【Okta | OIGシリーズ】Access Certificationによるユーザー棚卸しをやってみた｜Nextmode Blog

はじめに

こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です

ネクストモードではID統合管理（IDaaS）のOktaを利用して各SaaSへのシングル・サインオンやプロビジョニングの一元管理をしています。

このブログシリーズでは、Okta Identity Governance (OIG) と呼ばれるIDガバナンスに特化したソリューションが持つ様々な機能を実際に検証し、その効果や活用方法についてご紹介していきます。
今回は、OIGの中核機能の一つである Access Certification (アクセス認定) に焦点を当て、特に 「ユーザーの棚卸し」 をどのように効率化・自動化できるのかを解説します。

形骸化しがちなアクセス権のレビュープロセスを、OIG Access Certificationでどのように改善できるか、一緒に見ていきましょう。

Access Certificationとは

Access Certification（アクセス認定、アクセス権レビュー、または棚卸しとも呼ばれます） とは、従業員や関係者が保持しているアプリケーションやデータへのアクセス権が、現在も業務上必要かつ適切であるかどうかを、定期的に確認・承認するプロセスのことです。

多くの企業では、以下のような理由でアクセス権の見直しが必要となります。

• 従業員のライフサイクル: 入社、部署異動、役職変更、休職、そして退職。これらに伴い、必要なアクセス権は常に変化します。
• 最小権限の原則: セキュリティのベストプラクティスとして、ユーザーには業務遂行に必要な最低限の権限のみを付与することが推奨されますが、運用の中で過剰な権限が付与されてしまうことがあります。
• コンプライアンスと監査: SOX法、GDPR、ISMS (ISO 27001) など、多くの規制や認証基準で、アクセス権の定期的なレビューが要求されます。

Access Certificationキャンペーンを定期的に実施することで、企業は以下のようなメリットを得られます。

• セキュリティリスクの低減: 不要になったアカウントや過剰な権限を特定し削除することで、不正アクセスや情報漏洩のリスクを最小限に抑えます。
• コンプライアンス遵守の証明: 定期的なレビュープロセスとその記録（監査証跡）により、規制当局や監査法人に対してコンプライアンス要件を満たしていることを証明できます。
• 運用効率の向上: 手作業やスプレッドシートでの管理に比べ、レビュープロセスを自動化・効率化し、IT部門やレビュー担当者の負担を大幅に軽減します。

OIGのAccess Certificationは、これらのプロセスをOktaプラットフォーム上でシームレスに実現するための機能です。

簡単な手順

OIG Access Certificationでレビューキャンペーンを実施する際の流れは以下の通りです。

1. キャンペーンの作成:
   • まず、レビューキャンペーンを新規に作成し、名前（例：「2025年度上期 全社ユーザー棚卸し」）や説明、レビューの目的を定義します。
2. 対象リソースの選択:
   • レビュー対象とするリソース（Oktaに接続されているアプリケーション、Oktaグループなど）を選択します。特定の重要アプリケーションや、広範囲なアクセス権を持つグループなどを指定します。
3. 対象ユーザーの選択:
   • 選択したリソースにアクセス権を持つユーザーの中から、レビュー対象とするユーザーを絞り込みます。全ユーザーを対象にすることも、特定の部署や役職、属性を持つユーザーに限定することも可能です。
4. レビュー担当者の割り当て:
   • 誰がレビューを行うかを決定します。一般的には、ユーザーの直属の上司、アプリケーションのオーナー、またはIT管理者が担当します。Oktaのユーザープロファイル情報を利用して、動的に割り当てることも可能です。（例：各ユーザーのmanager属性に設定されている人をレビュー担当者にする）
5. スケジュールと通知の設定:
   • キャンペーンの開始日、レビュー期限を設定します。定期的なキャンペーン（四半期ごと、年次など）としてスケジュールすることも可能です。レビュー担当者への通知（メールなど）やリマインダーの設定もここで行います。
6. キャンペーンの開始とレビュー実施:
   • 設定したスケジュールになるとキャンペーンが自動的に開始され、レビュー担当者にタスクが割り当てられます。レビュー担当者はOktaのダッシュボードやメール通知からレビュー画面にアクセスし、担当するユーザーのアクセス権に対して「承認 (Approve)」または「取り消し (Revoke)」のアクションを実行します。必要に応じて、他の担当者にレビューを「再割り当て (Reassign)」することも可能です。Oktaは、レビュー担当者の判断を助ける情報（最終ログイン日時など）を提供します。
7. 結果の適用とモニタリング:
   • レビュー担当者がアクションを完了すると、その結果が集計されます。「取り消し」と判断されたアクセス権は、キャンペーン完了時に自動的に削除（プロビジョニング解除）されるように設定したり、管理者が最終確認してから手動で削除したりすることができます。管理者はキャンペーンの進捗状況をリアルタイムで監視できます。
8. レポートと監査証跡:
   • キャンペーン完了後、レビュー結果の詳細なレポートが生成されます。誰が、いつ、どのアクセス権を、どのようにレビューしたかの記録は、監査証跡として非常に重要です。

