ID ベースラインのメトリック、インジケーター、およびリスク許容度Identity baseline metrics, indicators, and risk tolerance

ID ベースライン規範に関連するビジネス リスク許容度の定量化について説明します。Learn to quantify business risk tolerance associated with the Identity Baseline discipline. メトリックとインジケーターを定義すると、この規範の成熟に投資するためのビジネス ケースの作成に役立ちます。Defining metrics and indicators helps to create a business case for investing in the maturity of this discipline.

メトリックMetrics

ID 管理では、個人、ユーザー グループ、または自動化されたプロセスの識別、認証、承認、およびクラウド デプロイ内のリソースへの適切なアクセスの提供に重点を置いています。Identity management focuses on identifying, authenticating, and authorizing individuals, groups of users, or automated processes, and providing them appropriate access to resources in your cloud deployments. リスク分析の一部として、ID サービスに関するデータを収集し、直面しているリスクの程度、および計画されているクラウド デプロイにとっての ID ベースライン規範への投資の重要性を判別する必要があります。As part of your risk analysis you'll want to gather data related to your identity services to determine how much risk you face, and how important investment in your Identity Baseline discipline is for your planned cloud deployments.

ID ベースライン規範内のリスク許容度の評価に役立てるために収集する必要がある有用なメトリックの例を以下に示します。The following are examples of useful metrics that you should gather to help evaluate risk tolerance within the Identity Baseline discipline:

  • ID システムのサイズ。Identity systems size. ID システムを使用して管理されるユーザー、グループ、またはその他のオブジェクトの合計数。Total number of users, groups, or other objects managed through your identity systems.
  • ディレクトリ サービス インフラストラクチャの全体的なサイズ。Overall size of directory services infrastructure. 組織で使用されるディレクトリ フォレスト、ドメイン、およびテナントの数。Number of directory forests, domains, and tenants used by your organization.
  • レガシまたはオンプレミスの認証メカニズムへの依存。Dependency on legacy or on-premises authentication mechanisms. レガシまたはサードパーティまたは多要素認証メカニズムに依存するワークロードの数。Number of workloads that depend on legacy or third-party or multi-factor authentication mechanisms.
  • クラウドにデプロイされたディレクトリ サービスの範囲。Extent of cloud-deployed directory services. クラウドにデプロイしたディレクトリ フォレスト、ドメイン、およびテナントの数。Number of directory forests, domains, and tenants you've deployed to the cloud.
  • クラウドにデプロイされた Active Directory サーバー。Cloud-deployed Active Directory servers. クラウドにデプロイされた Active Directory サーバーの数。Number of Active Directory servers deployed to the cloud.
  • クラウドにデプロイされた組織単位。Cloud-deployed organizational units. クラウドにデプロイされた Active Directory の組織単位 (OU) の数。Number of Active Directory organizational units (OUs) deployed to the cloud.
  • フェデレーションの範囲。Extent of federation. 組織のシステムとフェデレーションされた ID 管理システムの数。Number of identity management systems federated with your organization's systems.
  • 昇格されたユーザー。Elevated users. リソースや管理ツールに昇格されたアクセス権を持つユーザー アカウントの数。Number of user accounts with elevated access to resources or management tools.
  • ロールベースのアクセス制御の使用。Use of role-based access control. ロールベースのアクセス制御 (RBAC) でグループを使用して管理されていないサブスクリプション、リソース グループ、または個々のリソースの数。Number of subscriptions, resource groups, or individual resources not managed through role-based access control (RBAC) via groups.
  • 認証要求。Authentication claims. 成功および失敗したユーザー認証試行の数。Number of successful and failed user authentication attempts.
  • 承認要求。Authorization claims. ユーザーがリソースへのアクセスに成功および失敗した試行の数。Number of successful and failed attempts by users to access resources.
  • 侵害されたアカウント。Compromised accounts. 侵害されたユーザー アカウントの数。Number of user accounts that have been compromised.

