前へ      目次      索引      次へ
Sun Java™ System Identity Manager 7.1 管理ガイド

第 11 章
アイデンティティー監査

この章では、監査の管理を設定して企業情報システムおよびアプリケーションの監査とコンプライアンスを監視および管理するための Identity Manager 機能について説明します。

---

アイデンティティー監査について

Identity Manager では、社内外のポリシーと規制に対するコンプライアンスを確保するために、企業全体のアイデンティティーデータを体系的に捉えて、分析し、必要な処理を行う (応答する) ことを監査と定義します。

アカウンティングおよびデータプライバシーの法律へのコンプライアンスは簡単な作業ではありません。Identity Manager の監査機能は柔軟な方法で、各企業に有効なコンプライアンスソリューションを実装できます。

大半の環境で、内部および外部の監査チーム (監査が最も重要と考える) と監査以外のスタッフ (監査を迷惑と考えていることもある) のさまざまなグループがコンプライアンスにかかわっています。IT もコンプライアンスにかかわることが多く、内部監査チームの要件を、選択されたソリューションの実装に移行する支援を行います。監査ソリューションの実装の成功に重要なのが、監査以外のスタッフの知識、コントロール、プロセスを正確に把握し、その情報の利用を自動化することです。

この章では、監査レビューの実施方法や、セキュリティー制御を継続的に行い、法規制のコンプライアンスを管理する上で役立つ手法の実装方法を中心に、監査機能について説明します。

この章では、次の概念およびタスクについて説明します。

アイデンティティー監査の目的
アイデンティティー監査について
監査ログの有効化
管理者インタフェースの「コンプライアンス」エリア
監査ポリシーについて
監査ポリシーの操作
監査ポリシーの割り当て
監査ポリシーのスキャンとレポート
コンプライアンス違反の是正と受け入れ
定期的アクセスレビューとアテステーション
アイデンティティー監査タスクのリファレンス

---

アイデンティティー監査の目的

アイデンティティー監査ソリューションでは、以下の方法により、監査のパフォーマンスを容易に向上させることができます。

コンプライアンス違反を自動的に検出し、即時に通知することで、迅速な是正を促進する

Identity Manager の監査ポリシー機能で、違反の「規則」(条件) を定義できます。定義後は、承認されていないアクセス変更や誤ったアクセス特権など、設定されたポリシーに違反する条件がシステムによってスキャンされます。違反が検出されると、定義されたエスカレーションチェーンに従って適切な人物に通知されます。その後、ユーザーが呼び出したタスク、またはポリシー違反によって自動的に呼び出されたワークフローで、その違反を是正 (訂正) できます。

内部監査管理の効果に関する主要な情報をオンデマンドで提供する

監査レポートに、違反や例外に関するステータス情報の概要が表示され、危険なステータスをすばやく分析できます。「レポート」タブにも、違反に関するグラフ形式のレポートが表示されます。定義したレポート特性に従って各グラフをカスタマイズし、リソース別、組織別、またはポリシー別に違反を表示できます。

アイデンティティー管理のアテステーションレビューを自動化することで操作上のリスクを減らす

ワークフロー機能で、選択したレビューアにポリシー違反およびアクセス違反を自動通知できます。

ユーザーアクティビティーの詳細を示し、法的要件を満たす包括的なレポートを作成する

「レポート」エリアで、アクセスの履歴、特権およびその他のポリシー違反に関する情報を表示する詳細レポートおよびグラフを定義できます。セキュリティー保護された包括的なアイデンティティー監査証跡がシステムに維持され、レポート機能を使用してアクセスデータやユーザープロファイルの更新について調べることができます。

セキュリティーおよび法規制のコンプライアンスを維持するための定期的なレビューのプロセスを簡素化する

定期的アクセスレビューを実施することで、ユーザーエンタイトルメントレコードを収集し、レビューが必要なエンタイトルメントを判断できます。さらに、このプロセスは指定されたアテスターに保留中のリクエストを通知し、アテスターがリクエストに対する操作を完了した場合はそのステータスまたは保留中のリクエストを更新します。

利益相反する可能性があるユーザーアカウントの機能を特定する

Identity Manager では、職務分掌レポートを使用して、利益相反する可能性がある特定の機能または特権を持つユーザーを特定することができます。

---

アイデンティティー監査について

Identity Manager では、ユーザーアカウントの特権とアクセス権を監査し、コンプライアンスを維持および保証するため、2 つの異なる機能を提供しています。それらの機能は、ポリシーベースのコンプライアンスと、定期的アクセスレビューです。

ポリシーベースのコンプライアンス

Identity Manager の監査ポリシー機能を用いることで、管理者はすべてのユーザーアカウントについて、会社が設定した要件に対するコンプライアンスを維持できます。

監査ポリシーを使用して、継続的コンプライアンスと定期的コンプライアンスという 2 とおりの相補的な方法でコンプライアンスを確保できます。

この 2 つの方法を相補的に使用することは、Identity Manager 以外でプロビジョニング操作が実行される可能性がある環境では特に有用です。既存の監査ポリシーを実行または遵守しないプロセスによってアカウントが変更される可能性がある場合は、定期的コンプライアンスが必要です。

継続的コンプライアンス

継続的コンプライアンスでは、現在のポリシーに準拠しない方法でアカウントを修正できないように、すべてのプロビジョニング操作にポリシーが適用されます。

継続的コンプライアンスを有効にするには、組織またはユーザー、あるいはその両方に監査ポリシーを割り当てます。ユーザーに対して実行されるプロビジョニング操作では、ユーザーに割り当てられたポリシーと組織に割り当てられたポリシーの両方が評価されます。ポリシー評価の結果、違反が検出されると、プロビジョニング操作が中断されます。

組織ベースのポリシーセットは階層構造で定義されます。各ユーザーに有効な組織ポリシーセットは 1 つだけです。もっとも下位レベルにある組織に対して割り当てられたポリシーセットが、実際に適用されます。次に例を示します。

所属している組織	直接割り当てられたポリシーセット	有効なポリシー
Austin	ポリシー A1、A2	ポリシー A1、A2
マーケティング		ポリシー A1、A2
開発	ポリシー B、C2	ポリシー B、C2
サポート		ポリシー B、C2
テスト	ポリシー D、E5	ポリシー D、E5
財務		ポリシー A1、A2
Houston		<なし>

定期的コンプライアンス

定期的コンプライアンスでは、リクエストがあったときに Identity Manager によってポリシーが評価されます。準拠しない状況があればコンプライアンス違反として取得されます。

定期的コンプライアンスのスキャンを実行するときに、スキャンに使用するポリシーを選択できます。スキャンプロセスでは、直接割り当てられたポリシー (ユーザーに割り当てられたポリシーと組織に割り当てられたポリシー) と、任意に選択したポリシーセットが併用されます。

Auditor Administrator 機能を持つ Identity Manager ユーザーは、監査ポリシーを作成し、定期的なポリシースキャンとポリシー違反のレビューによってそれらのポリシーのコンプライアンスを監視することができます。違反は、是正手順と受け入れ手順によって管理できます。

Auditor Administrator 機能の詳細については、「機能とその管理について」を参照してください。

Identity Manager による監査では、ユーザーの定期的なスキャンが可能であり、監査ポリシーの実行によって、設定されているアカウント制限からの逸脱が検出されます。違反が検出されると、是正のアクティビティーが開始されます。規則には、Identity Manager に付属する標準の監査ポリシー規則、またはカスタマイズされたユーザー定義の規則を使用できます。

ポリシーベースのコンプライアンスの論理タスクフロー

次の図は、この節で説明する監査タスクを完了するための論理タスクフローを示しています。

定期的アクセスレビュー

Identity Manager の定期的アクセスレビューを使用すると、マネージャーおよびその他の責任者は、そのつど、または定期的に、ユーザーアクセス特権のレビューと検証を行うことができます。この機能の詳細については、「定期的アクセスレビューとアテステーション」を参照してください。

---

監査ログの有効化

コンプライアンス管理およびアクセスレビューを開始するには、Identity Manager 監査ログシステムを有効にし、監査イベントを収集するように設定する必要があります。デフォルトで、監査システムは有効になっています。Configure Audit 機能を持つ Identity Manager 管理者が監査を設定できます。

Identity Manager には、Compliance Management 監査設定グループが用意されています。Compliance Management グループに格納されたイベントを表示または修正するには、メニューバーの「設定」を選択し、「監査」をクリックします。「監査設定」ページで、「Compliance Management」という監査グループ名を選択します。

