#29 IGAとPAMの融合　～特権ID管理の現実と限界～

 特権ID管理の現実と限界

従来のPAM（Privileged Access Management）ソリューションでは、特権IDの「貸出」「作業中の監視」「利用制限」は実現できるものの、肝心な「誰に、いつ、どんな権限を付与・剝奪すべきか」という判断や処理は、IT部門が個別に対応する必要がありました。

この運用では、以下のような課題が残ります。

• ユーザーアカウント作成や削除、権限変更に手作業が必要
• 人事異動・退職時のタイムラグが生じる
• 権限の棚卸・監査証跡の作成に膨大な工数がかかる

つまり、「技術的に制御できる範囲」と「業務的に必要な統制」の間にギャップが存在していたのです。

 IGAで解決する「IDガバナンスの統合」 

1. このギャップを埋めるカギが、「IGA（Identity Governance and Administration）」です。

2. 　※IGAについてはこちらのレポートをご参照ください：#22 IGA（アイデンティティ・ガバナンス管理）とは何か
   

3.  

4. IGAソリューションは、人事システムと連携し、従業員の入退社や異動に応じて、必要なアカウント・権限の付与／剝奪を自動的に制御し、

5. さらに、すべての処理履歴を保持することで監査にも対応できることが特長です。

6. 
   

   具体的には以下の実現が可能です。

   • 人事データをトリガーにしたアカウントのライフサイクル管理

   • 承認フローと自動権限付与により「最小権限の原則」の徹底

   • 権限棚卸や定期レビュー、監査レポートの自動生成

    

7. これにより、PAMの「技術的なアクセス制御」と、IGAの「業務的な権限統制」が連携し、“ガバナンスと実行の一体化”を実現します。

8.  

統合ログ基盤の活用と監査強化

さらに、ログ分析基盤と連携することにより、PAMとIGAで生成されたセッションログやイベントログの一元分析が可能となります。

• PAMで取得した特権IDのセッションログを収集

• SailPointによる権限変更履歴や申請フローをログ化

• すべてのセッションアクティビティを時系列・ユーザー別に分析可能

結果として、「なぜこのユーザーにこの権限が与えられたのか」と「そのユーザーが何をしたのか」をシームレスに追跡可能となり、セキュリティチームや監査人の負担を大幅に軽減します。

まとめ

PAM、IGA、ログ分析基盤が連携しあうことで、それぞれの課題を補完し合い導入効果を高めうことができます。

弊社からは以下のソリューションをご提案させていただだいております。

• PAM　　　　 ：Secret server (https://www.iim.co.jp/products/secretserver)
• IGA　　　　   ：SailPoint(https://www.iim.co.jp/products/sailpoint)
• ログ分析基盤 ：Splunk
  

各ソリューションにおいてインテグレーションから運用保守までサポートさせていただきますので、ご興味がございましたらぜひ担当営業へお気軽にご相談ください。