プロビジョニングとは、ネットワークやコンピュータなどの情報技術(IT)システムをユーザーの利用申請や需要が生まれた際に、それらの設定など準備をし、使用できるようにするプロセスです。組織のニーズに応じて、ITのプロビジョニングはネットワーク、サーバー、アプリケーション、およびユーザーのレベルで定義できます。
- ネットワークのプロビジョニング:ユーザー、サーバー、およびデバイスがアクセスできるネットワークをセットアップします。たとえば、通信業界では、ネットワークプロビジョニングにより、顧客にワイヤレスソリューションを提供します。
- サーバーのプロビジョニング:ネットワーク内で使用できるサーバーをセットアップするプロセスです。新しいマシンの作成、データセンターへの物理ハードウェアの設置、ソフトウェアのインストールと構成、ネットワークやストレージへの接続が含まれます。
- アプリケーションのプロビジョニング:インフラストラクチャ管理ソリューションであり、これにより管理者は企業内のさまざまな環境のパフォーマンスを最適化できます。
- ユーザーのプロビジョニング:デジタルアイデンティティを管理するプロセスです。ビジネスのアプリケーション、ファイル、ネットワーク、システム、リソースに対する権限やアクセス許可の作成、更新、削除が含まれます。
プロビジョニング解除は、ソフトウェアおよびネットワークサービスへのユーザーアクセスを削除するプロセスです。これはプロビジョニングと正反対の活動であり、一般的には従業員のロール変更や離職に伴って発生します。
プロビジョニングとプロビジョニング解除は、両方ともITシステムとアプリケーションのセキュリティ保護で重要な役割を果たします。また、セキュリティ態勢を強化したい組織にとっても、効果的で自動化されたユーザープロビジョニングを実現することが優先課題となります。
ユーザーのプロビジョニングとプロビジョニング解除が重要な理由
新入社員の採用で組織が最初に行うことの1つは、その従業員のレコードを作成することです。その後に、人事、IT、または両部門が共同で、業務上必要となるすべてのアプリケーション、アカウント、システムに従業員がアクセスできるようにします。
したがって、ユーザーのプロビジョニングは、組織の人事システムで情報が追加または修正されるたびに行われます。これには、チームメンバーの追加、ロールの変更、プロモーション、部門間の異動などが含まれます。つまり、ユーザープロビジョニングは、オンボーディング時に適切なユーザーに適切なレベルのアクセスを提供します。雇用期間中を通じてアクセスを更新し、さらに(プロビジョニング解除のプロセスで)従業員が組織を離れるときにアクセスを削除するのに役立ちます。
自動プロビジョニングとは? そのメリットとは?
自動プロビジョニングとは、ユーザーのオンボーディングとオフボーディングを手動でおこなっていたプロビジョニングを自動化することを意味します。組織の大小を問わず、自動化されたユーザープロビジョニングにより、ITと人事はより戦略的なタスクに注力できるようになります。また、人為的ミスの影響を最小限に抑えることでセキュリティのギャップを防ぎ、ユーザーエクスペリエンスを向上させることができます。
個々のユーザープロファイル、アカウント特権、グループメンバーシップを手動で更新するのは、特に従業員がアクセスする必要がある業務アプリケーションがこれまで以上に増えている状況においては、時間のかかる作業です。それだけでなく、ITチームが他のプロジェクトで手が離せない場合には、プロセスが遅れる可能性があります。そのために、新しいユーザーが迅速にオンボーディングできず、アクセス権限の付与や削除が滞り、不適切なアクセス許可の監視や特定が難しくなる可能性があります。プロビジョニングとプロビジョニング解除を自動化することで、ITが受けるプレッシャーが軽減され、ビジネス価値を促進するプロジェクトに皆が注力できます。
ユーザープロビジョニングを自動化することで、セキュリティ侵害に対してビジネスを脆弱にするアクセス管理のギャップもある程度排除できます。ユーザーアカウントを手動で作成するということは、組織内の誰かがメールの送信や付箋への書き込みなどによって従業員とパスワードを共有する必要があることを意味します。これは、安全性が低いプロセスです。同様の人為的ミスが起こる場合には、セキュリティに脅威を与える可能性があります。たとえば、ユーザーがアクセスすべきではないシステムやデータに誤ってプロビジョニングされたり、離職後もアクセスできたりする場合にリスクが生じます。
ユーザーのプロビジョニングとプロビジョニング解除を自動化することで、これらのリスクを排除でき、安全で機密を保持できる方法によりユーザーにアクセス許可が与えられます。自動プロビジョニングにより、ユーザーはロールの属性に基づいて、オンプレミスおよび外部アプリにプロビジョニングされます。これらの属性とアクセス許可は1つの場所に格納され、従業員のロールの変更に応じて簡単に変更できます。部門やチームが新しいツールを実装したり、従業員の権限を変更したりすると、グループルールに基づいてアクセスも展開されます。
ITのプロビジョニングを自動化することで、必要なときにのみユーザーにアクセスを提供でき、ハッカーが企業の機密情報への不正アクセスを得るために悪用する可能性のあるセキュリティギャップを防止できます。
ユーザープロビジョニングシステムの自動化を確立するための4つの基本ステップ
ユーザーのプロビジョニングとプロビジョニング解除を自動化するには、最初に解決すべき問題を特定し、ユースケースを開発する必要があります。また、組織全体でソリューションを展開する前に、ソリューションをテストすることをお勧めします。
ステップ1:アイデンティティおよびアクセス管理を評価する
最初に、プロビジョニングのニーズを定義し、現在のアイデンティティ管理プログラムの品質と成熟度を評価します。考慮すべき事項は3つあります。
- 人:従業員は、ユーザープロビジョニングの意味や、担当職務の責任範囲を知っていますか? アクセス管理ソリューションは使いやすいですか?