監査設定グループの設定の詳細については、「設定」の章の「監査グループおよび監査イベントの設定」を参照してください。

監査システムでのイベントの記録方法については、第 12 章「監査ログ」を参照してください。

---

電子メールテンプレート

アイデンティティー監査では、多くの操作で電子メールベースの通知が使われます。これらの各通知には、電子メールテンプレートオブジェクトが使われます。電子メールテンプレートでは、電子メールメッセージのヘッダーと本文をカスタマイズできます。

表 11-1 アイデンティティー監査電子メールテンプレート 

テンプレート名	目的
Access Review Remediation Notice	ユーザーエンタイトルメントが最初に是正状態で作成された場合に、アクセスレビューによって是正者に送信されます。
Bulk Attestation Notice	保留中のアテステーションがある場合に、アクセスレビューによってアテスターに送信されます。
Policy Violation Notice	違反が発生した場合に、監査ポリシースキャンによって是正者に送信されます。
Access Scan Begin Notice	アクセスレビューのスキャンが開始されると、アクセススキャン所有者に送信されます。
Access Scan End Notice	アクセススキャンが完了すると、アクセススキャン所有者に送信されます。

---

管理者インタフェースの「コンプライアンス」エリア

監査ポリシーは、Identity Manager 管理者インタフェースの「コンプライアンス」エリアで作成および管理します。メニューバーの「コンプライアンス」を選択して、「ポリシーの管理」ページにアクセスします。このページには、自分が表示と編集の権限を持っているポリシーが一覧表示されます。また、アクセススキャンもこのエリアで管理できます。

ポリシーの管理

「ポリシーの管理」ページでは、監査ポリシーを操作して次のタスクを実行できます。

監査ポリシーの作成
表示または編集するポリシーの選択
ポリシーの削除

これらのタスクの詳細については、「監査ポリシーの操作」を参照してください。

アクセススキャンの管理

アクセススキャンを作成、変更、および削除するには、「コンプライアンス」エリアの「アクセススキャンの管理」タブを使用します。ここから、定期的アクセスレビューで実行またはスケジュールするスキャンを定義できます。この機能の詳細については、「定期的アクセスレビューとアテステーション」を参照してください。

アクセスレビュー

「コンプライアンス」エリアの「アクセスレビュー」タブで、アクセスレビューの起動、終了、削除、進行状況の監視を実行できます。このタブには、スキャン結果の概要レポートと情報リンクが表示され、情報リンクからレビューのステータスおよび保留中のアクティビティーに関するさらに詳細な情報にアクセスできます。

この機能の詳細については、「アクセスレビューの管理」を参照してください。

---

監査ポリシーについて

監査ポリシーは、1 つ以上のリソースのユーザーのセットに対するアカウント制限を定義します。監査ポリシーは、ポリシーの制限を定義する「規則」と、発生した違反を処理する「ワークフロー」から構成されます。監査スキャンでは、監査ポリシーに定義された条件を使用して、組織内で違反が発生しているかどうかを評価します。

監査ポリシーは次のコンポーネントで構成されます。

ポリシー規則。特定の違反を定義します。XPRESS、XML オブジェクト、または JavaScript 言語で作成された関数を含めることができます。
是正ワークフロー。監査スキャンでポリシー規則違反が検出されたときに、オプションとして起動されます。
是正者。ポリシー違反に応答することが許可されている、指定されたユーザー。是正者は、個別のユーザーでもユーザーグループでもかまいません。

監査ポリシー規則

監査ポリシー内では、規則によって、属性に基づいた競合の可能性を定義します。1 つの監査ポリシーに、広範囲のリソースを参照する多数の規則を含めることができます。規則の評価時に、規則は 1 つ以上のリソースからのユーザーアカウントデータにアクセスします。監査ポリシーで、規則に使用できるリソースを制限できます。

1 つのリソースの 1 つの属性のみをチェックする規則、または複数のリソースの複数の属性をチェックする規則を設定できます。

規則の subType は、SUBTYPE_AUDIT_POLICY_RULE または SUBTYPE_AUDIT_POLICY_SOD_RULE である必要があります。監査ポリシーウィザードで生成される規則、または監査ポリシーウィザードによって参照される規則には、自動的にこの subType が割り当てられます。

規則の authType は AuditPolicyRule である必要があります。監査ポリシーウィザードで生成される規則には、自動的にこの authType が割り当てられます。

規則のロジックの説明については、『Identity Manager 配備ツール』の「規則の操作」を参照してください。

是正ワークフロー

ポリシー違反を定義する規則を作成したあとは、監査スキャンで違反が検出されたときに起動するワークフローを選択します。Identity Manager には、監査ポリシースキャンのデフォルトの是正処理を提供するデフォルトの標準是正ワークフローが用意されています。たとえば、このデフォルトの是正ワークフローでは、レベル 1 是正者として指定された各是正者に対して通知電子メールが生成され、必要な場合はそれ以下のレベルの是正者にも生成されます。

注	Identity Manager ワークフロープロセスとは異なり、是正ワークフローには AuthType=AuditorAdminTask および SUBTYPE_REMEDIATION_WORKFLOW のサブタイプを割り当てる必要があります。監査スキャンで使用するワークフローをインポートする場合は、この属性を手動で追加する必要があります。詳細については、「(省略可能) ワークフローを Identity Manager にインポートする」を参照してください。

是正者

是正ワークフローを割り当てる場合は、1 人以上の是正者を指定する必要があります。3 レベルまでの監査ポリシーの是正者を指定できます。是正に関する詳細については、この章の「コンプライアンス違反の是正と受け入れ」を参照してください。

是正者を割り当てるには、その前に是正ワークフローを割り当てる必要があります。

監査ポリシーのシナリオ例

買掛金と売掛金の責任者は、経理部で働く従業員が担当する金額の総計が危険な額に達しないようにするための措置を講じる必要があります。このポリシーでは、買掛金の担当者が売掛金の担当も兼ねていないかどうかを確認する必要があります。

監査ポリシーには、次のものが含まれます。

4 つの規則のセット。それぞれ、ポリシー違反となる条件を指定します。
是正タスクを起動するワークフロー
前述の規則で作成されたポリシー違反を参照し、それに応答する権限を持つ、指定された管理者 (是正者) のグループ

規則によってポリシー違反 (この例では、過剰な権限を持つユーザー) が検出されると、関連付けられたワークフローで特定の是正関連タスク (指定された是正者への自動通知など) を起動することができます。

レベル 1 是正者は、監査スキャンでポリシー違反が検出されたときに連絡される最初の是正者です。監査ポリシーで 2 レベル以上の是正者が指定されている場合、このエリアで指定されたエスカレーション期間を過ぎると、Identity Manager は次のレベルの是正者に通知します。

---

監査ポリシーの操作

Identity Manager の監査ポリシーウィザードを使用すると、監査ポリシーを設定できます。監査ポリシーの定義後、そのポリシーに対して、変更や削除など、さまざまなアクションを実行できます。この節のトピックでは、監査ポリシーおよび監査ポリシー規則を作成および管理する方法を説明します。

さらに、監査ポリシーウィザードでは規則を作成できますが、作成できる規則のタイプが限られます。より厳密な規則を作成してウィザードで使用する場合は、Identity Manager IDE を使用してください。

デフォルトで、ウィザードで作成される規則の authType は AuditPolicyRule です。ウィザードまたは Identity Manager IDE を使用して作成する監査ポリシー規則では、この authType を指定するようにしてください。

規則の subType は SUBTYPE_AUDIT_POLICY_RULE である必要があります。監査ポリシーウィザードで生成される規則には、自動的にこの subType が割り当てられます。

監査ポリシーの作成

監査ポリシーウィザードでは、監査ポリシーの作成手順を、順を追って説明します。監査ポリシーウィザードにアクセスするには、インタフェースの「コンプライアンス」エリアで「ポリシーの管理」をクリックして、新しい監査ポリシーを作成します。

ウィザードでは、次のタスクを実行して監査ポリシーを作成します。

ポリシー制限の定義に使用する規則の選択または作成
承認者の割り当てとエスカレーション制限の設定
是正ワークフローの割り当て

各ウィザード画面に表示されたタスクを完了したら、「次へ」をクリックして次の手順に進みます。

開始する前に

監査ポリシーを作成する前に、以下の作業も含めて十分に計画を練ります。

監査ポリシーウィザードでポリシーの作成に使用する規則を特定する。選択する規則は、作成するポリシーのタイプと、定義する特定の制限によって決まります。
新しいポリシーに含める是正ワークフローまたは規則をインポートする。
監査ポリシーの作成に必要な機能を持っていることを確認する。必要な機能については、「機能とその管理について」を参照してください。

