はじめに こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です...
はじめに
こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です
ネクストモードではID統合管理(IDaaS)のOktaを利用して各SaaSへのシングル・サインオンやプロビジョニングの一元管理をしています。
このブログシリーズでは、Okta Identity Governance (OIG) と呼ばれるIDガバナンスに特化したソリューションが持つ様々な機能を実際に検証し、その効果や活用方法についてご紹介していきます。
今回は、OIGの中核機能の一つである Access Certification (アクセス認定) に焦点を当て、特に 「アプリケーションの棚卸し」 をどのように効率化・自動化できるのかを解説します。
利用されなくなったアプリケーションや、誰が利用しているか不明なアプリケーションは、セキュリティリスクや不要なライセンスコストの原因となります。今回の記事では、Access Certification を使って、自社で利用されているアプリケーションの現状を把握し、整理・最適化するための具体的な方法を検証結果とともにご紹介します。
Access Certificationとは
Access Certification(アクセス認定、アクセス権レビュー、または棚卸しとも呼ばれます) とは、従業員や関係者が保持しているアプリケーションやデータへのアクセス権が、現在も業務上必要かつ適切であるかどうかを、定期的に確認・承認するプロセスのことです。
詳細については下記エントリーで紹介していますので、是非御覧ください。
簡単な手順
OIG Access Certificationでレビューキャンペーンを実施する際の流れは以下の通りです。
基本的には上記エントリーの「ユーザーの棚卸し」と同様の手順です。
- キャンペーンの作成:
- まず、レビューキャンペーンを新規に作成し、名前(例:「2025年度上期 全社アプリケーション棚卸し」)や説明、レビューの目的を定義します。
- 対象リソースの選択:
- レビュー対象とするリソースタイプ(Applications, Groups, Entitlements in applications)を選択します。アプリケーションの棚卸しが目的の場合、ここでは「Applications」を選択します。
- 対象アプリケーション/ユーザーの選択:
- リソース: レビュー対象とするアプリケーションを選択します。全アプリケーションを対象にすることも、特定のアプリケーションを選択することも可能です。
- ユーザー: レビュー対象となるユーザーの範囲を指定します。特定のグループに所属するユーザーや、特定の条件に合致するユーザーなどを指定できます。
- レビュー担当者の割り当て:
- 誰がレビューを行うかを決定します。一般的には、ユーザーの直属の上司、アプリケーションのオーナー、またはIT管理者が担当します。Oktaのユーザープロファイル情報を利用して、動的に割り当てることも可能です。(例:各ユーザーの
manager属性に設定されている人をレビュー担当者にする)
- 誰がレビューを行うかを決定します。一般的には、ユーザーの直属の上司、アプリケーションのオーナー、またはIT管理者が担当します。Oktaのユーザープロファイル情報を利用して、動的に割り当てることも可能です。(例:各ユーザーの
- スケジュールと通知の設定:
- キャンペーンの開始日、レビュー期限を設定します。定期的なキャンペーン(四半期ごと、年次など)としてスケジュールすることも可能です。レビュー担当者への通知(メールなど)やリマインダーの設定もここで行います。
- キャンペーンの開始とレビュー実施:
- 設定したスケジュールになるとキャンペーンが自動的に開始され、レビュー担当者にタスクが割り当てられます。レビュー担当者はOktaのダッシュボードやメール通知からレビュー画面にアクセスし、担当するユーザーのアクセス権に対して「承認 (Approve)」または「取り消し (Revoke)」のアクションを実行します。必要に応じて、他の担当者にレビューを「再割り当て (Reassign)」することも可能です。Oktaは、レビュー担当者の判断を助ける情報(最終ログイン日時など)を提供します。
- 結果の適用とモニタリング:
- レビュー担当者がアクションを完了すると、その結果が集計されます。「取り消し」と判断されたアクセス権は、キャンペーン完了時に自動的に削除(プロビジョニング解除)されるように設定したり、管理者が最終確認してから手動で削除したりすることができます。管理者はキャンペーンの進捗状況をリアルタイムで監視できます。
- レポートと監査証跡:
- キャンペーン完了後、レビュー結果の詳細なレポートが生成されます。誰が、いつ、どのアクセス権を、どのようにレビューしたかの記録は、監査証跡として非常に重要です。
