ゼロトラスト 2023.11.07

最近よく聞くLight IGAとIGA Suiteの違いは？どちらから導入すべき？

はじめに

日本でも浸透し始めたIGA (Identity Governance & Administration)ですが、この分野に進出するプロダクトも増えつつあります。

IGA導入の検討を行う際に知っておきたいのが、プロダクトが「IGA Suite」と「Light IGA」という2種類に大別されているということです。

これらにはどのような特徴・違いがあり、導入にあたってどちらを選択するのが最善なのでしょうか？

本記事では、その判断材料となることを目的として、それぞれのIGAにおける機能のカバー範囲の違いを説明します。

IGA Suiteとは? Light IGAとは?

IGA SuiteとLight IGA

ID管理では、「誰が・いつ・なぜ・どの」デジタルリソースにアクセスしているかを適正化・可視化し、必要最小限のアクセス権限の付与を実現するのが理想的です。

その実現に当たって、①従業員や業務委託先などのアイデンティティの認証、②認可やアクセス権限の管理・アクセスログの監視やワークフロー、③特権的なID管理の機能が必要となります。

その中で①アイデンティティの認証はIAM (Identity Access Management)の領域、③特権的なID管理はPAM (Privileged Access Management)の領域となっています。

IGAはそれ以外の②の機能、特に認可やガバナンスの部分を担うソリューションです。

そのようなIGAの領域の機能を網羅している製品群は「IGA Suite」と定義されています。

一方で、IGAのすべての機能を網羅していない製品群は「Light IGA」と呼びます。

Light IGAもある程度の基本機能は用意されていますが、権限管理に関連するリスクを最小限に抑制するには、IGA Suiteのように必要な機能が満遍なく用意されていることが望ましいです。

それぞれの機能範囲

上記の図はIGAソリューションにおける各製品群の機能の例を示しています。

IGA SuiteではIGAに必要な機能を十二分に活用できることが分かります。

一方でLight IGAは、いくつかの機能が用意されていなかったり、ある場合も機能が簡易化されていて詳細な操作ができなかったりと、限定的なものです。(取り扱うことのできる機能は各製品で異なります。)

そこで本記事では、Suiteを代表するSaviyntとIAMをベースとしたLight IGA製品に焦点を当てて、具体的にそれぞれの製品を検証して感じた特徴をまとめていきたいと思います。

Suite製品とLight製品で具体的にどの機能が異なっているのか？

エンタイトルメント管理

IGAの核とも言うことができるエンタイトルメント(権限)管理。

ユーザに対してどの権限が誰に許可されているか可視化し、各ユーザの属性に合わせた権限の付与を自動ルール化することで、各ユーザが業務に必要とする必要最小の権限を有している環境を保持できます。

各ユーザの保持する権限が必要最小限になることで過剰な権限を持つユーザの発生を防止し、権限の不正利用等によるリスクを低減させることが期待できます。

Light IGA：権限ロール単位 ⇔ IGA Suite：権限単位で管理・制御

Light IGAでは権限管理の単位が権限ロールとなっていました。

権限ロールとはグループやチーム、対抗アプリケーションへのアクセス権限および各ユーザロール等、複数のアクセス権限を1つのまとめたものです。

複数の権限を包含しているので、業務や部署で共通して必要な権限付与を、これ1つで完了でき、1つ1つ付与するというような手間を省くことができます。

対してIGA Suiteでは権限ロール単位だけでなく、より細かく各権限単位で管理を行うことができました。

権限単位となることで、ユーザに対してより詳細な「必要なアクセス権限のみ」という小さな単位で申請させることが可能です。

それによって権限ロール単位では判断できない部分(例えば既に付与された権限ロールの中にある権限と、申請している権限ロールの中にある権限が職務分掌違反になる場合など)についても制御が可能となります。

加えて権限毎にリスクの度合いを設定して、権限申請や棚卸時に可視化することができます。

連携するアプリケーションの管理者権限など強い権限を高リスクに設定するなどして、例えば申請時の場合は承認者にリスクがある権限申請があることをアラートして承認に注意を払うように促すことができます。