必要な規則の特定

ポリシーで指定する制限は、作成またはインポートする規則セットに実装されます。監査ポリシーウィザードを使用して規則を作成する場合、次の操作を行います。

操作する特定のリソースを指定します。
リソースで有効な属性のリストからアカウント属性を選択します。
その属性に課す条件を選択します。
比較用の値を入力します。

(省略可能) 職務分掌規則を Identity Manager にインポートする

監査ポリシーウィザードでは、職務分掌規則を作成できません。それらの規則は、Identity Manager 以外で作成し、「設定」タブの「交換ファイルのインポート」を使用してインポートする必要があります。

(省略可能) ワークフローを Identity Manager にインポートする

現在 Identity Manager から利用できない是正ワークフローを使用するには、次のタスクを完了して外部ワークフローをインポートします。

authType='AuditorAdminTask' を設定し、subtype='SUBTYPE_REMEDIATION_WORKFLOW' を追加します。これらの設定オブジェクトを設定するには、Identity Manager IDE または任意の XML エディタを使用します。
「交換ファイルのインポート」オプションを使用してワークフローをインポートします。この機能には「設定」タブからアクセスできます。

ワークフローが正常にインポートされると、監査ポリシーウィザードの「是正ワークフロー」のオプションリストに、そのワークフローが表示されます。

監査ポリシーの名前と説明の指定

監査ポリシーウィザード (図 11-1 を参照) で、新しいポリシーの名前と簡単な説明を入力します。

図 11-1 監査ポリシーウィザード: 名前と説明の入力画面

注	監査ポリシー名には、次の文字を含めることはできません。' (アポストロフィー)、. (ピリオド)、| (パイプ)、[ (左角括弧)、] (右角括弧)、, (カンマ)、: (コロン)、$ (ドル記号)、" (二重引用符)、= (等号)。

スキャンの実行時のアクセス対象を、選択したリソースだけに制限する場合は、「ターゲットリソースを制限」オプションを有効にします。

違反の是正として、ただちにユーザーを再スキャンさせる場合は、「違反の再スキャンを許可」オプションを有効にします。

注	監査ポリシーでリソースを制限しない場合、スキャンでは、ユーザーがアカウントを持つすべてのリソースがアクセスされます。規則で使用するリソースが少ない場合は、ポリシーの適用をそれらのリソースに限定するほうが効率的です。

「次へ」をクリックして次のページに進みます。

規則のタイプの選択

このページで、ポリシーの規則を定義または追加するプロセスを開始します。ポリシー作成時の作業の大部分は、規則の定義と作成です。

図 11-2 に示すように、Identity Manager の規則ウィザードを使用して独自の規則を作成するか、または既存の規則を組み込むことができます。デフォルトでは、「規則ウィザード」オプションが選択されています。「次へ」をクリックして規則ウィザードを起動し、規則の作成手順を説明する「規則ウィザードを使用した新しい規則の作成」に進みます。

図 11-2 監査ポリシーウィザード: 規則のタイプの選択画面

既存の規則の選択

新しいポリシーに既存の規則を含める場合は、規則のオプションを選択するときに「既存の規則」をクリックします。次に、「次へ」をクリックし、アクセスできる既存の監査ポリシー規則を表示して選択します。

「規則」オプションリストから追加する規則を選択し、「次へ」をクリックします。

注	以前に Identity Manager にインポートした規則の名前が表示されない場合は、「監査ポリシー規則」で説明した追加属性をその規則に追加したことを確認してください。

規則の追加

ウィザードで追加の規則を作成したり、規則をインポートしたりすることができます。規則ウィザードでは、1 つの規則で使用できるリソースは 1 つだけです。インポートした規則では、必要なだけの数のリソースを参照できます。

必要な場合は、「AND」または「OR」をクリックして、規則の追加を続行します。規則を削除するには、規則を選択して「削除」をクリックします。

ポリシー違反が発生するのは、すべての規則のブール式が true と評価した場合だけです。AND/OR 演算子で規則をグループ化すると、すべての規則が true でなくても、ポリシーが true と評価される可能性があります。Identity Manager では、true と評価された規則についてのみ、およびポリシー式が true と評価された場合にのみ違反が発生します。監査ポリシーウィザードでは、入れ子になったブール式を明示的に制御しないため、深い式を作成しないことをお勧めします。

是正ワークフローの選択

この画面で、このポリシーに関連付ける是正ワークフローを選択します。ここで割り当てたワークフローによって、監査ポリシー違反が検出されたときに Identity Manager で実行されるアクションが決まります。

注	違反が検知された監査ポリシーごとに 1 つのワークフローが起動します。各ワークフローには、特定のポリシーのポリシースキャンによって作成されたコンプライアンス違反ごとに、1 つまたは複数の作業項目が含まれます。

図 11-3 監査ポリシーウィザード: 是正ワークフローの選択画面

注	XML エディタまたは Identity Manager Integrated Development Environment (IDE) を使用して作成したワークフローのインポートについては、「(省略可能) ワークフローを Identity Manager にインポートする」を参照してください。

「是正ユーザーフォーム規則」を選択して、是正によってユーザーを編集する際に適用されるユーザーフォームの生成に使用する規則を選択します。デフォルトでは、是正作業項目に対応してユーザーを編集する是正者は、是正者に割り当てられたユーザーフォームを使用します。監査ポリシーで是正ユーザーフォームを指定すると、このフォームが代わりに使用されます。これにより、監査ポリシーで対応する特定の問題を示す場合に、厳密に限定されたフォームを使うことができます。

この是正ワークフローに関連付ける是正者を指定する場合は、「是正者の指定」を選択します。このオプションを有効にして「次へ」をクリックすると、是正者の割り当てページが表示されます。このオプションを有効にしなかった場合は、組織の割り当て画面が次に表示されます。

是正者と是正タイムアウトの選択

是正者を指定した場合、この監査ポリシーの違反が検出されると、このポリシーに割り当てられた是正者に通知されます。さらに、デフォルトのワークフローで是正作業項目が是正者に割り当てられます。すべての Identity Manager ユーザーが是正者になることができます。

1 人以上のレベル 1 是正者、すなわち、指定されたユーザーを割り当てることができます。レベル 1 是正者は、ポリシー違反が検出されたときに、是正ワークフローによって送信される電子メールで最初に連絡を受けます。指定されたエスカレーションタイムアウト時間に達するまでにレベル 1 是正者が応答しなかった場合、Identity Manager は次に、ここに指定されたレベル 2 是正者に連絡します。エスカレーション期間が経過するまでにレベル 1 是正者もレベル 2 是正者も応答しなかった場合にのみ、Identity Manager がレベル 3 是正者に連絡します。

注	選択した最高レベルの是正者に対してエスカレーションタイムアウト値を指定した場合、エスカレーションがタイムアウトすると、リストから作業項目が削除されます。デフォルトでは、エスカレーションタイムアウトは 0 の値に設定されています。この場合、作業項目は期限切れにならず、是正者リストに残ります。

是正者の割り当ては省略可能です。このオプションを選択する場合は、「是正者の指定」チェックボックスを有効にして、次の画面に進みます。

是正者の利用可能リストにユーザーを追加するには、ユーザー ID を入力して、「追加」をクリックします。または、「...」ボタンをクリックして、ユーザー ID を検索します。「が次の文字列で始まる」フィールドに 1 文字以上入力して、「検索」をクリックします。検索リストからユーザーを選択したら、「追加」をクリックして、是正者のリストに追加します。「閉じる」をクリックして、検索エリアを閉じます。

是正者のリストからユーザー ID を削除するには、リストのユーザー ID を選択して、「削除」をクリックします。

図 11-4 監査ポリシーウィザード: レベル 1 是正者の選択エリア

このポリシーにアクセスできる組織の選択

図 11-5 に示すように、この画面では、このポリシーを表示および編集できる組織を選択します。

図 11-5 監査ポリシーウィザード: 閲覧を許可された組織の割り当て画面

組織を選択したら、「完了」をクリックして監査ポリシーを作成し、「ポリシーの管理」ページに戻ります。新しく作成したポリシーがこのリストに表示されます。

規則ウィザードを使用した新しい規則の作成

監査ポリシーウィザードで「規則ウィザード」を選択して規則を作成する場合は、次の節で説明するページに情報を入力していきます。

新しい規則の名前と説明の指定

オプションの作業として新しい規則に名前を付けて説明します。このページでは、Identity Manager で規則が表示されるときに規則名の横に表示される説明テキストを入力します。規則の内容を示す簡潔でわかりやすい説明を入力します。この説明は、Identity Manager の「ポリシー違反のレビュー」ページ内に表示されます。

