デジタル変革(DX)による労働形態の多様化、エコシステムの拡大に伴い、ビジネスの姿は日々変化し続けています。世界的なエンタープライズアプリケーションであるSAPシステム(SAP S/4 HANA、SAP ERPなど)においても、連携システムの増加(SAP及びNon-SAPアプリケーション、SAP及びサードパーティークラウドサービス)やアクセスユーザの多様化(社員、パートナー、サプライヤー、カスタマユーザなど)に伴い、ID・権限の管理を担当するシステム部門のセキュリティ運用負荷は増加しており、設定ミスや不要ID・権限の削除漏れなど潜在的なセキュリティリスク(内部不正、 情報漏洩、コンプライアンス違反等によるブランドイメージの毀損リスク)の増加が懸念されています。
これら課題の対策として、ID・権限運用の一元化や自動化を行うIAM基盤を適切に構築、運用することが運用負荷の削減やセキュリティリスク対策を行うために重要な要素となります。
IAM(Identity and Access Management)とは
IAMは、システム利用者が企業内のリソース(アプリケーション、ファイル、データベース、OSなど)に適切にアクセスするためにユーザID、アクセス権限を管理する機能の総称です。IAMの対象として、下記2点の構成要素(「アイデンティティ管理」及び「アクセス管理」)があります。
「アイデンティティ管理」の構成要素
IDストア・ID構造の一元化、IDライフサイクル自動化(ワークフロー)、プロビジョニング(ID登録、権限付与/はく奪、ID削除)、パスワード管理(セルフサービス機能)など。
「アクセス管理」の構成要素
アクセスコントロール(リスク分析、特権ユーザの管理、不正操作の監視)、シングル・サインオン、IDフェデレーションなど。
[RELATED_POSTS]
SAP社のIAMソリューション
SAP社はSAP製品を含めたIAMソリューションとして下記の代表的な製品及びサービスを提供しています。
SAP社IAMソリューション
次項では、SAP社のIAMパッケージの代表的な2製品(上図赤枠)をご説明します。
SAP Identity ManagementとSAP GRC-Access Control
SAPシステムランドスケープにおけるIAM(「アイデンティティ管理」及び「アクセス管理」)機能を提供する代表的な製品として、SAP Identity Management(SAP IdM)及びSAP GRC-Access Control(SAP GRC-AC)をご紹介します。
SAP Identity Management(SAP IdM)
SAP IdMは複数のSAP及びNon-SAPシステムで個々に管理されているID、パスワード、権限ロールの情報を1つのIDストアで集中管理することで、ID統合管理を実現するパッケージソフトウェアとなります。SAP IdMを導入することで、ID管理運用工数(複数システムのパスワード、ID割り当て、監査対応)の削減やセキュリティリスク(不適切な権限の付与、ロール・ID削除漏れなど)対策が可能です。
SAP IdM構成イメージ及び主な機能は下記となります。
【主な機能】
- ユーザID及びロールの集中管理、ID構造の一元化
- セルフサービス(アクセス申請、パスワードリセット、ユーザデータ変更)
- ID及びロール割り当ての自動化(ワークフローによるID登録/権限ロール付与・はく奪/削除)
- 人事システム(HCM)連携
- 監査レポート
【SAP IdM構成(例)】
SAP GRC-Access Control(SAP GRC-AC)
SAP GRC-ACは、SAP GRC(Governance・Risk・Compliance)ソリューションの一部で、アクセスリスクの分析、特権ユーザの管理、アクセス申請、ロールの作成管理などの機能を提供するパッケージソフトウェアとなります。
SAP GRC-ACを導入することで、ID管理・監査工数の削減(アクセス申請、権限ロールデザインの自動化(ワークフロー)、レポーティング機能)や、リスクの検知(アクセスリスク分析)が可能となります。SAP GRC-ACの構成イメージ及び主な機能は下記となります。
[SMART_CONTENT]
【主な機能】
- アクセスリスク分析(職務分掌に適合しないユーザID、ロールのチェック)
- 特権ユーザ管理(特権ユーザ利用プロセス自動化、アクティビティレポート)
- ロールの管理(ロールのデザイン、リスク分析、テスト、維持管理、ワークフロー)
- アクセス申請(ID登録/権限ロール付与・はく奪/削除)の自動化(承認ワークフローとプロビジョニング)
【SAP GRC-AC構成(例)】
SAP IdMとSAP GRC-ACの連携
「SAP IdM」と「SAP GRC-AC」はそれぞれ独立して構築/運用が可能ですが、連携して構築することにより、それぞれの固有の機能を連携した構成が可能となります。
【SAP IdM及びSAP GRC-ACの連携(例)】
IDプロビジョニング基盤をSAP IdMで一元化し、SAP GRC-ACでコンプライアンスチェック(リスク分析)を実施する構成
SAP IdM及びSAP GRC-ACを連携して構成することで、SAP IdMで申請されたユーザID申請(HCM連携、アクセス申請(ロール付与・削除))について、コンプライアンスチェック(リスク分析)をSAP GRC-AC側で実施するなど、単独では実現できないそれぞれの独自機能を組み合わせた構成が可能です。
また、上記例ではプロビジョニング基盤をSAP IdMで集約していますが、その他ユースケースとして、入社時(HCM連携)のみSAP IdMから各システムにユーザIDを配信し、登録済みのSAPユーザのアクセス申請(ロール付与・削除)はSAP GRC-ACのアクセス申請(ARQ)機能を使用するなど、必要に応じて様々な構成をとることが可能です。
リアルテックジャパンでご支援できること
リアルテックジャパンでは、SAP IdM及びSAP GRC-ACを含めたSAP IAM基盤の導入コンサルティングとアセスメントサービス、インプリメンテーション、導入運用支援をご提供しております。ぜひお気軽にお問い合わせください。