アプリケーション棚卸しをやってみた
それでは、実際に Access Certification を使ってアプリケーションの棚卸しを行うシナリオを考えてみましょう。
ここでは、「利用されている一部のOkta 上のアプリケーションについて、その利用実態を確認し、不要なアプリケーションやアクセス権を洗い出す」ことを目的とします。
1. キャンペーン作成と設定:
まずはOkta管理画面からIDガバナンス -> アクセス認定 からCreate campaign -> Resource Campaignをクリックします。
キャンペーン名とレビューの開始日およびレビュー期間を入力します。
今回は3週間(21日)をレビュー期間として設定しました。
Make this recurringにチェックを入れるとこのキャンペーンを1年に1回など定期的に実施することが可能です。
次にレビュー対象アプリケーションを選択します。
グループを選択することも可能ですが、今回はアプリケーションを選択します。
次に棚卸しの対象とするアプリケーションを選択します。
次にアプリケーション棚卸しのレビュー対象ユーザーを設定します。
今回はアプリケーションに割当られた全てのユーザー(All users assigned to the selected resources)としています。
直近のアプリケーションへのSSOがないユーザーを指定する事前定義設定やExpression Languageを利用したユーザーの抽出も可能です。
次にレビュー担当者の選択です。
今回は特定ユーザーを設定しましたが、各ユーザーのプロファイルに登録されている「直属の上司 (Manager)」や特定グループをレビュー担当者として設定することも可能です。
レビュー担当者に棚卸しが開始したことや完了したことを通知する設定も入れておきましょう。
次にレビュー結果によってどのようなアクションにするか設定します。
レビュー担当者がrevoke(取り消し)を選択した場合、対象ユーザーのアプリケーションへのアクセス権を剥奪する設定にしました。
以上で設定は完了です。
レビュー開始日になると自動的にキャンペーンが開始されますが、今回は手動で始めます。
作成したキャンペーンからのActions -> Launchをクリックすることで前倒しすることが可能です。
2. レビュー担当者の体験:
キャンペーンが開始されるとレビュー担当者に下記のようなメールが届きます。
「割り当てられたレビューを表示します」をクリックするとOkta Access Certificationのレビュー画面に遷移します。
各メンバーについて、リストアップされているアプリケーションやグループへのアクセス権が必要かどうかを確認し、Approve(承認)、Revoke(取り消し)、Reassign(レビュー担当者の再割り当て)を実施します。
- 例1: 営業部のAさんの「Google Workspace」アクセス権 → 業務上必須なので「承認」。
- 例2: 最近マーケティング部に異動したBさんの「Microsoft 365」アクセス権 → 不要になったので「取り消し」を選択し、コメントに「マーケティング部異動のため」と記載。
- 例3: Cさんの「Slack」アクセス権 → 削除漏れのため「取り消し」を選択
試しに私のGoogle WorkspaceをRevokeしてみます。
3. 管理者の確認と結果の適用:
全てのレビューが完了するとメールにてキャンペーンの終了通知が届きます。
「キャンペーンの概要を表示」をクリックすると全ての棚卸し結果が確認できます。
「取り消し」と判定されたアクセス権について、設定に基づき自動的にプロビジョニング解除(アクセス権削除)が実行されるか、または管理者が最終承認してから手動で削除を実行します。
今回のGoogle Workspaceについては自動プロビジョニングの設定をしていましたので、Okta上のアプリケーションから久住が外れ、Google Workspace側からも削除(停止中ステータス)となりました。
キャンペーンの結果レポート(誰が何をレビューし、どのようなアクションが取られたか)はレポート -> アクセス認定キャンペーンに表示されます。
最後に
今回は、Okta Identity Governance の Access Certification 機能を使って、アプリケーションの棚卸しを行う方法について解説しました。Access Certification は本来、ユーザーアクセス権の適正性をレビューするための機能ですが、設定次第でアプリケーション自体の利用状況を把握し、整理するための強力なツールとなり得ます。
定期的な棚卸しは、セキュリティ強化、コンプライアンス遵守、コスト最適化の観点から非常に重要です。OIG を活用することで、このプロセスを効率的かつ効果的に実施できることをご理解いただけたかと思います。
このブログシリーズでは、今後も OIG の様々な機能について、具体的な活用方法をご紹介していく予定です。
次回もどうぞお楽しみに!