図 11-6 監査ポリシーウィザード: 規則の説明の入力画面

たとえば、Oracle ERP responsibilityKey の Payable User 属性値と Receivable User 属性値の両方を持つユーザーを検出する規則を作成する場合であれば、「説明」フィールドに「Payable User と Receivable User の両方の役割を持つユーザーを検出する」のようにテキストを入力します。

規則に関する追加情報を入力する場合は、「コメント」フィールドを使用します。

規則で参照するリソースの選択

このページでは、規則で参照するリソースを選択します。各規則変数は、このリソースの属性に対応している必要があります。このオプションリストには、表示アクセス権を持つすべてのリソースが表示されます。この例では、「Oracle ERP」が選択されています。

図 11-7 監査ポリシーウィザード: リソースの選択画面

注	使用可能な各リソースアダプタのほとんどの属性 (ただし全部ではない) がサポートされています。使用可能な個々の属性については、『Identity Manager リソースリファレンス』を参照してください。

「次へ」をクリックして次のページに進みます。

規則式の作成

この画面では、新しい規則の規則式を入力します。この例では、Oracle ERP responsibilityKey の Payable User 属性値を持つユーザーは Receivable User 属性値を同時に持つことができないという規則を作成します。

使用可能な属性のリストからユーザー属性を選択します。この属性は、規則変数に直接対応します。
リストから論理条件を選択します。有効な条件には、「=」(等しい)、「!=」(等しくない)、「<」(より小さい)、「<=」(より小さいまたは等しい)、「>」(より大きい)、「>=」(より大きいまたは等しい)、「が true である」、「が null である」、「が null でない」、「が空の文字列である」、および「が右の文字列を含む」があります。この例では、使用できる属性条件のリストから「contains」を選択します。
式の値を入力します。たとえば、「Payable user」と入力した場合は、responsibilityKeys の Payable user 属性値を持つ Oracle ERP ユーザーを指定したことになります。
(省略可能) 「AND」または「OR」演算子をクリックし、行を追加して、別の式を作成します。

図 11-8 監査ポリシーウィザード: 規則式の選択画面

この規則はブール値を返します。両方のステートメントが true の場合、ポリシー規則は、ポリシー違反となる TRUE の値を返します。

注	Identity Manager では、入れ子になった規則の制御はサポートされません。複数の規則が指定されている場合は常に、最初は AND 演算子、次に OR に従ってポリシーが評価されます。たとえば、R1 AND R2 AND R3 or R4 AND R5 は、(R1 + R2 + R3) | (R4 + R5) と解釈されます。

次のコード例は、この画面で作成した規則の XML を示しています。

コード例 11-1 新しく作成した規則の XML 構文の例

<Description>Payable User/Receivable User</Description>   <RuleArgument name='resource' value='Oracle ERP'>     <Comments>Resource specified when  audit policy was created.</Comments>     <String>Oracle ERP</String>   </RuleArgument>     <and>       <contains>         <ref>accounts[Oracle ERP].responsibilityKeys</ref>         <s>Receivable User</s>       </contains>       <contains>         <ref>accounts[Oracle ERP].responsibilityKeys</ref>         <s>Payables User</s>       </contains>     </and>     <MemberObjectGroups>       <ObjectRef type='ObjectGroup' id='#ID#Top' name='Top'/>     </MemberObjectGroups> </Rule>

規則から式を削除するには、属性条件を選択して「削除」をクリックします。

「次へ」をクリックして監査ポリシーウィザードを続行します。さらに、ウィザードを使用して新しい規則を作成するか、既存の規則を追加するかのいずれかの方法で規則を追加することもできます。

監査ポリシーの編集

監査ポリシーに関する一般的な編集タスクは次のとおりです。

規則を追加または削除する
ターゲットリソースを変更する
ポリシーにアクセスできる組織のリストを調整する
各レベルの是正に関連付けられたエスカレーションタイムアウトを変更する
ポリシーに関連付けられた是正ワークフローを変更する

ポリシーの編集ページ

監査ポリシー名の列でポリシーの名前をクリックして「監査ポリシーの編集」ページを開きます。このページでは、監査ポリシーに関する情報が次のエリアに分類されています。

識別と規則のエリア
是正者とエスカレーションタイムアウトのエリア
ワークフローと組織のエリア

図 11-9 「監査ポリシーの編集」ページ: 識別と規則のエリア

ページのこのエリアでは、次の操作を行うことができます。

ポリシーの説明の編集
規則の追加または削除

注	この製品で既存の規則を直接編集することはできません。Identity Manager IDE または XML エディタを使用して規則を編集してから、Identity Manager にインポートします。その後、以前のバージョンの規則を削除して、改訂バージョンの規則を追加します。

監査ポリシーの説明の編集

監査ポリシーの説明を編集するには、「説明」フィールド内のテキストを選択し、新しいテキストを入力します。

オプションの編集

オプションの作業として、「ターゲットリソースを制限」オプションまたは「違反の再スキャンを許可」オプションを選択するか、選択解除します。

ポリシーの規則の削除

ポリシーの規則を削除するには、規則名の前にある「選択」ボタンをクリックし、「削除」をクリックします。

ポリシーへの規則の追加

「追加」をクリックして新しいフィールドを追加し、そのフィールドで、追加する規則を選択します。

ポリシーで使用する規則の変更

「規則名」列で、選択リストから別の規則を選択します。

「是正者」エリア

図 11-10 に、レベル 1、レベル 2、レベル 3 のポリシーの是正者を割り当てるための「是正者」エリアの一部を示します。

図 11-10 「監査ポリシーの編集」ページ: 是正者の割り当て

ページのこのエリアでは、次の操作を行うことができます。

ポリシーの是正者の削除または割り当て
エスカレーションタイムアウトの調整

是正者の削除または割り当て

1 つまたは複数の是正レベルの是正者を選択するには、ユーザー ID を入力して、「追加」をクリックします。ユーザー ID を検索するには、「...」ボタンをクリックします。少なくとも 1 人の是正者を選択する必要があります。

是正者を削除するには、リストのユーザー ID を選択して、「削除」をクリックします。

エスカレーションタイムアウトの調整

タイムアウト値を選択し、新しい値を入力します。デフォルトでは、タイムアウト値は設定されていません。

.

注	選択した最高レベルの是正者に対してエスカレーションタイムアウト値を指定した場合、エスカレーションがタイムアウトすると、リストから作業項目が削除されます。

是正ワークフローと組織のエリア

図 11-11 に、監査ポリシーの是正ワークフローと組織を指定するエリアを示します。

図 11-11 「監査ポリシーの編集」ページ: 是正ワークフローと組織

ページのこのエリアでは、次の操作を行うことができます。

ポリシー違反の発生時に起動する是正ワークフローを変更する
是正ユーザーフォーム規則を選択する
このポリシーにアクセスできる組織を調整する

是正ワークフローの変更

ポリシーに割り当てられたワークフローを変更するには、オプションリストから別のワークフローを選択します。デフォルトでは、ワークフローは監査ポリシーに割り当てられません。

注	監査ポリシーにワークフローが割り当てられていない場合、違反はどの是正者にも割り当てられません。

リストから是正ワークフローを選択し、「保存」をクリックします。

是正ユーザーフォーム規則の選択

オプションの作業として、是正によってユーザーを編集する際に適用されるユーザーフォームを生成する規則を選択します。

組織の閲覧許可の割り当てまたは削除

この監査ポリシーを使用できる組織を調整し、「保存」をクリックします。

サンプルポリシー

Identity Manager には、「監査ポリシー」リストからアクセス可能な次のサンプルポリシーが用意されています。

IDM Role Comparison Policy
IDM Account Accumulation Policy

IDM Role Comparison Policy

このサンプルポリシーを使用して、Identity Manager ロールで指定されている属性と、ユーザーの現在の属性を比較できます。このポリシーは、ロールに指定されたすべてのリソース属性がユーザーに設定されていることを確認するためのものです。

