IDMの実装を成功させるための原則。 ビジネスケース

情報セキュリティシステム、つまりIDMソリューションの市場は、西側の最新の動向に応じて途方もないペースで成長しています。 この傾向は、ここ数年、東ヨーロッパとロシアの国々で観察されています。 現在、IDMソリューションは大企業と中規模企業の両方で需要があります。



ロシアのIDM市場には、西洋と国内の両方のベンダーがあります。 現在最も一般的なIDMシステムは、Oracle Identity Manager、IBM Security Identity Manager、Microsoft Forefront Identity Manager、CMS、Avanpostです。 それらには多くの共通点がありますが、機能的な機能もあります。ソリューションを選択する際、顧客は間違いなく、どのシステムが要件を最も完全に満たしているかを理解するためにそれらのそれぞれに精通する必要があります。 IDMとは何ですか？ これはアカウント管理システムです。 通常、IDMにはアクセスを提供する2つの方法があります。人事異動（ジョブアクセス）に基づく方法と、セルフサービスWebポータル（個人アクセス）を使用する方法です。 IDMが管理するエンティティはアカウントです。 IDMはアカウントを作成し、事前設定されたグループメンバーシップを管理します。


既存のすべてのIDMシステムには、はるかに幅広い機能があり、一部のシステムでは、「詳細な権限」の管理、標準アクセスの構成（グループの作成とリソースへの関連付け）、さらには新しいリソースの作成が可能です。

最近まで、ロシア企業によるIDMの使用は、業界の巨人、欧米企業の代表オフィス、主要銀行の特権でした。 これらは、数千人のスタッフと巨大な「動物園」の情報システムを持つ企業です。その多くはこれらの企業専用に作成され、他の場所では使用されず、数千または数億の予算があります。 なんで？

実際、ロシア市場のほとんどのIDMソリューションは、Oracle、IBM、Microsoftなどのマーケットリーダー、トレンドセッターによって代表されています。

これらのソリューションは設計者であり、あらゆるビジネスプロセスに合わせてカスタマイズすることができます。 実際、西部のIDMはプラットフォームです。 しかし、これらのシステムのライセンスのコストは非常に高く、実装には数年かかる場合があります。 同時に、顧客のビジネスプロセスが変化している場合は、ソリューションを実際に書き直す必要があります。

最近、市場の状況は変化しています。 200〜500人を超える企業は、情報リソースへの不正アクセスのリスクを軽減し、IDMシステムを使用してアクセスの提供と制御のプロセスを自動化します。 何が変わった？

1. インテグレーターの能力が成長し、「標準」の複製可能なソリューションが形成され、エンジニアの能力が向上し、プロジェクトコストが削減されました。
2. ビッグスリーの欧米企業は価格設定ポリシーを変更し、大幅な割引を提供し、初期コストの最大70％に達しました。 これは、とりわけ、国内ベンダーの競合他社が非常に有利なオファーを出していることに起因しています。
3. 使用される情報システムの複雑さと量、およびロシア企業の従業員の資格は増加しています。

しかし、ロシアのIDM市場はまだ西側と同じ量ではありません（米国では、1000人を超える5社のうち4社がIDMソリューションを使用しています）。 ロシアでIDMクラスの製品を成功させるには、何をする必要がありますか？

TrustVersは、IDMソリューションの国内開発者であり、大規模な組織と最大1000人のスタッフを抱える企業の両方で成功裏に導入されています。 私たちは、いくつかの論文を策定しました。これらの論文は、ロシアの企業でIDMを成功させるための鍵になると考えています。

1. IDM実装プロジェクトは、平均で3か月続く必要があります。 これはいくつかの方法で実現できます。

• ターゲットシステムへのコネクタはそのまま使用できます。 Oracleを実装したインテグレータは、ほとんどのコネクタが実装段階で「完成」しており、それらの複製は条件付きであるため、実装の時間とコストの増加につながります。
• システムは、プログラムではなく調整する必要があります。つまり、システムコアを調整するためのインターフェイスが必要です。 これにより、システムの柔軟性が低下しますが、はるかに高速に構成できます。 バランスが必要です。
• IDMシステムには、情報システムの現在の状態と現在のISポリシーに基づいてロールモデルを作成および最適化する分析モジュールが必要です。 在庫最適化操作の原則。 これにより、必須の事前プロジェクト分析の段階をシステム実装プロセスに統合できるため、時間コストが大幅に削減され、プロセスが自動化されます。

2. IDMは、会社の情報セキュリティを確保する他のシステムと連携して動作する必要があります。 どの企業がIDMをゼロから使用し始めるかはめったにありません。 ほとんどの場合、同社はすでにクラスITSM、SIEM、SSO、PKI、ACSのいずれかのシステムを使用しています。 Identity Managementクラスシステムを関連ソリューションと組み合わせて使用​​する方法を詳しく見てみましょう。

• ITSMとの統合は 、「単一のエントリポイント」と同様に興味深いものです。 組織の従業員は、サービスデスクでアプリケーションを作成し、アクセスを提供するアプリケーションである場合、IDMに自動的に送信され、そこで同意され、実行され（自動的に）、その後監視されます。

