はじめに
midPointアドベントカレンダー15日目はIGAの主要な要素である、監査、レポートと分析について、一般的な意味とIGAの概念の説明、またmidPointでどのように実現していくのかをご紹介したいと思います。
監査とは
一般的な監査の定義としては、企業などが業務で使用している情報処理システムにおいて、「障害発生の対策」や「不正アクセスの検知」、「企業活動への活用」などの信頼性・安全性・効率性などの点について第三者の視点から客観的に点検・評価することを指しています。
IGAで定義されている監査
Gartner社ではIGAにおける監査を以下のように定義しています。
(日本語訳)
アイデンティティとアクセス権の現在の状態に対するビジネスルールとコントロールの評価。
アラートは、職務分掌(SOD)違反やターゲットシステムで直接行われた変更など、例外のコントロール所有者にアラートを送信する手段を提供し、秩序立った修復を可能にします。
(原文)
Evaluating business rules and controls against the current state of identities and access rights.
Alerting provides a means for alerting control owners of exceptions — such as segregation of duty (SOD) violations, or changes made directly on target systems — and allows for orderly remediation.
※ 出典 Gartner社「Gartner, Definition: Identity Governance and Administration」, Felix Gaehtgens, Refreshed 11 September 2019, Published 7 August 2018 (2018年9月の記事-閲覧は有料)
上記のように、IGAではアイデンティティライフサイクルパターンをベースに、アイデンティティ(ID)と権限の現在の状態に対する点検・評価を行うこととされています。
※ IDライフサイクルについては、4日目の記事をご参照ください。
midPointにおける監査
ではここでmidPoint上での監査機能についても見ていきたいと思います。midPoint上での監査機能は**IDに関する証跡(いつ、誰が、どこから、何を、どうしたか等)**を、監査ログとして記録します。
監査ログの表示手順
監査ログの主な記録内容
以下の表示項目例はユーザ追加時の監査ログになります。
| 項目 | 説明 |
|---|---|
| タイムスタンプ | 監査レコードが生成された時間 |
| イベント識別子 | 監査イベントの一意の識別子 |
| イベントタイプ | どのような操作が実行されたか(オブジェクトの追加、変更、ログインなど) |
| イベントステージ | イベント処理の段階。操作が要求された時点のログか、実際に実行された時点のログかを表す |
| 実行ユーザ(イニシエーター) | イベントを実行したユーザやイベントを記録したタスクの所有者等 |
| リモートホストアドレス | HttpServletRequest.getRemoteAddr() から取得した値。プロキシやLBを経由する場合に、HTTPヘッダから取得するよう変更可能 |
| 操作対象 | 操作対象のオブジェクト |
| 変更内容 | 操作対象に加えられている変更内容の詳細情報 |
| イベント結果 | 操作の結果。(成功、失敗、部分的な失敗等) |
※ その他の出力項目の詳細はWikiをご参照ください。
レポートと分析とは
続いてレポートと分析についてです。
レポートは集められたデータを何らかの目的に合わせて分類、整理、成型されたものを指します。また分析は、物事を分解し、それを成立させている部分・要素を明らかにすることとあります。(参照:広辞苑)
IGAで定義されているレポートと分析
Gartner社ではIGAにおけるレポートと分析を以下のように定義しています。
(日本語訳)
IGAツールで利用可能なデータに関するより深い洞察を報告し、受け渡すメカニズムを提供します。
ロールマイニングは、ロール定義を設計および最適化するために使用される一般的な分析シナリオです。
ただし、実際に使用されているアクセス権を確認するために分析を適用することもできます。
運用データの分析は、サービス品質(QoS)の評価、サービスレベル契約(SLA)の順守、および異常な使用パターンの特定にも使用されます。
(原文)
Providing a mechanism to report on and deliver deeper insights into data available to an IGA tool.
Role mining is a typical analytics scenario used to design and optimize role definitions;
however, analytics can also be applied to ascertain which access rights are actually used.
Analytics on operational data are also used to evaluate quality of service (QoS), adhere to service-level agreements (SLAs) and identify anomalous usage patterns.
※ 出典 Gartner社「Gartner, Definition: Identity Governance and Administration」, Felix Gaehtgens, Refreshed 11 September 2019, Published 7 August 2018 (2018年9月の記事-閲覧は有料)
midPointにおけるレポートと分析
midPointのレポート機能では、IDの管理状態や記録された監査ログを出力し、コンプライアンスチェックを行うことが出来ます。
またダッシュボードでは、リアルタイムにシステムの状態を確認することが可能です。
出力可能なレポートの種類
標準では以下のレポートが出力可能です。
| 項目 | 説明 |
|---|---|
| Audit logs report | 監査ログからレポートを出力 |
| Certification campaigns report | 全てのキャンペーンとその状態を出力 |
| Certification cases report | 特定のキャンペーン内のステージごとの詳細情報を出力 |
| Certification decisions report | キャンペーン全体または、特定キャンペーンのステージごとの情報を出力 |
| Certification definitions report | 関連するキャンペーンの基本情報を含む、承認状況を出力 |
| Reconciliation report | 選択したリソースのリコンシリエーション状況を出力 |
| Users in MidPoint | ユーザの一覧を出力 |
レポートの出力手順
ダッシュボード
ダッシュボードは初期設定では以下の情報が表示されます。
- 有効なユーザ数
- 有効な組織数
- 有効なロール数
- 有効なサービス
- 有効なリソース数
- 有効なタスク数
- ログインユーザの情報
- midPointが動作しているシステムの情報
様々な形式でのレポート出力
レポートの出力条件は簡単に変更可能です。また、出力形式もPDF、Word、PowerPoint、HTML、CSVなどの様々な形式から選択可能です。
まとめ
以上のように、監査ではIDの証跡を、レポートと分析ではIDを含めた、リソースやロール状況などを確認・管理することが可能です。これらを活用することで、アクセス権の見直しや、不要なIDを削除するID棚卸機能など、IGAで定義するIDガバナンスの強化に役立てることが可能です。
次回は、midPointにおける「監査」「レポートと分析」実践編をご紹介いたします。
参考
Report Configuration
※ レポートの出力方法
Auditing
※ 監査の詳細情報