近年、DX(Digital Transformation)の推進に伴い、部分最適化に陥って情報が連携されていないシステムを統合する動きが進んでいます。その中で、各種システムを統合・連携し、業務システムを全体最適化できるITSM(IT Service Management)ツールが注目されています。
最近のITSMツールでは、インシデント管理・変更管理などのサービスオペレーションに限らず、様々な外部アプリケーションが連携可能です。中でも、昨今、特権ID管理ツールとの連携が急速に進んでいます。弊社でも、多くのお客様から「特権IDの利用業務をITSMツール上で完結させたい」と要望を受けることが増えました。
では、特権ID管理ツールがITSMツールと連携することで、どんなメリットが生まれるのでしょうか。本ブログでは、連携が進む背景を概観した上で、連携イメージと効果について、ユースケースを交えながら解説します。
特権ID管理ツールとITSMツールの連携が進む背景
特権ID管理ツールとITSMツールの連携が進む背景には、次の3つの要因があります。順を追って見ていきましょう。
①特権ID管理の重要性の高まりとツールのニーズ増大
近年、サイバー攻撃の増大、テレワークをはじめとする働く環境の多様化、クラウドサービスの利用拡大等に伴い、セキュリティリスクが高まっています。とりわけ、特権IDは非常に高い権限を持つため、窃取・悪用されれば甚大な被害をもたらします。以前に比べ、特権ID管理そのものの重要性が高まっており、一層厳格な管理が求められているのです。その中で、特権ID管理ツールを導入したいというニーズが増しています。
②ITILのサービスオペレーション実行に伴う特権ID管理の必要性
ITSMツールの多くは、ITIL(IT Infrastructure Library)に基づいて、ITSMに必要な機能を提供します。ITILの要素の一つにサービスオペレーションがありますが、中でも、インシデント管理、変更管理、リリース管理等では、特権IDを用いたアクセスが必要な場合があります。
一方、特権IDを利用する業務には様々なガイドラインがあり、アクセス制御やログの取得(いつ・誰が・どこで・何をしたかの証明)等を行う必要があります。ITSMツールだけでは、この要件が満たせないため、別途、手作業(紙・Excel)か専用ツールで特権ID管理を行わなければなりません。
以上のように、ITSMツールでITILのサービスオペレーションを実行するには、特権ID管理が不可欠です。このため、ITSMツールと特権ID管理ツールを連携したいというニーズが増しています。
③外部システムと連携可能な特権ID管理ツールの増加
特権IDを利用する業務は、インシデント発生時のシステム操作、脆弱性管理における脆弱性スキャンなど、多岐にわたります。一方、特権ID管理ツールが収集するログは、SIEM(Security Information and Event Management)など、他システムで管理・分析されるケースが多く見られます。
このように、他ツールと連携するニーズの拡大に伴い、WebAPIで外部システムと連携できる特権ID管理ツールが増えています。その結果、ITSMツールとの連携における技術的ハードルが下がってきているのです。
以上のように、ITSMにおいて特権ID管理を同時に行う必要性が高まり、ツール側の対応も進む中、特権ID管理ツールとITSMツールの連携が加速しています。次章からは、連携イメージや効果について、事例を交えて解説します。
連携の有無による違い
本章では、特権IDを利用するインシデント管理業務を例に、ITSMツールと特権ID管理ツールを連携する場合としない場合の違いについて見ていきましょう。
①連携しない場合
図1は、両ツールを連携せず、インシデント管理と特権ID管理を各ツールで個別に行った例を表しています。この場合、次の状態にあることがわかります。
- 各ツールで別々にワークフローを持っており、情報を一元管理できない
- オペレータ・承認者は、複数システムに対して類似情報の申請・承認作業が必要
図1:ITSMツールと特権ID管理ツールを連携しない場合
急ぎの対応が多く求められる中で、複数のシステムに申請・承認することは、時間や工数だけでなく、心理的に負荷がかかります。さらに、同様の登録を複数の箇所に行うことで、ミスが発生するリスクも高まります。
また、特権ID管理を手作業(紙・Excel)で行う場合、手続きが煩雑になるほど、申請・承認プロセスが形骸化する傾向にあります。その結果、セキュリティリスクが一層発生しやすくなる恐れがあるのです。
では、連携した場合はどうでしょう。次項で見ていきます。
②連携した場合
図2は、両ツールを連携して、インシデント管理と特権ID管理を行った例を表しています。具体的には、ITSMツールからWebAPIを介して、特権ID管理ツールに申請・承認の情報を連携した状態です。
この場合、ITSMツール上でワークフローを完結できるため、次のことが実現できます。
- ワークフローの情報がITSMツール上で一元管理できる
- オペレータ・承認者は、申請・承認作業をITSMツールで完結できる
図2:ITSMツールと特権ID管理ツールを連携した場合
その結果、業務の効率化はもちろん、不正を検知する確認作業の効率を高めることも可能です。このため、申請・承認プロセスにおけるミスや形骸化のリスクが軽減でき、セキュリティや内部統制の強化を図ることができます。ひいては、内部不正やサイバ―攻撃による被害拡大を未然に防ぐことにもつながるのです。
以上のように、ITSMツールと特権ID管理ツールを連携するかどうかで、業務の効率化だけでなく、セキュリティや内部統制の面でも大きな差が生じます。
ただし、連携による効果は、それだけではありません。次章では、その具体的な内容について見ていきます。
カスタマイズによる業務の効率化
近年のITSMツールには、自社の業務フローに合わせて、ノーコード/ローコードでカスタマイズできるものが増えています。そうしたツールと特権ID管理ツールを連携することで、特権IDを利用する業務の運用方法を、自社の業務特性に応じて変更することが可能です。