このポリシーは次の場合に違反を検知します。

ロールに指定されたリソース属性がユーザーに含まれていない
ユーザーのリソース属性が、ロールに指定されているものと異なる

IDM Account Accumulation Policy

このサンプルポリシーでは、ユーザーが保有するすべてのアカウントが、そのユーザーによって保有されている少なくとも 1 つのロールによって参照されていることを確認します。

ユーザーに割り当てられているリソースアカウントのうち、いずれか 1 つでも現在ユーザーに割り当てられているどのロールからも明示的に参照されていない場合、このポリシーに違反します。

監査ポリシーの削除

監査ポリシーを Identity Manager から削除すると、そのポリシーを参照する違反もすべて削除されます。

「ポリシーの管理」をクリックしてポリシーを表示した時に、インタフェースの「コンプライアンス」エリアからポリシーを削除できます。監査ポリシーを削除するには、ポリシーのリストからポリシー名を選択し、「削除」をクリックします。

監査ポリシーのトラブルシューティング

通常、監査ポリシーに関する問題に対処するにはポリシー規則のデバッグが最善の方法です。

規則のデバッグ

規則をデバッグするには、規則コードに次のトレース要素を追加します。

<block trace='true'>
<and>
    <contains>
        <ref>accounts[AD].firstname</ref>
        <s>Sam</s>
    </contains>
    <contains>
        <ref>accounts[AD].lastname</ref>
        <s>Smith</s>
    </contains>
</and>
</block>

問題

自分のワークフローが Identity Manager インタフェースに表示されない

解決方法

次のことを確認します。

ワークフローに subtype='SUBTYPE_REMEDIATION_WORKFLOW' 属性を追加した。このサブタイプが指定されていないワークフローは Identity Manager 管理者インタフェースに表示されません。
authType AuditorAdminTask に対する権限が設定されている機能を持っている。
ワークフローが含まれる組織を管理している。

問題

規則をインポートしましたが、監査ポリシーウィザードに表示されません。

解決方法

次のことを確認します。

各規則が subtype='SUBTYPE_AUDIT_POLICY_RULE' または subtype='SUBTYPE_AUDIT_POLICY_SOD_RULE' である。
authType AuditPolicyRule に対する権限が設定されている機能を持っている。
ワークフローが含まれる組織を管理している。

---

監査ポリシーの割り当て

組織に監査ポリシーを割り当てるには、少なくとも「Assign Organization Audit Policies」機能を持っている必要があります。ユーザーに監査ポリシーを割り当てるには、「Assign User Audit Policies」機能を持っている必要があります。「Assign Audit Policies」機能を持つユーザーは、これらの両方の機能を持ちます。

組織レベルのポリシーを割り当てるには、「アカウント」タブで「組織」を選択し、「割り当てられた監査ポリシー」リストでポリシーを選択します。

ユーザーレベルのポリシーを割り当てるには、次の手順に従います。

「アカウント」エリアでユーザーをクリックします。
ユーザーフォームで「コンプライアンス」を選択します。
「割り当てられた監査ポリシー」リストでポリシーを選択します。

注	ユーザーに直接割り当てられている (ユーザーアカウントや組織の割り当てによって割り当てられている) 監査ポリシーは、そのユーザーの違反の是正時に常に再評価されます。

---

監査ポリシーのスキャンとレポート

この節では、監査ポリシースキャンについて、および監査スキャンの実行と管理の手順について説明します。

ユーザーおよび組織のスキャン

スキャンは、選択した監査ポリシーを個々のユーザーまたは組織に対して実行します。特定の違反についてユーザーまたは組織をスキャンしたり、ユーザーまたは組織に割り当てられていないポリシーを実行したりできます。インタフェースの「アカウント」エリアからスキャンを起動します。

注	「サーバータスク」タブから監査ポリシースキャンを起動またはスケジュールすることもできます。

「アカウント」エリアからユーザーアカウントまたは組織のスキャンを開始するには、次の手順に従います。

「アカウント」を選択します。
「アカウント」リストで、次のいずれかの操作を行います。
1 人以上のユーザーを選択し、「ユーザーアクション」オプションリストから「スキャン」を選択します。
1 つ以上の組織を選択し、「組織アクション」オプションリストから「スキャン」を選択します。

タスクの起動ダイアログが表示されます。表 11-3 は、監査ポリシーユーザースキャンの「タスクの起動」ページの例です。

図 11-12 タスクの起動ダイアログ



「レポートタイトル」フィールドにスキャンのタイトルを指定します。このフィールドは必須です。任意で、「レポートの概要」フィールドにスキャンの説明を指定できます。
実行する監査ポリシーを 1 つ以上選択します。少なくとも 1 つのポリシーを選択する必要があります。
「ポリシーモード」を選択します。これにより、ポリシーが割り当てられているユーザーに対して、選択したポリシーをどのように適用するかが決まります。ここで、ユーザーに割り当てられているポリシーとは、ユーザーに直接割り当てられたポリシーと、ユーザーが所属している組織に割り当てられたポリシーの両方が該当します。
オプションの作業として「違反を作成しない」オプションを選択します。このオプションを有効にすると、監査ポリシーが評価され、違反が報告されますが、コンプライアンス違反の作成または更新が行われないため、是正ワークフローも実行されません。ただし、スキャンによるタスク結果で、違反が発生したことが示されるため、監査ポリシーのテスト時にこのオプションが役立ちます。
監査ポリシーに割り当てられた是正ワークフローを実行する場合は、「是正ワークフローを実行しますか?」を選択します。監査ポリシーに是正ワークフローが定義されていない場合は、是正ワークフローは実行されません。
「違反数の最大値」の値を編集して、スキャンが強制終了する前にスキャンが発行できるコンプライアンス違反の最大数を設定します。この値は、チェックが厳しすぎる可能性のある監査ポリシーを実行する場合に、リスクを制限するための安全措置です。空の値は制限を設定しないことを意味します。
レポートの受信者を指定する場合は、「レポート結果を送信」を選択します。また、Identity Manager が CSV (カンマ区切り値) 形式のレポートを格納したファイルを添付するように設定することもできます。
デフォルトの PDF オプションに優先して適用する場合は、「デフォルトの PDF オプションを上書き」オプションを有効にします。
「起動」をクリックしてスキャンを開始します。

監査スキャンの結果のレポートを見るには、「監査レポート」を表示します。

監査レポートの操作

Identity Manager には、さまざまな監査レポートが用意されています。次の表で、それらのレポートについて説明します。

表 11-2 監査レポートの説明 

監査レポートのタイプ	説明
アクセスレビュー範囲	選択したアクセスレビューによって示されたユーザーのオーバーラップと差異を表示します。ほとんどのアクセスレビューでは、ユーザークエリーまたは何らかのメンバーシップの操作によって、ユーザーの範囲が指定されるため、厳密なユーザーセットは時間の経過とともに変化すると予想されます。このレポートには、2 つの異なるアクセスレビューによって指定されたユーザー間 (操作でレビューが効率的に行われるかどうかを確認するため)、2 つの異なるアクセスレビューによって生成されたエンタイトルメント間 (時間の経過とともに範囲が変化するかどうかを確認できる)、またはユーザーとエンタイトルメント間 (レビューの対象とされているすべてのユーザーに対して、エンタイトルメントが生成されたかどうかを確認できる) のオーバーラップまたは差異、あるいはその両方を表示することができます。
アクセスレビュー詳細	すべてのユーザーエンタイトルメントレコードの現在のステータスが表示されます。このレポートは、ユーザーの組織、アクセスレビューとアクセスレビューインスタンス、エンタイトルメントレコードの状態、およびアテスターによってフィルタリングできます。
アクセスレビュー概要	すべてのアクセスレビューに関する概要情報が表示されます。一覧表示されたアクセスレビュースキャンごとに、スキャンしたユーザー、スキャンしたポリシー、およびアテステーションアクティビティーのステータスの概要が表示されます。
アクセススキャンユーザー範囲	選択されたスキャンを比較して、スキャン範囲に含まれるユーザーを判断します。オーバーラップ (すべてのスキャンに含まれるユーザー) または差異 (すべてのスキャンに含まれないが、複数のスキャンに含まれるユーザー) が表示されます。このレポートは、同一または異なるユーザーを範囲とする複数のアクセススキャンをスキャンのニーズに従って編成しようとする場合に便利です。
監査ポリシーの概要	各ポリシーの規則、是正者、ワークフローなど、すべての監査ポリシーの主要な要素の概要が表示されます。
監査属性	指定されたリソースアカウント属性の変更を示すすべての監査レコードが表示されます。 このレポートでは、格納されているすべての監査可能属性に関する監査データが調べられます。すべての拡張属性に基づいてデータが調べられます。拡張属性は、WorkflowServices または監査可能としてマークされたリソース属性から指定できます。
監査ポリシー別違反履歴	指定された期間中に作成されたすべてのコンプライアンス違反がポリシー別にグラフ形式で表示されます。このレポートは、ポリシーでフィルタリングしたり、日、週、月、または四半期ごとにグループ化したりできます。
ユーザーアクセス	指定されたユーザーの監査レコードとユーザー属性が表示されます。
組織別違反履歴	一定期間中に作成されたすべてのコンプライアンス違反が組織別にグラフ形式で表示されます。組織でフィルタリングしたり、日、週、月、または四半期ごとにグループ化したりできます。
リソース別違反履歴	指定された期間中に作成されたすべてのコンプライアンス違反がリソース別にグラフ形式で表示されます。
職務分掌	競合テーブルに配置された職務分掌違反が表示されます。Web ベースインタフェースでは、リンクをクリックすると追加情報にアクセスできます。 このレポートは、組織でフィルタリングしたり、日、週、月、または四半期ごとにグループ化したりできます。
違反の概要	現在のコンプライアンス違反がすべて表示されます。このレポートは、是正者、リソース、規則、ユーザー、またはポリシーによってフィルタリングできます。

