棚卸マニュアル

---

1. 概要

1.1 目的

組織の変更や異動に伴い、過去に付与された不必要な権限がユーザーアカウントに残存し続ける「権限の形骸化」は、内部不正やサイバー攻撃の被害を拡大させる深刻なリスクとなります。

この課題を解決するため、定期的にアカウントの状態やロールの割り当て状況を確認する「ユーザー棚卸」を実施し、現状の権限が業務実態に即しているかを再評価する必要があります。

IGAにおいては、「アクセス認証（Certification）」キャンペーンを実行することで、承認者による確実なレビューと、非承認時の権限を自動で剥奪するプロセスを構築可能です。

1.2 前提条件

本書記載の作業を開始するための前提条件です。

表 1-1

前提条件	備考
インターネットに接続されていること。	IDApex IGA はインターネットを通じて操作を行います。
IDApex IGAの管理コンソール画面が開ける管理者権限があること	－
データの最新性	対象システムの同期が完了し、IGA内データが最新であること。

1.3 全体の流れ

本業務におけるユーザー棚卸は、以下の5つのフェーズに沿って実施します。

1. 棚卸対象（キャンペーン）の定義

   まず、棚卸を行う対象範囲を定義します。
   特定の部門（組織ユニット）や、特権アクセスを持つ特定のロールなど、リスクに応じた「キャンペーン（Certification Campaign）」をIGA上で作成します。

2. 承認ルートの設定とアクティベーション確認

   棚卸の判断を行う「承認者（レビューワー）」を割り当てます。
   通常、対象ユーザーの上長やシステム管理者が指定されます。
   その際、ユーザーの「アクティベーション」状態（有効・無効）を手動または自動で最新状態に調整し、棚卸対象データに齟齬がないか最終確認を行います。

3. 棚卸（認証）キャンペーンの開始

   定義したキャンペーンを起動します。
   対象の承認者に対して、IGAより棚卸依頼の通知が送信されます。
   承認者は自身のダッシュボードから、管轄ユーザーの権限一覧を確認できるようになります。

4. レビュー（承認・拒否）の実行

   承認者は、各ユーザーに付与されている権限（ロール）が現在の業務に必要かどうかを一点ずつ判断します。

   • 承認（Accept）： 現在の権限を維持します。
   • 拒否（Revoke）： 不要と判断された権限に対し、剥奪の指示を出します。
   • 再割り当て（Reassign）： 判断を他の適切な承認者に委ねます。

   ※再割り当てはしない想定です。

5. 権限の自動是正（修復）と結果報告

   キャンペーンの終了（クローズ）とともに、IGAは「拒否」と判断された権限を対象ユーザーから自動的に剥奪します。
   ここでいう「修復（Remediation）」とは、棚卸のレビュー結果を即座にシステムへ反映し、「承認された権限のみを保持した状態」に整えることを指します。

2. キャンペーン定義の作成

本項では、IGAでユーザー棚卸に必要な設計図である「キャンペーン定義」を作成する方法について解説します。

2.1 キャンペーン定義の設定

ここではIGAで「キャンペーン定義」の設定方法および設定内容について解説します。

1. IGAの管理画面にログインします。

2. 「キャンペーン定義」を開く。 緑色の＋ボタンを押下します。

   

3. 下記の画面にて、設定します。
   

4. 下記を参照し、設定を更新してください。

   1. 基本情報

      表 2-1

      項目	設定内容	備考
      名前	任意
      説明	任意
      オーナー	任意(administratorなど)
      ステージの結果から全体的な結果を導き出すためのストラテジー  参考： ドキュメント	誰も拒否しなければ受け入れる
      修復	Automated remediation (non-conformant items are automatically removed)
      キャンペーン終了後の自動繰り返し （例：P14D）	任意	P14D → 今の日付から14日後
      自動反復回数の制限	任意	キャンペーン終了後に、 再度繰り返し行う際の繰り返し回数
      全体の反復回数制限	任意	キャンペーン終了後に、 再度繰り返し行う際の繰り返し回数
      最後に開始したキャンペーン	～	自動で割り振られる
      最後に終了したキャンペーン	～	自動で割り振られる

      

   2. スコープ定義

      表 2-2

      項目	設定内容	備考
      スコープ名	任意
      スコープの説明	任意
      オブジェクトタイプ	ユーザー、ロール、組織、サービス	棚卸するオブジェクトのタイプを選択可能。
      選択オブジェクトを フィルターする		組織等をコードで記載し、フィルタリングすることが可能。 コードを記載する必要あり。
      アサインまたは インデュースメントを含める	☑ アサイン ☑ インデュースメント	下記権限棚卸対象を選択。 ・直で付与したリソース組織(アサイン) ・組織経由で権限付与されたリソース(インデュースメント)
      ターゲットタイプを含める	□ リソース ☑ ロール □ 組織 □ サービス □ ユーザー	棚卸対象のリソースタイプの選択。
      アクティベーション・ ステータスで含める	□ 有効なアイテムのみ	有効化されているリソースのみ棚卸対象とするか選択可能。
      リレーション	いずれか	オーナー、承認者、管理者などリソースに割り振られた許可の種類を指定

      