• KUBとSIEMの統合は、次のスキームに従って編成されます。IDMKUBは 、セキュリティ設定の変更（アクセス権の変更、アカウントの作成、削除、新しいリソース）についてターゲットシステムを監視し、アプリケーションの要件と比較します。 変更がターゲットシステムで直接発生した場合、IDMはアプリケーションメカニズムをバイパスして、責任者にコンプライアンス違反を通知し、レポートをSIEMに送信します。 この統合の利点は、SIEMが、合意されたイベントとアプリケーションシステムをバイパスして発生したイベントを区別しないため、IS担当者が理解しにくい変更の「ヒープ」を受け取ることです。

• ACSとの統合。 会社の従業員が他の人のデータを使用してシステムで作業する状況にどのくらいの頻度で遭遇しますか？ この状況はどの程度受け入れられますか？ あなたはそれぞれこの質問に個別に答えることができますが、ほとんどの場合、彼らはこの問題と戦おうとします。 IDMとACSを併用すると、ドメインを含むターゲットシステムへのユーザーアクセスを制御できます。 人が制御システムを通過し、ACS境界を入力しない限り、ADアカウントはブロックされ、従業員が仕事に就くとすぐに、ドメインにログインする機会が与えられます。 もちろん、パスとリモートアクセスの喪失を含む多くの制限がありますが、これはIDMを介して実現することもできます（たとえば、カードを忘れた従業員の長が作成したアプリケーションを使用）。

• IDMを使用してPKIインフラストラクチャを管理します。 最も一般的なシナリオは、従業員の受け入れ/解雇時の証明書の自動発行と失効です。 ただし、IDMは、たとえば、従業員がセキュリティ証明書を必要とするシステムへのアクセスを要求した場合など、要求に応じて証明書を発行できます。 PKI-IDMは、証明書管理、それらの自動発行と失効、および輸送に関して、NIBとITの負荷を大幅に削減できます。 2番目の、それほど要求されない機能は、アプリケーションの作成および承認の段階でのESの使用です。これには、資格のあるES（暗号プロなど）の使用が含まれます。
  

• SSO 新しい従業員が働くようになると、人事システムのデータに基づいて、IDMは役職に基づいて特権を与え、ワンタイムパスワードを生成します。
  コンピューターに初めてアクセスするとき、ユーザーはドメインアカウント名とパスワードを指定します。 ログインに成功した後、ユーザーは後続の使用に代わる認証システム（スマートカード、トークン、ワンタイムパスワードジェネレーター、生体認証ツールなど）を構成できます。 CUBでは、この手順はIndeed-Id Enterprise SSOエージェントの資金を使用して実行されます。 使用可能な全オーセンティケーターは、Indeed-Id Enterprise SSO設定によって決まります。 必要な設定がすべて完了すると、ユーザーは選択された認証システムを使用して、ドメインとすべてのアプリケーションにアクセスできます。 IPのパスワードを覚えておく必要はありません。
  

3. IDMソリューションは有益である必要があります。 残念ながら、誇張された期待、アプリケーション作成ルールを使用する企業倫理の欠如、インテグレーターの経験不足、IDMソリューションを実装するプロジェクトは、必ずしも会社に期待される効果をもたらすとは限りません。 IDMの実装から最大の効果を得るにはどうすればよいですか？

• 最も重要な要因の1つは、ビジネスユニットの使いやすさです。 アクセスマトリックスとロールの構造は理解可能である必要があり、いくつかの基準に従って検索する必要があります。コーディネーターがアプリケーションを調整できる必要があります。 同時に、ジョブ権限を設定することにより、ロールをリクエストするプロセスを最小限に抑える必要があります。 従業員は、同僚のように資格情報を要求できる必要があります。
• 自動化サービスと情報セキュリティの相互作用、およびIDMの運用に関する正式な規制。 ITサービスの従業員がアプリケーションシステムをバイパスして、たとえば従業員の口頭の要求を遂行する場合、IS担当者は「矛盾」に圧倒され、ISサービスの作業は麻痺します。 IDMの使用に焦点を当てているのは、アプリケーションの電子ドキュメントフローを配置することです。 IDMを単一のアクセス要求システムにします。 場合によっては、オペレータがCUBでリクエストを解釈したり、部門の責任者を指定して、同僚がアクセスするためのアプリケーションを作成したりするのが理にかなっています。
• プロジェクトへの参加、従業員を交換する義務の履行、非従業員の仕事には、さまざまな対象システムの典型的な特権からなる特定のビジネスロールのセットの形成が必要です。 子ロールと親ロールを組み合わせた一連のロールを使用すると、アクセス要求手順が大幅に簡素化され、権限の制御と再認証を簡素化できます。
• 機能の詳細な調査、IDM管理者の高度なトレーニング、セルフサービスポータルで作業するための一般スタッフのトレーニングは、どの組織でも新しいソリューションに切り替える困難を最小限に抑えます。

IDMソリューションの取得は、システムの実装とその後の運用を成功させるための重要なステップです。さまざまなIDMの機能的特徴を慎重に理解し、経験豊富なインテグレーターを選択し、専門家向けのトレーニングを実施する必要があります。 実装に関する決定は、ビジネス、IT、およびNISのスタッフが参加して、まとめて行われる必要があります。

プレセールマネージャーAlexey Pavlov
LLC Trust Trust
http://trustverse.ru