これらのレポートは、Identity Manager インタフェースの「レポート」タブから利用できます。

監査レポートの作成

レポートを実行するには、まず、レポートテンプレートを作成する必要があります。レポートでは、レポート結果を受け取る電子メール受信者など、さまざまな条件を指定できます。レポートテンプレートを作成して保存すると、「レポートの実行」ページからそのレポートを使用できるようになります。

図 11-13 に、定義済み監査レポートのリストが表示された「レポートの実行」ページの例を示します。

図 11-13 「レポートの実行」ページの選択項目

監査レポートを作成するには、次の手順に従います。

メニューバーで「レポート」を選択します。
レポートタイプとして「監査レポート」を選択します。
レポートの「新規」リストからレポートを選択します。

「レポートの定義」ページが表示されます。レポートダイアログに表示されるフィールドやレイアウトは、レポートのタイプによって異なります。レポートの条件の指定については、Identity Manager ヘルプを参照してください。

レポートの条件を入力および選択したら、次を実行できます。

保存せずにレポートを実行する - 「実行」をクリックしてレポートの実行を開始します。Identity Manager はレポート (新しいレポートを定義した場合) または変更したレポート条件 (既存のレポートを編集した場合) を保存しません。
レポートを保存する − 「保存」をクリックしてレポートを保存します。保存後は、「レポートの実行」ページ (レポートのリスト) からそのレポートを実行できます。

「レポートの実行」ページからレポートを実行したあとは、「レポートの表示」タブで、ただちにまたはあとで出力を表示することができます。

レポートのスケジュールについては、「レポートのスケジュール」を参照してください。

---

コンプライアンス違反の是正と受け入れ

この節では、Identity Manager の是正機能を使用して重要な資産を保護する方法について説明します。以下のトピックで、Identity Manager 是正プロセスの要素について説明します。

是正について
是正電子メールテンプレート
「是正」ページの操作
ポリシー違反の表示
ポリシー違反の受け入れ
ポリシー違反の是正
是正リクエストの転送

是正について

Identity Manager は、未解決の (受け入れられていない) 監査ポリシーコンプライアンス違反を検出すると、是正リクエストを作成します。このリクエストは「是正者」によって処理される必要があります。是正者とは、監査ポリシー違反の評価と応答を許可されている、指定されたユーザーです。

是正者のエスカレーション

Identity Manager では、3 レベルの是正者のエスカレーションを定義できます。是正リクエストは、まず、レベル 1 是正者に送信されます。タイムアウト時間が経過するまでにレベル 1 是正者が是正リクエストに応答しなかった場合、Identity Manager はその違反をレベル 2 是正者にエスカレーションし、新しいタイムアウト時間を開始します。タイムアウト時間が経過するまでにレベル 2 是正者が応答しなかった場合、そのリクエストはさらにレベル 3 是正者にエスカレーションされます。

是正を実行するには、そのシステムで少なくとも 1 人の是正者を指定する必要があります。任意設定ですが、各レベルに 2 人以上の是正者を指定することをお勧めします。複数の是正者を指定すると、ワークフローの遅延や停止を防ぐことができます。

是正セキュリティーアクセス

これらの権限付与オプションは、authType RemediationWorkItem の作業項目用のものです。

是正作業項目の所有者
是正作業項目の所有者の直属または直属以外のマネージャー
是正作業項目の所有者が所属する組織を管理する管理者

デフォルトでは、権限付与に関するチェックは次のようにして行い、いずれかの条件を満たす作業項目に対して、ユーザーに是正権限が付与されます。

作業項目は、アクションを実行しようとしているユーザー自身が所有者となっている
作業項目は、アクションを実行しようとしているユーザーが管理する組織に属すユーザーが所有している
作業項目は、アクションを実行しようとしているユーザーの部下が所有している

2 番目および 3 番目のチェックを別個に設定するには、次のオプションを変更します。

controlOrg - 有効な値は true または false
subordinate - 有効な値は true または false
lastLevel - 結果に含める最後の従属レベル。-1 はすべてのレベルを意味する。lastLevel の整数値は、デフォルトでは -1 に設定され、これは直属の部下と直属ではない部下を含むことを意味します。

これらのオプションは、次のファイルで追加または変更できます。

UserForm: Remediation List

是正ワークフローのプロセス

Identity Manager では、監査ポリシースキャンの是正処理を行う標準是正ワークフローが提供されます。

標準是正ワークフローでは、コンプライアンス違反に関する情報を含む是正リクエスト (レビュータイプの作業項目) が生成され、監査ポリシーで指定された各レベル 1 是正者に電子メール通知が送信されます。是正者が違反を受け入れると、ワークフローによって既存のコンプライアンス違反オブジェクトの状態が変更され、有効期限が割り当てられます。

コンプライアンス違反は、ユーザー、ポリシー名、および規則名の組み合わせによって一意に識別されます。監査ポリシーで true と評価されたときに、このユーザー/ポリシー/規則の組み合わせによる既存の違反が存在していなければ、その組み合わせによる新しいコンプライアンス違反が作成されます。その組み合わせでの違反が存在し、その違反が受け入れられた状態になっている場合は、ワークフロープロセスによる処理は行われません。既存の違反が受け入れられていない場合、その再発回数が加算されます。

是正ワークフローの詳細については、「監査ポリシーについて」を参照してください。

是正応答

デフォルトでは、各是正者は次の 3 つの応答オプションから選択できます。

「是正」 - 是正者は、何らかの処理を行なってリソースの問題を修正したことを示します。

コンプライアンス違反が修正されると、Identity Manager は監査イベントを作成して是正をログに記録します。さらに、Identity Manager は、是正者の名前および入力されたコメントを保存します。

注	是正後、違反は、次の監査スキャンまで削除されません。監査ポリシーが再スキャンを許可するように設定されている場合、違反が是正されるとただちにユーザーが再スキャンされます。

「受け入れる」 - 是正者は、ユーザーが一定期間その違反を免除されるように違反の内容を受け入れます。

違反が意図的なものである場合 (たとえば、業務上 2 つのグループに所属する必要がある場合など) は、長期間にわたって違反を受け入れることができます。また、リソースのシステム管理者が休暇中で問題の修正方法がわからない場合などには、短期間だけ違反を受け入れることもできます。

Identity Manager は、違反を受け入れた是正者の名前を、免除に割り当てた有効期限および入力したコメントとともに保存します。

注	Identity Manager は、期限切れになった免除を検出すると、違反を受け入れた状態から保留中の状態に戻します。

「転送」 - 是正者は、違反を解決する役割を別の人物に再割り当てします。

是正の例

ユーザーが買掛金と売掛金の両方を担当できないようにする規則を設定した企業で、あるユーザーがこの規則に違反しているという通知を受け取ったとします。

会社がその職位に別の従業員を雇用するまでの間、そのユーザーがスーパーバイザとして両方の役割を受け持つ場合は、その違反を受け入れ、最長で 6 か月間の免除を与えることができます。
ユーザーが規則に違反している場合、競合を修正し、そのリソースで問題が解決されたときに違反を是正するように Oracle ERP 管理者に依頼することもできます。または、是正リクエストを Oracle ERP 管理者に転送することができます。