リスク許容度インジケーターRisk tolerance indicators

ID ベースラインに関するリスクは、組織の ID インフラストラクチャの複雑さに大きく関係します。Risks related to identity baseline are largely related to the complexity of your organization's identity infrastructure. 他のサービスとの最小限の統合を使用する単一ディレクトリまたはクラウド ネイティブ ID プロバイダーを使って、ユーザーとグループがすべて管理されている場合、リスク レベルは小さくなる可能性があります。If all your users and groups are managed using a single directory or cloud-native identity provider using minimal integration with other services, your risk level will likely be small. ビジネス ニーズの増加に伴い、ID 管理システムでは、内部組織をサポートするための複数のディレクトリや外部の ID プロバイダーとのフェデレーションなど、より複雑なシナリオをサポートすることが必要な場合があります。As your business needs grow, your identity management systems may need to support more complicated scenarios, such as multiple directories to support your internal organization or federation with external identity providers. これらのシステムがより複雑になると、リスクが増えます。As these systems become more complex, risk increases.

クラウド導入の初期段階で、IT セキュリティ チームおよびビジネス利害関係者と協力して、ID に関するビジネス リスクを特定し、ID リスク許容度の受け入れ可能なベースラインを判断してください。In the early stages of cloud adoption, work with your IT security team and business stakeholders to identify business risks related to identity, then determine an acceptable baseline for identity risk tolerance. クラウド導入フレームワークのこのセクションでは例を提供しますが、お客様の会社またはデプロイの詳細なリスクおよびベースラインは異なる可能性があります。This section of the Cloud Adoption Framework provides examples, but the detailed risks and baselines for your company or deployments may be different.

ベースラインが決まったら、特定したリスクでの許容できない増加を表す最小ベンチマークを確立します。Once you have a baseline, establish minimum benchmarks representing an unacceptable increase in your identified risks. これらのベンチマークは、それらのリスクに対応するためのアクションが必要となるタイミングを知るためのトリガーとして機能します。These benchmarks act as triggers for when you need to take action to address these risks. 前述のような ID に関するメトリックが ID ベースライン規範への投資の増加をどのように正当化できるかについて、いくつかの例を以下に示します。The following are a few examples of how identity related metrics, such as those discussed above, can justify an increased investment in the Identity Baseline discipline.