   3. ステージ定義

      表 2-3

      項目	設定内容	備考
      名前	任意
      説明	任意
      期間	任意	レビュー終了期限。P14D(14日後)といった方式で指定
      〆切の前に通知	☐	レビューの終了期限が近付いた際のメール通知の設定
      決定を下さない場合にのみ通知する	任意
      レビューワーの仕様名（オプション）	任意
      レビューワーの仕様の説明 （オプション）	任意
      アサイン対象オブジェクトの レビューワー	□ ターゲット・オーナーを使用する ☑ ターゲット承認者を使用する
      レビューワーの割り当てルール。
      ・ロールなどリソースのガバナンスに 登録したオーナー ・ロールなどリソースのガバナンスに登録した承認者
      このオブジェクトに アサインされているレビューワー	□ オブジェクト・オーナーを使用する
      □ オブジェクト承認者を使用する	どちらもチェック外す
      このオブジェクトに アサインされている 管理者に基づくレビューワー	□ オブジェクト管理者を使用する
      管理者を決定するために使用される 組織関係のタイプ（オプション）
      □ 管理者が自分のアサインを 承認できるようにする
      デフォルト・レビューワー・ リファレンス	任意	レビューワーが割り振られない場合、 自動的に割り振るレビューワーを設定します。
      追加レビューワー・リファレンス	任意	自動で割り振られるレビューワー以外に 追加でレビューワーを設定
      複数のレビューワーの場合の 決定集約ストラテジー	誰も拒否しなければ受け入れる	複数レビューワーがいる場合のレビュー結果の決定基準。
      レビューワーがアサインされていない 場合の結果	承諾	レビューワーが自動的に割り振られない場合の棚卸基準。
      レビューを停止する		調整不要

      

3. レビューの許可設定

本項では、権限棚卸をするために必要な許可をレビューワーに割り当てる方法について解説します。

3.1 組織経由で権限棚卸に必要なロール付与

ここでは、組織のインデュースメントにロールを登録することで、組織所属のユーザー全員に権限棚卸に必要な許可設定を適用する方法について解説します。

1. ユーザーの所属先の組織に下記ロールを付与します。

   表 3-1

   ロール名	説明
   End user	UIにログインするためのロール。
   Reviewer	権限棚卸のレビューをするためのロール。

   

2. 下記2つの手順のいずれかでユーザーを組織に所属させることで、組織経由で権限を付与します。

   1. 下記の資料を参照し、ユーザーのCSVファイルに1. でロールを付与した組織名を 記載したうえで、IGAサーバーにプロビジョニングします。

      参照: 【IGA】プロビジョニングマニュアル

   2. 該当の組織の詳細画面の下記画面で組織のインデュースメントにロールを付与します。
      「インデュースメント」>「すべて」

      そうすることで組織に所属しているユーザーへの権限付与を自動化できます。

      

      End user、Reviewerに☑を入れ、右下の「追加」ボタンを押下します。

      

      赤枠の「保存」ボタンを押下します。

3. 下記のように組織所属のユーザーの詳細画面を開き、組織経由で権限が付与されていることを確認します。
   

4. キャンペーンの実行

本項では、権限の棚卸作業をキャンペーンの実行を通して行う方法について解説します。

4.1 キャンペーン定義の実行

ここではIGAのキャンペーン定義の実行方法について解説します。

1. 「アクセス認定」 > 「キャンペーン定義」を開きます。

2. 作成したキャンペーンの右側の「➤」を押下します。
   

   下記のように表示されれば、キャンペーン定義からキャンペーンを正常に作成できています。

   

4.2 キャンペーンの作成

1. 作成されたキャンペーンの右側の「キャンペーンの開始」を押下します。
   

2. 下記の画面になれば、正常に動作しております。
   

4.3 ユーザー棚卸

ここでは、レビューワー側で行う操作について解説します。

1. レビューワーのユーザーアカウントでログインします。
2. 「アクセス認定」>「私のアイテム」を開きます。

3. 権限を削除するオブジェクトの場合は右側の「取り消し」ボタンを押下してください。 状況に応じて、「コメント」欄にコメントを記載することも可能です。

   

   また、各ボタンの意味合いは次の通りです。

   ※「削減」、「未定」、「応答なし」のボタンを押下しても、権限が削除されることはありません。

   表 4-1

   ボタン	役割
   承諾	権限を維持します。
   取り消し	権限を削除します。
   削減	権限は削除せず、削減する方針である旨のコメントを記録するボタンです。
   未定	権限は削除せず、未定である旨のコメントを記録するボタンです。
   応答無し	レビューワーの操作が行われなかった場合に、自動で適用されます。

4. administratorでログインし、「アクセス認定」 > 「キャンペーン」から該当のキャンペーンを開きます。
   

5. 下記画面で、正しくレビューできていることを確認します。
   

6. 下のステージのクローズ」ボタンを押下し、ステージをクローズします。
   

7. 「修復の開始」を押下します。 ボタンを押下することで、棚卸レビューによって「拒否（Revoke）」と判断された権限が、各ユーザーアカウントから即座に自動削除されます。

   ※キャンペーン定義の「基本情報」の「修復」設定で「Automated remediation」以外を選択した場合は、自動削除が実行されません。その場合、各リソース（連携先システム）に対して手動で権限削減作業を行う必要があります。

5. オープンソフトウェア(OSS)の利用

本書が対象とするシステムには、オープンソースコミュニティによって開発されたソフトウェアが含まれています 。

5.1 対象ソフトウェア

本書では、以下の OSSを使用したソフトウェアの利用手順を説明しています 。

表 5-1

項目	内容
ソフトウェア名	IGA
バージョン	4.8.9
ライセンス名	Apache License, Version 2.0
URL	https://www.apache.org/licenses/LICENSE-2.0
配布元	https://github.com/Evolveum/IGA

---

📥 PDFとして保存
📥Word形式でダウンロード