是正電子メールテンプレート

Identity Manager には、「ポリシー違反通知」電子メールテンプレートが用意されています。これを利用するには、「設定」タブを選択し、次に「電子メールテンプレート」サブタブを選択します。このテンプレートを、保留中の違反を是正者に通知するように設定できます。詳細については、「電子メールテンプレートのカスタマイズ」を参照してください。

「是正」ページの操作

「是正」ページにアクセスするには、「作業項目」を選択し、「是正」タブを選択します。

このページでは、次の操作を行うことができます。

保留中の違反を表示する
ポリシー違反の優先度を設定する
1 つ以上のポリシー違反を受け入れる
1 つ以上のポリシー違反を是正する
1 つ以上の違反を転送する
是正作業項目のユーザーを編集する

ポリシー違反の表示

「是正」ページでは、違反に対するアクションを実行する前に、違反に関する詳細を表示できます。

割り当てられている機能または Identity Manager 機能の階層の位置によっては、ほかの是正者の違反を表示してアクションを実行できる場合もあります。

以下のトピックは、違反の表示に関するものです。

「保留中のリクエストの表示」
「完了したリクエストの表示」
「テーブルの更新」

保留中のリクエストの表示

デフォルトでは、割り当てられている保留中のリクエストは「是正」テーブルに表示されます。「右の者に対する是正リクエスト一覧」オプションを使用すると、別の是正者に対する保留中の是正リクエストを表示できます。

直接報告された組織内のユーザーの保留中のリクエストを表示するには、「自分の直属の部下」を選択します。
保留中のリクエストを表示したい 1 人以上のユーザーを入力するか、検索するには、「ユーザーの検索」を選択します。ユーザー ID を入力して、「適用」をクリックすると、そのユーザーの保留中のリクエストが表示されます。または、「...」 ボタンをクリックして、ユーザーを検索します。ユーザーを見つけて選択したら、「閉じる」をクリックして、「検索」エリアを閉じます。

結果のテーブルには、リクエストごとに次の情報が表示されます。

「是正者」 - 割り当てられた是正者の名前。この列は、ほかの是正者の是正リクエストを表示する場合にのみ表示されます。
「ユーザー」 − リクエストが作成されたユーザー。
「監査ポリシー/リクエスト」 − 是正者にリクエストされるアクション。
「監査ポリシー/説明」 − リクエストの是正コメント。
「違反の状態」 − 違反の現在の状態。
「重要度」 − リクエストに割り当てられた重要度 (なし、低、中、高、クリティカル)。
「優先度」 − リクエストに割り当てられた優先度 (なし、低、中、高、緊急)。
「リクエスト日」 − 是正リクエストが発行された日時。

注	各ユーザーは、その特定の是正者に関連する是正データを表示するカスタムフォームを選択できます。カスタムフォームを割り当てるには、ユーザーフォームの「コンプライアンス」タブを選択します。

完了したリクエストの表示

完了した是正リクエストを表示するには、「自分の作業項目」タブをクリックし、次に「履歴」タブをクリックします。以前に是正した作業項目のリストが表示されます。

結果のテーブル (AuditLog レポートで生成される) には、是正リクエストごとに次の情報が表示されます。

「タイムスタンプ」 − リクエストが是正された日時
「主体」 − リクエストを処理した是正者の名前
「アクション」 − 是正者がリクエストを受け入れたのか是正したのかを示す
「タイプ」 − ComplianceViolation やユーザーエンタイトルメントなど
「オブジェクト名」 − 違反した監査ポリシーの名前
「リソース」 − 是正者のアカウント ID (「なし」と表示されることもある)
「ID」 − 作業項目に関連するアカウント ID (たとえばポリシー違反の場合は、違反したアカウントの ID) が表示されます。
「結果」 − 常に「成功」と表示される

テーブルのタイムスタンプをクリックすると、「監査イベントの詳細」ページが開きます。

「監査イベントの詳細」ページには、完了したリクエストに関する情報が表示されます。この情報には、是正または受け入れに関する情報、イベントパラメータ (該当する場合)、監査可能属性などが含まれます。

テーブルの更新

「是正」テーブルに表示された情報を更新するには、「更新」をクリックします。新しい是正リクエストがあれば、「是正」ページのテーブルが更新されます。

ポリシー違反の優先度の設定

ポリシー違反に優先度、重要度、またはその両方を割り当てて、ポリシー違反の優先度を設定することができます。「是正」ページから違反の優先度を設定します。

違反の優先度または重要度を編集するには、次の手順に従います。

リストの違反を 1 つまたは複数選択します。
「優先度の設定」をクリックします。

「ポリシー違反の優先度設定」ページが表示されます。

オプションの作業として違反の重要度を設定します。選択項目は、「なし」、「低」、「中」、「高」、「クリティカル」です。
オプションの作業として違反の優先度を設定します。選択項目は、「なし」、「低」、「中」、「高」、「緊急」です。
選択が完了したら、「OK」をクリックします。Identity Manager は是正者のリストに戻ります。

注	重要度と優先度の値は、タイプ CV (コンプライアンス違反) の是正項目にのみ設定できます。

ポリシー違反の受け入れ

「是正」ページまたは「ポリシー違反のレビュー」ページで、ポリシー違反を受け入れることができます。

「是正」ページでの操作

「是正」ページで保留中のポリシー違反を受け入れるには、次の手順に従います。

テーブルの行を選択して、受け入れるリクエストを指定します。
1 つまたは複数のリクエストを受け入れ対象に指定するには、それぞれのオプションを有効にします。
テーブルに一覧表示されたすべてのリクエストを受け入れるには、テーブルヘッダーのオプションを有効にします。

注	Identity Manager では、受け入れアクションを説明するコメントは 1 セットしか入力できません。関連する違反であるためコメントが 1 つで十分な場合を除いては、一括受け入れを実行しないでください。 受け入れ可能なリクエストは、コンプライアンス違反を含むリクエストのみです。ほかの是正リクエストは受け入れることができません。

「受け入れる」をクリックします。

次のような「ポリシー違反を受け入れる」ページ (または「複数のポリシー違反を受け入れる」ページ) が表示されます。

図 11-14 「ポリシー違反を受け入れる」ページ



「説明」フィールドに、受け入れに関するコメントを入力します。このフィールドは必須です。

コメントは、このアクションの監査証跡として利用されるので、ひととおりの有用な情報を入力する必要があります。たとえば、ポリシー違反を受け入れる理由、日付、免除期間の選択理由などを説明します。

免除の有効期限を指定します。「有効期限」フィールドに日付 (YYYY-MM-DD 形式) を直接入力するか、または ボタンをクリックしてカレンダから日付を選択します。

注	日付を入力しない場合、免除期間は無期限となります。

「OK」をクリックして変更を保存し、「是正」ページに戻ります。

ポリシー違反の是正

1 つ以上のポリシー違反を是正するには、次の手順に従います。

テーブル内のチェックボックスを使用して、是正するリクエストを指定します。
1 つまたは複数のリクエストを是正対象に指定するには、それぞれのチェックボックスを有効にします。
テーブルに一覧表示されたすべてのリクエストを是正するには、テーブルヘッダーのチェックボックスを有効にします。

複数のリクエストを選択した場合、Identity Manager では、是正アクションを説明するコメントは 1 セットしか入力できません。関連する違反であるためコメントが 1 つで十分な場合を除いては、一括是正を実行しないでください。

「是正」をクリックします。
「ポリシー違反の是正」ページ (または「複数のポリシー違反の是正」ページ) が表示されます。
「コメント」フィールドに、是正に関するコメントを入力します。
「OK」をクリックして変更を保存し、「是正」ページに戻ります。

注	ユーザーに直接割り当てられている (ユーザーアカウントや組織の割り当てによって割り当てられている) 監査ポリシーは、そのユーザーの違反の是正時に常に再評価されます。

是正リクエストの転送

1 つ以上の是正リクエストをほかの是正者に転送できます。その場合は次の手順に従います。

テーブル内のチェックボックスを使用して、転送するリクエストを指定します。
テーブルに一覧表示されたすべてのリクエストを転送するには、テーブルヘッダーのチェックボックスを有効にします。
1 つまたは複数のリクエストを転送するには、それぞれのチェックボックスを有効にします。
「転送」をクリックします。

