こんにちは!たつみんです。 今回は、現在Early Accessとして提供されている Google Workspace express setup について検証した結果をご紹介します。 Google...
はじめに
こんにちは、 ネクストモード株式会社 テクニカルサポート担当です。
Okta Identity Governance (OIG) の機能のとしてSeparation of Duties(職務分離)がEarly Accessとしてリリースされているので検証してみました。この機能を使うことで、前回ご紹介したEntitlement Management上の権限について好ましくない組み合わせをAccess Requestsで予防し、Access Certificationで修復を行うことができます。
Separation of Duties(職務分離)とは
Separation of Duties(職務分離)とは、組織内で重要な業務や権限を複数の人員や役割に分散させることで、不正行為や過失のリスクを軽減するセキュリティ管理の手法です。例えば、経理部門において、支払いの申請者と承認者を分けることで、不正な支払いのリスクを低減することができます。OIGでは、この概念をアプリケーションやシステムへのアクセス権限の管理に適用し、特定のユーザーが相反する権限を持つことを防ぐことができます。
設定の流れ
前提
Separation of Dutiesの利用にはGovernance Engineが有効である必要があります。
Governance Engineの有効化については以下のEntitlement Managementの記事をご参照ください。
Early Accessの有効化
Okta管理画面のSettings>FeaturesからSeparation of Dutiesを有効化します。
すでにGovernance Engineが有効なGoogle WorkspaceのGovernanceタブからさらにSeparation of duties rulesタブを開き、Create ruleをクリックします。
以下のようにルール名やどのようなロールやライセンスを重複NGとするかを定義し、Create ruleをクリックします。
ここでは簡単な例として、ルール名はSoD Role RuleとしDefine conflictsはGoogle Workspaceのヘルプ デスク管理者と組織部門とユーザー読み取り権限(カスタムロール)を重複NGとして指定しています。
以下のようにルールが作成されました。
Access Requestsでの活用
例えば、すでにGoogle Workspaceの組織部門とユーザー読み取り権限を保持しているユーザーがAccess Requestsでヘルプ デスク管理者を含むバンドルをリクエストしようとするとSeparation of Dutiesで作成したルールに抵触するため、Submit requestを実行できない状態となっています。
Access Certificationでの活用
Entitlementを対象としたAccess CertificationではSeparation of duties rulesに合致する場合はSOD CONFLICTと強調表示されています。
強調表示されている1件を選択するとSOD conflict detailsで具体的な重複の内容が表示されます。
まとめ
OIGのSeparation of Duties機能について検証結果をご紹介させていただきました。本機能は、組織内での権限の重複を効果的に検知・防止し、意図しない権限付与や不正アクセスのリスクを大幅に軽減する強力なセキュリティ管理ツールとして機能します。特筆すべき点として、Access RequestsやAccess Certificationとの緊密な連携により、権限の申請から承認、定期的な見直しまでの権限管理のライフサイクル全体を通じて、一貫性のある包括的な管理を実現できます。
これらの機能により、組織全体のセキュリティガバナンスが効果的に強化され、各種規制やコンプライアンス要件への適合性も大幅に向上させることが可能となります。さらに、管理者の負担を軽減しながら、より確実な権限管理を実現できる点も、本機能の重要な特長と言えるでしょう。