これは承認作業の形骸化を防止し、判断の欠如によるユーザへの権限の過剰付与を防止することに繋がります。

画像9.png

また、この点は職務分掌 (SOD)の機能においても、管理上メリットがあります。

同一人物が同時に所持すると不正等のリスクに繋がるアクセス権限の組み合わせがありますが、

この組み合わせについてIGA内で定義付け・ルール化をして、ルールに抵触するユーザの有無を監視する機能が職務分掌です。

Light IGAの職務分掌では、権限ロール同士または権限ロールとグループの組み合わせで職務分掌をルール化していました。

一方IGA Suiteでは、アクセス権限同士を対象としているため、それぞれの権限の意味に着目した粒度の細かいルール作りが可能です。

これは基幹システムなどの、特に厳格な権限管理が要求される場面で効果を発揮します。

棚卸 (アクセスレビュー)

棚卸とは、各IDに紐づくアクセス権限や権限ロール等を見直す業務を指します。

権限申請時の承認活動を通して権限の必要性を判断することは当然必要です。

しかしそれだけではなく、それぞれのユーザがその時々で適切な権限のみを有している状況であるかどうか、定期的に見直すことがリスクの最小化に繋がります。

棚卸業務の適正化は、今後のID管理に必須の項目といっても過言ではありません。

Light IGAは権限リソースのメンバーシップの棚卸が対象

Light IGAではグループや対向アプリケーションへのアクセス権限、権限ロールなどの権限リソースに対するユーザのメンバーシップを棚卸の対象としていました。

そして棚卸実施に伴うアクションは「承認」か「拒否」、判断できない場合は「不明」を選択でき、棚卸後にその結果を自動反映させることができると確認しました。

自動反映が設定できることで、棚卸時の判断に基づいた権限の剥奪作業を抜け漏れなく実行できます。

また、棚卸の実施者はアクセス毎に定義することができ、対象となるユーザの管理者やグループ・アプリケーションのオーナーだけではなく、対象者自身で棚卸の実施を予定することもできました。

そのため、Light IGAはID管理の棚卸に必要な要素を最小限の形で満たしているといえます。

IGA Suiteの棚卸は権限リソースの内容も対象

対してIGA Suiteは、対抗アプリケーションや権限ロールのメンバーシップだけでなく、権限ロールに紐づくアクセス権限を棚卸したり、アクセス権限同士で親子関係を形成しているものについては子権限の棚卸を行うこともできます。

Light IGAのシンプルな棚卸でもある程度効果はありますが、そもそもユーザに提供する権限側の状態をメンテナンスできれば権限に関わるリスクも大幅に下がると予想できます。

アクションも「承認」と「拒否」だけでなく、特定のユーザを棚卸の最中に選択してエスカレーションすることや、期限を定めて権限の継続を認めるといった緩和策など、豊富な選択肢も用意されているのが特徴です。

このようにLight IGAの棚卸の対象はIGA Suiteの対象の一部をカバーしており、それは各リソースに対するメンバーシップに関する棚卸のみであることが分かります。

ここからもLight IGAと比較して、IGA Suiteは各ユーザに対する権限制御を多角的に行うことができるといえます。

結局どちらから導入すればよいのか？

今回の検証をもとに、IGA SuiteとLight IGAの特徴をまとめたのが以下の図になります。

やはり機能面では、IGAとしての豊富かつ詳細な機能を備えているIGA Suiteが優れています。そのため基本的にはIGA Suiteを導入して適切なID管理ができる環境とすることをお勧めします。

一方で費用や工数の面を考えるとIGA Suiteと比較してLight IGAに軍配が上がります。また、現在OktaやEntra ID等の既存のIAMプロダクトを導入済みの企業様も多くいらっしゃると思います。そのような場合は、選択肢としてIAMベースのLight IGAをご検討されるのも良いかと思います。

ただし、Light IGAの機能はあくまでも限定的なもので、それだけで十分なID管理・ガバナンスを行うことは困難です。そのため、Light IGAから導入する場合でも将来的にはIGA Suiteへの移行がID管理を行う上で必要になってきます。

この点については是非とも留意いただければと思います。

最後に

弊社においてもIGA Suiteのプロダクトをご紹介を行うことが可能ですので、ご関心を持たれましたら是非ともご連絡ください。