本章では、その具体例を3つ紹介します。
例①申請フォーマットのカスタマイズで、承認・監査の厳格化・効率化を実現
特権IDのアクセス申請に必要な項目は、各社の要件によって異なります。しかし、汎用的に作られた特権ID管理ツールでは、申請項目が固定されているものが多く、承認に必要な情報が不足してしまう場合があります。
さらに、承認者や監査者が申請情報・予定作業・実作業に乖離がないかをチェックするには、作業内容や目的を明確にすることが重要です。
ITSMツールと連携すると、申請フォーマット(申請画面)のカスタマイズが容易になります。承認や監査に必要な項目を柔軟に追加できるため、事前に十分な情報が得られるのです。ひいては、承認・監査業務の厳格化・効率化につながります。
図3:申請画面のカスタマイズによる効果
例②通知方法の変更により、緊急時に迅速な承認が可能
特権ID管理ツールの多くは、アクセス申請時に承認リクエストをメールで行います。ただし、それでは、緊急時にリアルタイムな対応ができない可能性があります。
一方、ITSMツールの中には、通知方法をカスタマイズできるものが多く、例えばメールの代わりにSMSへ変更するということが可能です。こうすることで、緊急時に迅速な承認を行うことができます。
図4:承認リクエストの通知方法の変更
例③申請の自動作成により、特権ID利用業務をさらに効率化
ツールが連携されているだけでは、ITSMツール上で、それぞれの業務に必要な申請を個別に行う必要があります。例えば、図5の場合、変更管理だけでなく、特権IDを利用する業務に必要な申請も併せて行わなければなりません。
一方、ITSMツールの中には、ある業務をトリガーに、その後に必要な申請を自動作成できるものがあります。この機能を利用することで、例えば、オペレータによる変更管理の申請をトリガーとして、特権アクセス申請を自動で作成するということが可能です。この場合、特権IDを利用する業務には欠かせない、特権アクセス申請の作成業務を省略できるのです。
図5:申請業務の省力化
いかがでしたでしょうか。以上のように、ITSMツールと連携することで、特権ID管理ツール単体の場合よりも、特権IDを利用する業務の運用方法をカスタマイズしやすくなります。このことで、申請・承認をはじめとする業務の効率化が可能となるのです。
では、実際の連携イメージはどのようなものでしょう。次章では、弊社製品を例にご紹介します。
ITSMツールと特権ID管理ツールの連携イメージ
NRIセキュアでは、長年、特権ID管理ツール「SecureCube Access Check」(セキュアキューブ・アクセスチェック、以下「Access Check」)を提供しています。その中で、昨今、多くのお客様から、「特権IDの利用業務をITSMツール上で完結させたい」という要望をいただくようになりました。
そこで、このたび、ITSMツール「ServiceNow IT Service Management(サービスナウ アイティ―サービスマネジメント、以下「ServiceNow」)」と「Access Check」を連携するための新製品「Access Check Integration」を提供開始しました。
本章では、「ServiceNow」と「Access Check」の場合を例に、実際の連携イメージについて紹介します。
ServiceNow連携の例
「ServiceNow」は、多くのシェアを持つITSMツールです。
新製品「Access Check Integration」は、「ServiceNow」から、「Access Check」で必要な特権アクセス申請を行えるようにするアプリケーションです。本製品を利用することで、特権アクセス申請のワークフローを「ServiceNow」上で一元管理できます。
図6は、ワークフローの連携イメージを表したものです。特権IDの利用者・承認者ともに、特権ID管理ツールの「Access Check」ではなく、ITSMツールである「ServiceNow」に対して申請・承認の依頼を出していることが分かります(「2.利用申請」、「3.申請に対する承認」)。
この手順について、実際の「ServiceNow」の画面とともに見てみましょう。
図6:「ServiceNow」と「Access Check」の連携イメージ
利用申請
図7で示すように、特権IDの利用者は、「ServiceNow」の画面上で、「件名」「説明」「利用するポリシー」「アクセス予定日時」など、申請に必要な項目を入力できます。その申請情報は、承認者へ承認依頼としてメール等で直接通知されます。
図7:「ServiceNow」のアクセス申請画面
申請に対する承認
通知を受け取った承認者は、図8で示したように、「ServiceNow」の承認画面から申請内容を確認できます。その上で、「承認」または「却下」を行います。 
図8:「ServiceNow」の承認画面
以上のように、特権IDの利用者は、「Access Check」を操作することなく、「ServiceNow」上で行った申請・承認の内容に応じて、特権アクセスができるようになるのです。
また、「ServiceNow」のノーコード/ローコード開発を利用することで、申請画面への独自項目の追加、通知方法の変更、特権アクセス申請の自動化など、各種カスタマイズを行うことも可能です。
おわりに
ビジネス環境の変化に伴い、特権ID管理の重要性が高まる中、一層厳格な管理が求められています。
その一方で、特権IDを利用する業務が煩雑になるほど、ミスや形骸化のリスクが増し、セキュリティ・内部統制の強化につなげられない恐れがあります。業務の効率化を図りながら、効果を出す取り組みが欠かせないのです。
本ブログで解説した、特権ID管理ツールとITSMツールの連携も、その一つと言えます。NRIセキュアでは、今後も、特権アクセスを伴う業務について、プロセスの全体最適化とセキュアな本番アクセスを両立するソリューションの提供に尽力していきます。
関連サービス:SecureCube Access Check
