった課題をWorkflowsで自動化させることによって、運用の効率化、無駄なライセンス消費を抑えることができます。


SaaS側のライセンス規約にもよりますが、一定量のライセンスを購入しておき、ユーザが使用するときだけ使用ユーザにライセンスを割り振る⇒一日経ったらライセンスを外すなどの運用で、ライセンスコストを下げることもできるかもしれません。

wf4.png

Okta workflowsでの動作としては、ユーザが部署移動した際などに、okta上でユーザの所属するグループを変更すると、Workflowsが連動し、SaaS側でユーザの無効化やライセンス削除を自動的に行います。

また、グループからユーザを削除したところでWorkflowsを動作させ、SaaS側のユーザを無効化し、削除することができます。

SaaSセッションリボーク

ワーククフローとは少し異なる部分もありますが、面白い事例がありますのでご紹介します。

ゼロトラストの観点では、動的なアクセス制御を行うことが理想です。
ユーザ/デバイスの怪しい挙動をみつけてSaaSログイン中のユーザでも、強制的に再認証させるなどができると望ましいですが、oktaからログアウトさせてもSaaS側のセッション情報が残っている限りユーザはそのSaaSを使用し続けることができてしまいます。

そこでユーザがoktaからログアウトした段階で、SaaSに対してもセッションリボーク連動させ再認証させることができます。これによって動的なアクセス制御をかける手助けになると考えます。

wf5.png

wf4.png

Okta Workflowsでの動作としては、ユーザのoktaログアウトをきっかけにWorkflowsで検知させ、SaaS側のセッションリボークAPIをたたくことで、ユーザとSaaS間のセッションを切断します。(SaaS側のAPIがセッションリボークに対応している必要があります。)

まとめ

様々な定常業務(ワークフロー)がアイディア次第で自動化、効率化することができます。
ゼロトラストな環境では運用の効率化は重要な要素です。
どのようなワークフローが実現可能か、他社ではどのような事例があるのかなど、ご興味がある方も多いのではないでしょうか。

マクニカでは様々なお客様事例を収集し、多様なシーンでの自動化をお手伝いしています。
何か効率化したい運用があれば、ぜひご相談ください。

---------------------

【ID認証に関するホワイトペーパー】クラウド時代に失敗できないIDaaS選定ガイド
ID認証に必要な機能は個別のSaaSで調達、でもUX的に大丈夫?

シングルサインオン(SSO)を実現するためのIDaaSは、
ゼロトラストセキュリティにおける重要な役割も期待されている。

IDaaSの現状について見ていきながら、どんな視点で選んでいくべきなのか詳しく解説
ーIDaaSが注目される背景
ー改めて理解しておきたいIDaaS導入のメリット
ーIDaaS選びに必要な4つのポイント

ホワイトペーパーのダウンロードはこちら2.JPG
---------------------
【ゼロトラストに関するご相談窓口:ベスト・オブ・ブリード型アプローチで、最適なソリューションをご提案】

どうゼロトラストを進めればいいのか分からないという企業のために、ゼロトラスト相談窓口を設置しました。

すでに導入しているITリソースを取捨選択しつつ新しいものを取り入れ、
徐々にゼロトラストのコンセプトにシフトしていくことが、現実的に取りうる有力な選択肢ではないでしょうか。

当社では、一次代理店であるからこそ得られる豊富な経験を元に、各製品を連携実証し、
お客様にあわせた導入を提案・支援いたします。ZTNAの導入でお悩みの方は、ぜひ当社のゼロトラスト相談窓口にお問い合わせください。

お問い合わせはこちら.png

メルマガ登録バナー(セキュリティ).jpg



RSSで購読する
ランキング
カテゴリ
タグ
月別アーカイブ