ID ベースライン ポリシーのコンプライアンス プロセスIdentity Baseline policy compliance processes

この記事では、ID ベースラインの規範を統制するポリシー準拠プロセスに対するアプローチについて説明します。This article discusses an approach to policy adherence processes that govern the Identity Baseline discipline. 効果的な ID のガバナンスは、ID ポリシーの導入と改正を支援する手動プロセスの繰り返しから始まります。Effective governance of identity starts with recurring manual processes that guide identity policy adoption and revisions. この場合、ポリシーをレビューして更新し、ポリシーのコンプライアンスを確実にするには、クラウドのガバナンス チームと、関心のあるビジネス/IT 関係者の定期的な関与が必要です。This requires regular involvement of the cloud governance team and interested business and IT stakeholders to review and update policy and ensure policy compliance. また、進行中の監視と適用のプロセスの多くは、ガバナンスのオーバーヘッドを減らし、ポリシーの逸脱に即座に反応できるツールを使用して自動化したり、補助を受けたりすることができます。In addition, many ongoing monitoring and enforcement processes can be automated or supplemented with tooling to reduce the overhead of governance and allow for faster response to policy deviation.

計画、レビュー、レポート作成のプロセスPlanning, review, and reporting processes

ID 管理ツールはクラウド デプロイにおけるユーザー管理とアクセスの制御の大部分を支援する機能を提供しています。Identity management tools offer capabilities and features that greatly assist user management and access control within a cloud deployment. 組織の目標を支援するために、十分に考慮されたプロセスとポリシーも必要となります。They also require well-considered processes and policies to support your organization's goals. ID ベースラインの規範に一般的に含まれるプロセスの例を以下に示します。The following is a set of example processes commonly involved in the Identity Baseline discipline. この例を、プロセスの計画の最初に使用することで、ビジネスの変化と、ガバナンスのガイダンスを行動に移す任務を負う IT チームからのフィードバックに基づき、ID ポリシーを継続して更新できるようになります。Use these examples as a starting point when planning the processes that will allow you to continue to update identity policy based on business change and feedback from the IT teams tasked with turning governance guidance into action.

初期のリスク評価と計画: ID ベースラインの規範の初期導入の一環として、クラウド ID 管理に関連す主要なビジネス リスクと許容範囲を特定します。Initial risk assessment and planning: As part of your initial adoption of the Identity Baseline discipline, identify your core business risks and tolerances related to cloud identity management. この情報は、ID サービスを管理する IT チームのメンバーと特定の技術的なリスクについて話し合い、そのようなリスクを軽減するためのセキュリティ ポリシーのベースライン セットを開発して、初期のガバナンス戦略を策定するために使用します。Use this information to discuss specific technical risks with members of your IT teams responsible for managing identity services and develop a baseline set of security policies for mitigating these risks to establish your initial governance strategy.

デプロイ計画:どのデプロイの前にも、ワークロードへのアクセスのニーズをレビューし、策定された企業の ID ポリシーに合ったアクセスの制御の戦略を開発してください。Deployment planning: Before any deployment, review the access needs for any workloads and develop an access control strategy that aligns with established corporate identity policy. ポリシーの更新が必要かどうかを判断するにはニーズ同士のギャップと、最新のポリシーを文書化し、必要に応じてポリシーを変更します。Document any gaps between needs and current policy to determine whether policy updates are required, and modify policy as needed.

デプロイのテスト: クラウドのガバナンス チームは、デプロイの一環として、ID サービスを担当する IT チームと連携し、デプロイをレビューし、ID ポリシーのコンプライアンスを検証する役割を担います。Deployment testing: As part of the deployment, the cloud governance team, in cooperation with IT teams responsible for identity services, will be responsible for reviewing the deployment to validate identity policy compliance.

年単位の計画:ID 管理戦略の概要のレビューは、年単位で実行してください。Annual planning: On an annual basis, perform a high-level review of identity management strategy. ID サービス環境に計画されている変更と最新のクラウド導入戦略を確認し、潜在的リスクの増加がないか、現時点で ID インフラストラクチャ パターンを変更する必要があるかどうかを識別します。Explore planned changes to the identity services environment and updated cloud adoption strategies to identify potential risk increase or need to modify current identity infrastructure patterns. さらに、最新の ID 管理のベスト プラクティスをこの時点で確認して、自社のポリシーとレビューのプロセスに統合します。Also use this time to review the latest identity management best practices and integrate these into your policies and review processes.

四半期単位の計画:四半期ごとに、ID とアクセスの制御の監査データに対して一般的なレビューを実行し、クラウド導入チームと会って、ID ポリシーの更新やアクセス制御戦略の変更が必要な潜在的な新しいリスクや運用上の要件がないかどうかを識別します。Quarterly planning: On a quarterly basis perform a general review of identity and access control audit data, and meet with the cloud adoption teams to identify any potential new risks or operational requirements that would require updates to identity policy or changes in access control strategy.

この計画プロセスは新しいポリシーや変化しているポリシーに関する知識のギャップや ID 関連のリスクに関して自分のクラウド ガバナンス チームの最新のメンバーシップを評価するいい機会でもあります。This planning process is also a good time to evaluate the current membership of your cloud governance team for knowledge gaps related to new or changing policy and risks related to identity. 適切な IT スタッフを招き、チームの一時的な技術アドバイザーまたは永続的メンバーのいずれかとして、レビューと計画に参加してもらいます。Invite relevant IT staff to participate in reviews and planning as either temporary technical advisors or permanent members of your team.

