この記事は機械翻訳されました。
多くの企業にとって最大の課題の 1 つ概要 は、コンプライアンスの確保です。 この作業は、アイデンティティとアクセス管理 (IAM) ソフトウェアを使えば簡単になります。 IAMを使用すると、管理者は厳密なアクセスプロトコルを指定して、ユーザーが使用できるネットワークとリソース、およびそれらの使用方法を制御できます。つまり、このソフトウェアは、従業員ができることとできないことを可視化し、ガバナンスを提供します。
ここでは、SOX、HIPAA、HITECH、PCI の 4 つの異なるコンプライアンス要件を詳しく見て、IAM がコンプライアンスをどのように簡素化するかを評価してみましょう。
SOX関連
2002年、金融スキャンダルを受けて、サーベンス・オクスリー法(略してSarboxまたはSOX)が成立しました。IT部門の目的は、企業慣行の透明性を高めることで、投資家の信頼を向上させることでした。 特に、要件には次の対策が含まれます。
- ポリシーの施行
- リスク評価
- 不正の削減
- コンプライアンス監査
SOXの主な目的は、企業の財務諸表の信頼性を高めることです。この法律は、違反に対する民事および刑事罰を規定しているため、ITに注意することは非常に重要です。
SOXにとってITは明らかに重要です。結局のところ、企業の財務諸表を構成するデータのほとんどは、情報テクノロジーシステムによって作成されています。 しかし、特にIAMは、サーベンス・オクスリー法のコンプライアンスをサポートできます。
たとえば、IAM は、職務が変わったときにユーザーのアクセス権を正確に変更できます。従業員が役職を変更し、そのネットワークアクセスが新しい役割に合わせて再調整されない場合、職務分掌(SoD)違反が発生する可能性があるため、ビジネスのコンプライアンスリスクが増加します。しかし、IAMを使用すると、アクセスの外科的変更がかなり可能です。同様の例は、従業員が会社を辞めた後にアクセスを終了することです。
HIPAAの
HIPAA(医療保険の相互運用性と説明責任に関する法律)は、1996年に制定されました。IT の目標の 1 つは、保護された医療情報のプライバシーを管理する国家標準を確立することでした。 他の機能の中でも、この法律は、プライバシーに対する個々のニーズと、患者と公衆を保護するために医療専門家が健康情報を共有する必要性とのバランスを取ることを目的としています。読者は、同意フォームや、HIPAA 標準から部分的に派生したその他のドキュメントに精通しているかもしれません。
IAM により、組織はIT部門がHIPAAコンプライアンスを確保することがはるかに容易になります。 たとえば、オプトインした人とオプトアウトした人など、インフォームドコンセントのカテゴリに基づくアイデンティティは、強力に強制される場合があります。 患者が 1 人の医療専門家から別の医療専門家との情報共有をオプトアウトした場合、組織は、後者の専門家が制限されたデータへのアクセスを拒否されると確信できます。
IAMは、さまざまなシステムにこのようなポリシーを実装することもできます。これにより、経営幹部は、さまざまな情報テクノロジーが使用されているにもかかわらず、コンプライアンスが実施されることを確信できます。 OktaのHIPAA準拠セルは、サービスプロバイダーのHIPAA要件を満たすように特別に設計されています。
ハイテック
HITECH(Health Information テクノロジーfor Economic and Clinical Health Act)は、HIPAAと同列に議論されることがよくありますが、ITは異なる要件のセットです。 HITECHは、経済刺激法案の一部として2009年に法律として制定されました。IT目的の1つは、電子カルテ(EHR)の全国ネットワークへの公共投資を開始することでした。
他の措置の中でも、HITECHは、暗号化されていない保存された健康情報に対する連邦政府の侵害通知を義務付けています。さらに、HITECHは、特定のHIPAA要件を、過去に対象としていた事業体(支払者、プロバイダー、クリアリングハウス)を超えて、ビジネスパートナーに拡大しました。
これはIAMにとって何を意味するのでしょうか?ここで IAM が提供する利点の1つは、ソフトウェアがアイデンティティ連携を提供できることです。 アクセスは、1 つの組織内だけに存在する必要はありません。IT は、組織の境界の外部で連携され、複数のグループ (グループ) による電子カルテへの安全なアクセスを許可することができます。 これは、HITECHの拡張要件に役立ちます。
PCIの
PCIは、PCI DSS、またはPayment Card Industry Data Security Standardの略です。 上記のコンプライアンス基準とは異なり、PCIは政府の法律から生じるものではありません。 ITは、主要なクレジットカードを管理する会社概要 のための独自の情報セキュリティ標準です。 完全準拠とは、会社概要 送信中の支払いカードデータを暗号化し、侵入テストに提出することを意味します。 PCIは特定のテクノロジーを義務付けるものではなく、業界のベストプラクティスを説明しています。
IAMソフトウェアは、支払いカードデータのプライバシーを維持することにより、PCIコンプライアンスの達成を支援します。たとえば、支払いカードデータにアクセスできる従業員の数を、この情報を知る必要がある従業員を最小限に制限することに関する特定のPCI要件があります。そしてもちろん、IAMはここで輝いています。たとえば、IT 部門は、特権ユーザーには、作業を完了するために必要な最小限の特権のみを付与できます。 これにより、プライバシー侵害につながる可能性のある特権の不必要な昇格を防ぐことができます。
コンプライアンスのためのIAM
あなたの組織が上記の4つの規制のいずれかに準拠する必要があるか、業界に固有の他の標準に準拠しているかにかかわらず、アイデンティティとアクセス管理 ソリューションは、ユーザーのアイデンティティと、組織のネットワーク上でアクセスできるものとできないものに対するガバナンスを改善することで、タスクを簡素化できます。 Okta は、監査済みの安全なインフラストラクチャとプロセスを維持しているため、サービスの安全性と可用性が高く、お客様のコンプライアンスへの取り組みを支援します。