「転送先の選択と確認」ページが表示されます。

図 11-15 「転送先の選択と確認」ページ



「転送先」フィールドに是正者の名前を入力して、「OK」をクリックします。または、「...」ボタンをクリックして、是正者の名前を検索します。検索リストから名前を選択して、「設定」をクリックして、「転送先」フィールドにその名前を入力します。「閉じる」をクリックして、検索エリアを閉じます。

「是正」ページが再表示され、テーブルの「是正者」列に新しい是正者の名前が表示されます。

是正作業項目のユーザーの編集

適切なユーザー編集機能を持つ場合、関連付けられたエンタイトルメント履歴に説明されているとおり、是正作業項目から、ユーザーを編集して問題を是正できます。

ユーザーを編集するには、「是正リクエストのレビュー」ページから、「ユーザーの編集」をクリックします。表示される「ユーザーの編集」ページには、次の項目が表示されます。

この作業項目について、ユーザーに関連付けられているエンタイトルメント履歴
ユーザーの属性。ここに表示されるオプションは、「アカウント」エリアから使用できる「ユーザーの編集」フォームのオプションと同じです。

ユーザーを変更したら、「保存」をクリックします。

注	ユーザーを編集し、保存すると、ユーザーの更新ワークフローが実行されます。このワークフローに承認プロセスが含まれている場合があるため、ユーザーアカウントを変更し、保存してもしばらくの間、有効にならない可能性があります。監査ポリシーで再スキャンが許可されており、ユーザーの更新ワークフローが完了していない場合、後続のポリシースキャンで同じ違反が検出されることがあります。

---

定期的アクセスレビューとアテステーション

Identity Manager では、アクセスレビューを実行するプロセスによって、マネージャーなどの責任者がユーザーアクセス特権のレビューと検証を行うことができます。このプロセスは、時間の経過とともに蓄積されたユーザー特権を識別および管理し、米国企業改革 (SOX) 法、GLBA、および米国で義務付けられているその他の規制に対するコンプライアンスを維持するのに役立ちます。

アクセスレビューは、必要に応じて実行できます。また、四半期ごとなど、定期的に実行されるようにスケジュールすることもできます。定期的アクセスレビューを実行することで、正しいレベルのユーザー特権を維持できます。アクセスレビューにオプションの作業として監査ポリシースキャンを含めることもできます。

定期的アクセスレビューについて

定期的アクセスレビューは、従業員セットが特定の時点で適切なリソースに対する適切な特権を持っていることをアテストする定期的プロセスです。

定期的アクセスレビューでは次のアクティビティーを行います。

アクセスレビュースキャン - 自分が定義して実行または実行をスケジュールしたスキャンです。このスキャンでは、指定したユーザーセットの「ユーザーエンタイトルメント」を評価し、規則ベースの評価を実行してアテステーションが必要かどうかを決定します。
アテステーション - ユーザーエンタイトルメントを承認または却下することによってアテステーションリクエストに応答するプロセスです。

「ユーザーエンタイトルメント」は、特定のリソースセットについてのユーザーのアカウントの詳細のレコードです。

アクセスレビュースキャン

定期的アクセスレビューを開始するには、まず、1 つ以上のアクセススキャンを定義する必要があります。

アクセススキャンには、スキャン対象のユーザー、スキャンに含めるリソース、スキャンで評価するオプションの監査ポリシー、および手動でアテストするエンタイトルメントレコードを決定する規則とその実行者を定義します。

アクセスレビューのワークフロープロセス

一般に、Identity Manager のアクセスレビューワークフローは次のようになります。

ユーザーのリストを作成し、各ユーザーのアカウント情報を取得し、オプションの監査ポリシーを評価する
ユーザーエンタイトルメントレコードを作成する
各ユーザーエンタイトルメントレコードについて、アテステーションが必要かどうかを判断する
作業項目を各アテスターに割り当てる
すべてのアテスターによる承認または最初の却下を待つ
指定された時間内にリクエストへの応答を受け取らなかった場合は、次のアテスターにエスカレーションする
解決したユーザーエンタイトルメントレコードを更新する

是正機能については、「アクセスレビュー是正」を参照してください。

必要な管理者機能

定期的アクセスレビューを実行してレビュープロセスを管理するユーザーは、「Auditor Periodic Access Review Administrator」機能を持っている必要があります。「アクセススキャン監査管理者」機能を持つユーザーは、アクセススキャンの作成と管理を行うことができます。

これらの機能を割り当てるには、ユーザーアカウントを編集してセキュリティー属性を変更します。これらの機能およびその他の機能の詳細については、「機能とその管理について」を参照してください。

アテステーション

アテステーションは、特定の日付に存在しているユーザーエンタイトルメントを確認するために、1 人以上の指定されたアテスターが実行するアテステーションプロセスです。アクセスレビュー中に、アテスターは電子メール通知によってアクセスレビューアテステーションリクエストの通知を受け取ります。アテスターは、Identity Manager ユーザーである必要がありますが、Identity Manager 管理者である必要はありません。

アテステーションワークフロー

Identity Manager は、レビューを必要とするエンタイトルメントレコードがアクセススキャンで検出されたときに起動されるアテステーションワークフローを使用します。アクセススキャンは、アクセススキャンで定義された規則に基づいてこの判断を行います。

アクセススキャンで評価される規則によって、ユーザーエンタイトルメントレコードを手動でアテストする必要があるか、あるいは自動的に承認または却下できるか決まります。ユーザーエンタイトルメントレコードを手動でアテストする必要がある場合は、2 番目の規則を使用して適切なアテスターが決定されます。

手動でアテストする各ユーザーエンタイトルメントレコードは、1 人のアテスターにつき 1 つの作業項目でワークフローに割り当てられます。これらの作業項目のアテスターへの通知を、アテスターごと、スキャンごとに項目を 1 つの通知にまとめる ScanNotification ワークフローを使用して送信できます。ScanNotification ワークフローが選択されていない場合は、ユーザーエンタイトルメントごとの通知になります。この場合、1 人のアテスターが同じスキャンで複数の通知を受け取ることになり、スキャンするユーザー数によっては多数の通知になる可能性があります。

アテステーションセキュリティーアクセス

これらの権限付与オプションは、authType AttestationWorkItem の作業項目用のものです。

作業項目の所有者
作業項目の所有者の直属または直属以外のマネージャー
作業項目の所有者が所属する組織を管理する管理者
認証チェックで検証済みのユーザー

デフォルトでは、権限付与に関するチェックは次のようにして行い、いずれかの条件を満たす作業項目に対して、ユーザーにアテステーション権限が付与されます。

作業項目は、アクションを実行しようとしているユーザー自身が所有者となっている
作業項目は、アクションを実行しようとしているユーザーが管理する組織に属すユーザーが所有している
作業項目は、アクションを実行しようとしているユーザーの部下が所有している

2 番目および 3 番目のチェックを別個に設定するには、次のフォームプロパティーを変更します。

controlOrg - 有効な値は「true」または「false」
subordinate - 有効な値は「true」または「false」
lastLevel - 結果に含める最後の従属レベル。-1 はすべてのレベルを意味する

lastLevel の整数値は、デフォルトでは -1 に設定され、これは直属の部下と直属ではない部下を含むことを意味します。

これらのオプションは、次のファイルで追加または変更できます。

UserForm: AccessApprovalList

.

注	アテステーションのセキュリティーが組織管理に設定されている場合 (controlOrg が true)、ほかのユーザーが所有しているアテステーションを変更するには Auditor Attestor 機能も必要です。

委任されたアテステーション

デフォルトの動作として、アクセススキャンワークフローは、アクセスレビューアテステーション作業項目およびアクセスレビュー是正作業項目に対して、アテステーション作業項目およびその通知用にユーザーが作成した委任設定に従います。しかし、アクセススキャンの管理者が、「委任に従う」オプションを選択解除して委任設定を無視する場合があります。アテスターがすべての作業項目を別のユーザーに委任している場合でも、アクセスレビュースキャンで「委任に従う」オプションが設定されていなければ、委任を割り当てたユーザーではなく、そのアテスターがアテステーションリクエスト通知と作業項目を受け取ることになります。

定期的アクセスレビューの計画

アクセスレビューは、どの企業でも多くの労働力と時間を要するプロセスです。Identity Manager 定期的アクセスレビュープロセスを使用す