  • ユーザー アカウント数のトリガー。User account number trigger. ID システムで管理されるユーザー、グループ、またはその他のオブジェクトの数が x を超える会社では、ID ベースライン規範への投資から、多数のアカウントに対する効率的なガバナンスの確保というメリットが得られる可能性があります。A company with more than x users, groups, or other objects managed in your identity systems could benefit from investment in the Identity Baseline discipline to ensure efficient governance over a large number of accounts.
  • オンプレミス ID 依存関係のトリガー。On-premises identity dependency trigger. レガシ認証機能またはサードパーティの多要素認証を必要とするクラウドへのワークロードの移行を計画している会社では、リファクタリングまたはクラウド インフラストラクチャの追加デプロイに関するリスクを軽減するために、ID ベースライン規範への投資が必要です。A company planning to migrate workloads to the cloud that require legacy authentication capabilities or third-party multi-factor authentication should invest in the Identity Baseline discipline to reduce risks related to refactoring or additional cloud infrastructure deployment.
  • ディレクトリ サービスの複雑さのトリガー。Directory services complexity trigger. 管理している個々のフォレスト、ドメイン、またはディレクトリ テナントの数が x より多い会社では、アカウント管理に関するリスクと、複数のシステムに散在している複数のユーザー資格情報に関する効率性の問題を軽減するために、ID ベースライン規範への投資が必要です。A company maintaining more than x individual forests, domains, or directory tenants should invest in the Identity Baseline discipline to reduce risks related with account management and the efficiency issues related to multiple user credentials spread across multiple systems.
  • クラウドでホストされているディレクトリ サービスのトリガー。Cloud-hosted directory services trigger. クラウドでホストされている x 台の Active Directory サーバー仮想マシン (VM) をホストしている会社、またはこれらのクラウドベースのサーバー上で x 個の組織単位を管理している会社では、ID ベースライン規範への投資から、オンプレミスまたはその他の外部 ID サービスとの統合を最適化するというメリットを得ることができます。A company hosting x Active Directory server virtual machines (VMs) hosted in the cloud, or having x organizational units (OUs) managed on these cloud-based servers, can benefit from investment in the Identity Baseline discipline to optimize integration with any on-premises or other external identity services.
  • フェデレーションのトリガー。Federation trigger. x 個の外部 ID 管理システムとの ID フェデレーションを実装している会社では、ID ベースライン規範への投資から、フェデレーション メンバー間で一貫性のある組織方針を確保するというメリットを得ることができます。A company implementing identity federation with x external identity management systems can benefit from investing in the Identity Baseline discipline to ensure consistent organizational policy across federation members.
  • 昇格されたアクセス権のトリガー。Elevated access trigger. 管理ツールとリソースへの昇格されたアクセス権を持つユーザーが x% を超える会社では、ユーザーに対するアクセスの不注意なオーバープロビジョニングのリスクを最小限に抑えるために、ID ベースライン規範への投資を検討する必要があります。A company with more than x% of users with elevated permissions to management tools and resources should consider investing in the Identity Baseline discipline to minimize the risk of inadvertent overprovisioning of access to users.
  • RBAC のトリガー。RBAC trigger. ロールベースのアクセス制御方法を使用するリソースが x % を下回る会社では、リソースへのアクセス権をユーザーに割り当てる最適化された方法を特定するために、ID ベースライン規範への投資を検討する必要があります。A company with less than x% of resources using role-based access control methods should consider investing in the Identity Baseline discipline to identify optimized ways to assign user access to resources.
  • 認証エラーのトリガー。Authentication failure trigger. 認証エラーが試行回数の x% を超えている会社では、認証方法が外部からの攻撃を受けていないこと、およびユーザーが適切に認証できることを確実にするために、ID ベースライン規範への投資が必要です。A company where authentication failures represent more than x% of attempts should invest in the Identity Baseline discipline to ensure that authentication methods are not under external attack, and that users can authenticate properly.
  • 承認エラーのトリガー。Authorization failure trigger. アクセス試行の拒否確率が x % を超えている会社では、アクセス制御の適用と更新を改善し、悪意のある可能性があるアクセス試行を特定するために、ID ベースライン規範への投資が必要です。A company where access attempts are rejected more than x% of the time should invest in the Identity Baseline discipline to improve the application and updating of access controls, and identify potentially malicious access attempts.
  • 侵害されたアカウントのトリガー。Compromised account trigger. 侵害されたアカウントの数が 1 を超える会社では、認証メカニズムの強度とセキュリティを向上させ、侵害されたアカウントに関するリスクを修正するメカニズムを改善するために ID ベースライン規範への投資が必要です。A company with more than 1 compromised account should invest in the Identity Baseline discipline to improve the strength and security of authentication mechanisms and improve mechanisms to remediate risks related to compromised accounts.

リスク許容度と ID ベースライン規範への投資レベルを測定するために使用する正確なメトリックとトリガーは、組織に固有のものとなりますが、上記の例は、クラウド ガバナンス チーム内での話し合いに役立つベースとして機能するはずです。The exact metrics and triggers you use to gauge risk tolerance and the level of investment in the Identity Baseline discipline will be specific to your organization, but the examples above should serve as a useful base for discussion within your cloud governance team.

次のステップNext steps

ID ベースライン規範テンプレートを使用して、現在のクラウド導入計画に整合させるメトリックと許容度インジケーターを文書化します。Use the Identity Baseline discipline template to document metrics and tolerance indicators that align to the current cloud adoption plan.

クラウドの導入計画に合致する特定のビジネス上のリスクに対処する独自のポリシーを作成するための開始点として、ID ベースライン ポリシーのサンプルを確認します。Review sample Identity Baseline policies as a starting point to develop your own policies to address specific business risks aligned with your cloud adoption plans.