ユーザー棚卸しをやってみた

実際にAccess Certification機能を使って「ユーザー棚卸し」を行うシナリオを想定してみましょう。
ここでは、「年に一度、特定の組織に所属する社員を対象に、退職者アカウントが残存していないか、および主要なSaaSアプリケーションへのアクセス権が適切かを確認する」 という目的でキャンペーンを設定・実行する流れをシミュレーションします。

1. キャンペーン作成と設定:

まずはOkta管理画面からIDガバナンス -> アクセス認定 からCreate campaign -> User Campaignをクリックします。

キャンペーン名とレビューの開始日およびレビュー期間を入力します。
今回は3週間（21日）をレビュー期間として設定しました。

Make this recurringにチェックを入れるとこのキャンペーンを１年に１回など定期的に実施することが可能です。

次にレビュー対象ユーザーを選択します。
今回は特定グループに所属するユーザーを対象とするためグループを選択します。

次にレビュー対象リソースを選択します。
今回はユーザーに紐づく全てのアプリケーションとグループ（All apps and groups）としています。
特定のアプリケーションやグループをレビュー対象外とすることや個人でアサインされているグループやアプリを除外することも可能です。

次にレビュー担当者の選択です。
今回は特定ユーザーを設定しましたが、各ユーザーのプロファイルに登録されている「直属の上司 (Manager)」や特定グループをレビュー担当者として設定することも可能です。

レビュー担当者に棚卸しが開始したことや完了したことを通知する設定も入れておきましょう。

次にレビュー結果によってどのようなアクションにするか設定します。
レビュー担当者がrevoke（取り消し）を選択した場合、対象のアプリケーションやグループを剥奪する設定にしました。

以上で設定は完了です。
レビュー開始日になると自動的にキャンペーンが開始されますが、今回は手動で始めます。
作成したキャンペーンからのActions -> Launchをクリックすることで前倒しすることが可能です。

2. レビュー担当者の体験:

キャンペーンが開始されるとレビュー担当者に下記のようなメールが届きます。

「割り当てられたレビューを表示します」をクリックするとOkta Access Certificationのレビュー画面に遷移します。
各メンバーについて、リストアップされているアプリケーションやグループへのアクセス権が必要かどうかを確認し、Approve（承認）、Revoke（取り消し）、Reassign（レビュー担当者の再割り当て）を実施します。

• 例1: 営業部のAさんの「DocuSign」アクセス権 → 業務上必須なので「承認」。
• 例2: 最近マーケティング部に異動したBさんの「営業部共有フォルダ (Okta Group)」アクセス権 → 不要になったので「取り消し」を選択し、コメントに「マーケティング部異動のため」と記載。
• 例3: Cさんの「Microsoft 365」アクセス権 → 長期間（例: 90日以上）ログイン履歴がないことが表示されている。本人に確認するか、不要と判断して「取り消し」。

一つずつ確認していきますが、複数選択してまとめてレビューすることも可能です。

3. 管理者の確認と結果の適用:

全てのレビューが完了するとメールにてキャンペーンの終了通知が届きます。

「キャンペーンの概要を表示」をクリックすると全ての棚卸し結果が確認できます。
「取り消し」と判定されたアクセス権について、設定に基づき自動的にプロビジョニング解除（アクセス権削除）が実行されるか、または管理者が最終承認してから手動で削除を実行します。

管理者はキャンペーン期間中、OIGのダッシュボードで全体の進捗状況（レビュー完了率、承認/取り消しの件数など）をリアルタイムで確認できます。
レビューが滞っている担当者には、個別に追加のフォローアップを行うことも可能です。

キャンペーンの結果レポート（誰が何をレビューし、どのようなアクションが取られたか）はレポート -> アクセス認定キャンペーンに表示されます。

レポート「過去のキャンペーンの概要」ではキャンペーン一覧（レビュアーやスコープ、完了率など）が確認できます。
CSVエクスポートに対応しているため、監査資料として保管しておくことも可能です。

このように、OIG Access Certificationを利用することで、これまで非常に手間がかかっていた全社的なユーザー棚卸し作業を、効率的かつ確実に実施することができます。
レビュープロセスが明確になり、担当者の負担も軽減され、結果として組織全体のセキュリティレベル向上に繋がります。

最後に

今回は、Okta Identity Governance (OIG) の Access Certification 機能を用いたユーザー棚卸しの方法について、具体的なシナリオを交えてご紹介しました。
Access Certificationは、単にコンプライアンス要件を満たすためのツールではなく、

• 不要なアクセス権という潜在的なセキュリティリスクを継続的に排除する
• アクセス権管理の透明性を高め、説明責任を果たす
• 手作業によるレビューの負担を軽減し、コア業務に集中できる環境を作る

ための強力な武器となります。

適切なIDガバナンス体制の構築は、現代の企業にとって避けては通れない課題です。OIG Access Certificationが、その一助となれば幸いです。
このブログシリーズでは、今後もOIGの様々な機能について、検証結果を交えながらご紹介していく予定です。

次回もどうぞお楽しみに！