教育とトレーニング: IT スタッフと開発者が最新の ID ポリシー要件を把握できるように、2 か月に 1 回、トレーニング セッションを設けます。Education and training: On a bimonthly basis, offer training sessions to make sure IT staff and developers are up-to-date on the latest identity policy requirements. このプロセスの一環として、最新の企業ポリシー ステートメントに適合するように、すべてのドキュメント、ガイダンス、その他のトレーニング資産のレビューと更新を行います。As part of this process review and update any documentation, guidance, or other training assets to ensure they're in sync with the latest corporate policy statements.

月単位の監査とレポートのレビュー: ID ポリシーに継続的に準拠するには、すべてのクラウド デプロイに対して月単位で監査を実行します。Monthly audit and reporting reviews: On a monthly basis, perform an audit on all cloud deployments to assure their continued alignment with identity policy. このレビューを使用してビジネスの変更に対するユーザー アクセスを確認し、ユーザーにクラウド リソースへの正しいアクセス権が確実に付与され、RBAC などのアクセス戦略に一貫して確実に準拠するようにします。Use this review to check user access against business change to ensure users have correct access to cloud resources, and ensure access strategies such as RBAC are being followed consistently. 権限を持つアカウントを特定し、その目的を文書化します。Identify any privileged accounts and document their purpose. このレビュー プロセスでは、ポリシーへの全体的な準拠について詳しく記載されたレポートが、クラウド戦略チームと各クラウド導入チーム向けに作成されます。This review process produces a report for the cloud strategy team and each cloud adoption team detailing overall adherence to policy. レポートの保存は、監査と法的な目的のためでもあります。The report is also stored for auditing and legal purposes.

継続的な監視のためのプロセスProcesses for ongoing monitoring

ID ベースライン戦略が成功するかどうかは、ID システムの現在と過去の状態をどれだけ正確に把握できるかにかかっています。A successful Identity Baseline strategy depends on visibility into the current and past state of your identity systems. クラウド デプロイの関連メトリックと関連データを分析できない場合、リスクの変化を特定したり、リスクの許容範囲の違反を検出したりすることができません。Without the ability to analyze your cloud deployment's relevant metrics and related data, you cannot identify changes in your risks or detect violations of your risk tolerances. 先に説明した継続的なガバナンスのプロセスで、ビジネスのニーズの変化に合わせてポリシーを変更するには、品質データが必要です。The ongoing governance processes discussed above require quality data to ensure policy can be modified to support the changing needs of your business.

ご利用の ID サービスに、リスクの評価に必要なログと監査情報を取得する自動化された監視システムが、IT チームによって確実に実装されているようにします。Ensure that your IT teams have implemented automated monitoring systems for your identity services that capture the logs and audit information you need to evaluate risk. このようなシステムを積極的に監視することで潜在的なポリシー違反を確実にすばやく検出して軽減できるようにし、ID インフラストラクチャの変更が監視戦略に確実に反映されるようにします。Be proactive in monitoring these systems to ensure prompt detection and mitigation of potential policy violation, and ensure any changes to your identity infrastructure are reflected in your monitoring strategy.

違反のトリガーと適用のアクションViolation triggers and enforcement actions

ID ポリシーの違反は、機密データへの不正アクセスや、ミッション クリティカルなアプリケーションとサービスの重大な中断につながる可能性があります。Violations of identity policy can result in unauthorized access to sensitive data and lead to serious disruption of mission-critical application and services. 違反が検出されたら、できるだけ早く策を講じてポリシーを使って再調整する必要があります。When violations are detected, you should take actions to realign with policy as soon as possible. IT チームは ID ベースライン ツールチェーンに概要が説明されているツールを使用して、ほとんどの違反のトリガーを自動化することができます。Your IT team can automate most violation triggers using the tools outlined in the Identity Baseline toolchain.

次のトリガーと適用のアクションは、監視データを使用してポリシーの違反を解決する方法を計画する際に参照できる例を示しています。The following triggers and enforcement actions provide examples you can reference when planning how to use monitoring data to resolve policy violations:

  • 不審なアクティビティの検出: 匿名のプロキシ IP アドレス、未知の場所から検出されたユーザー ログイン、不自然に離れた場所からの連続したログインは、アカウントの侵害の可能性、または悪意のあるアクセス試行を示している場合があります。Suspicious activity detected: User logins detected from anonymous proxy IP addresses, unfamiliar locations, or successive logins from impossibly distant geographical locations may indicate a potential account breach or malicious access attempt. ユーザー ID が確認され、パスワードがリセットされるまで、ログインがブロックされます。Login will be blocked until user identity can be verified and password reset.
  • ユーザー資格情報の漏えい: インターネットに流出したユーザー名とパスワードのアカウントは、ユーザー ID が確認され、パスワードがリセットされるまで無効になります。Leaked user credentials: Accounts that have their username and password leaked to the internet will be disabled until user identity can be verified and password reset.
  • 不十分なアクセス制御の検出: 保護されたアセットへのアクセスのうち、アクセス制限がセキュリティの要件を満たさないものは、リソースがコンプライアンスに準拠するまでブロックされます。Insufficient access controls detected: Any protected assets where access restrictions do not meet security requirements will have access blocked until the resource is brought into compliance.

次のステップNext steps

ID ベースライン規範テンプレートを使用して、現在のクラウド導入計画に適合するプロセスとトリガーを文書化します。Use the Identity Baseline discipline template to document the processes and triggers that align to the current cloud adoption plan.

導入計画に適合したクラウド管理ポリシーを実行する場合のガイダンスについては、規範の改善に関する記事を参照してください。For guidance on executing cloud management policies in alignment with adoption plans, see the article on discipline improvement.