- プロセス:ユーザーアクセスのプロビジョニング、管理、プロビジョニング解除のために、現在どのようなエンドツーエンドのプロセスを使用していますか? それは管理上の負担を発生させますか、または排除しますか?
- テクノロジー:ビジネスのテクノロジーの包括性、安全性、使用可能性はどの程度ですか? システムはユーザーのロールに即座に対応しますか?
組織の現在のプロビジョニングシステム、およびその維持に必要な時間とリソースを把握することで、次のステップを特定するのに役立ちます。
ステップ2:ユーザープロビジョニングのビジネスケースを策定する
ユーザープロビジョニングは、すぐに成果が出る単純なプロセスではありません。ソリューションを実装する前に、生産性の向上とリスクの低減、時間とコストの節約、ユーザーエクスペリエンスの向上、従業員のライフサイクル管理の容易化にどのように役立つかを説明する包括的なビジネスケースを策定する必要があります。
数百、数千ものアプリケーションを導入している企業は、ユーザーアクセスの管理が過剰な負担になるリスクがあります。したがって、ビジネスケースでは、重要なシステムおよびリソースの優先順位付けとインベントリ作成が必要となります。
ステップ3:パイロットプログラムを立ち上げる
パイロットプログラムでユーザープロビジョニングを試すことが重要です。そのためには、主要幹部の支持を得て従業員の参加を促し、組織全体からさまざまなビジネス部門に属する、古株から若手までの多様な顔ぶれを含む初期ユーザーグループを結成します。
パイロットプログラムでは、以下の4つの点を考慮する必要があります。
- 範囲:影響を受けるシステムとユーザーを特定します。
- 期間:パイロットプログラムのスケジュールを設定し、監視して必要な変更を加えるための十分な時間を確保します。
- 成果:パイロットプログラムが成功したかどうかを示すために役立つ主要な指標を概説します。これには、時間の短縮、生産性、ユーザーエクスペリエンスの向上を含めます。
- フィードバック:パイロットプログラムに参加するユーザーから意見を収集することで、ソリューションの強みと弱みを特定するのに役立ちます。これは、SurveyMonkeyなどのツールを使用して、匿名で簡単に実行できます。
ステップ4:組織全体でユーザープロビジョニングを開始する
パイロットプログラムで得られた洞察を実践に投入したら、組織全体でユーザープロビジョニングを実装する準備が整います。可能な限り円滑に展開を進めるために、ヘルプデスク、内部監査、企業チームを含むさまざまな関係者を展開に関与させます。
ただし、自動化されたプロビジョニングとプロビジョニング解除を開始するだけでは、長期的な成功を収めるには不十分です。プログラムを継続的に監視して、以下の点をレビューする必要があります。
- 一定期間内に完了するユーザープロビジョニングの数
- ヘルプデスクによって処理されるリクエストの数(時間の経過とともに減少するはずです)
- ユーザーアクセスに関連する内部監査の所見
- ユーザーからのフィードバック(エクスペリエンスを継続的に強化するために対処する必要があります)
ユーザープロビジョニングのベストプラクティス
ユーザープロビジョニングの安全性を維持し、成功させるためには、以下のベストプラクティスが重要となります。
プロビジョニングとプロビジョニング解除を自動化する
昇格、チームの異動、新しいデバイスの使用、さまざまな新しいソフトウェアツールの導入、離職に伴って、従業員のアクセス要件が変化します。また、組織の構造が変化したり、システム/ネットワークアクセスが制限される請負業者/パートナーと一時的に連携したりするといったこともあります。
プロビジョニングとプロビジョニング解除の自動化は、アクセス付与におけるミスを防ぐために欠かせません。このプロセスにより、ITが時間を大幅に節約し、人為的なミスや不必要なフラストレーションが生じるリスクを排除し、常に適切なユーザーだけがファイルやシステムにアクセスできるように確保できます。
セキュリティレイヤーの追加
ユーザープロビジョニングソフトウェアは、個々のユーザーアクセスの管理に加えて、人事チームとITチームが複数の部門やグループにわたってアクセス、アプリケーションのロール、セキュリティポリシーを制御するために役立ち、ITシステムの保護を強化します。グループルールにより、管理者はメンバーシップ、アプリケーションのアクセス許可、プロビジョニングなどを決定するポリシーを設定できます。また、グループプッシュなどの機能を使用して、ユーザーをサードパーティアプリに簡単にプロビジョニングできます。
継続的な監視 プロビジョニングのミスを削減
プロビジョニングのミスは、生産性の脅威となります。また、ユーザーに必要以上のアクセス権を付与してしまうと、コンプライアンスやセキュリティを損なう可能性もあります。企業は、ユーザーのアクセスを継続的に監視し、ユーザーアクセスの確認、割り当てのチェック、孤立アカウントの検知を可能にするための定期レポートを実行する必要があります。
ITへのアクセスの提供は、継続的なプロセスです。Oktaのライフサイクル管理ソリューションは、ユーザーのプロビジョニング/プロビジョニング解除の自動化やシステムの安全保持に役立ちます。その詳細をご確認ください。
