Identity & Access Management

Identity Governance

IDガバナンス(IGA)

Category: Identity & Access Management / Updated: 2026-05-26

📖

Overview

IDガバナンス(Identity Governance & Administration:IGA)とは、組織内のすべてのユーザーアイデンティティとそのアクセス権限を一元的に管理・統制するためのフレームワークおよびテクノロジーです。IGAは「誰が」「何に」「なぜ」アクセスできるのかを可視化し、適切なアクセス権限が適切な人物にのみ付与されていることを継続的に保証します。

IGAの中核機能には、アクセス認定・再認定(Access Certification / Recertification)エンタイトルメントレビュー職務分掌(SoD)の強制コンプライアンスレポーティングが含まれます。これらの機能により、組織はSOX法やGDPR、ISO 27001などの規制・標準への準拠を効率的に達成できます。

近年、クラウドサービスの普及やリモートワークの拡大により、管理対象となるアイデンティティとアクセス権限は爆発的に増加しています。手動での管理が困難になる中、IGAソリューションは自動化されたポリシー適用とリアルタイムな可視化により、セキュリティリスクの低減とコンプライアンスコストの削減を同時に実現します。

🔬

Details

アクセス認定・再認定(Access Certification)

アクセス認定とは、各ユーザーに付与されたアクセス権限が業務上適切であるかどうかを、管理者やデータオーナーが定期的に審査・承認するプロセスです。多くの組織では四半期ごとまたは半期ごとにアクセスレビューキャンペーンを実施し、不要なアクセス権限の剥奪を行います。

再認定(Recertification)は、一度承認されたアクセス権限を一定期間後に改めて見直すプロセスです。部署異動や役職変更によって不要になった権限が放置される「権限の蓄積(Privilege Creep)」を防止するために不可欠です。IGAツールは、レビュー対象の権限一覧を自動生成し、承認・却下のワークフローを効率化します。

エンタイトルメントレビューとロールマイニング

エンタイトルメントとは、システムやアプリケーションにおける具体的なアクセス権限(読み取り、書き込み、管理者権限など)を指します。IGAでは、各ユーザーが保有するエンタイトルメントを横断的に可視化し、過剰な権限や異常なアクセスパターンを検出します。

ロールマイニングは、既存のアクセス権限パターンを分析して最適なロール定義を導出する手法です。組織の実態に即したロールベースアクセス制御(RBAC)モデルを構築するための基盤となり、アクセス管理の効率化とセキュリティ強化を両立させます。

職務分掌(SoD)の強制

IGAソリューションは、職務分掌(Separation of Duties:SoD)ポリシーをシステム的に強制する機能を提供します。SoDとは、不正行為を防止するために、相互に矛盾する権限を同一人物に付与しないという原則です。例えば、発注処理と支払承認を同一人物が行えないようにする制約です。

IGAツールは、SoD違反を検出するためのルールマトリクスを定義し、権限申請時にリアルタイムでSoD違反チェックを実行します。違反が検出された場合、申請は自動的にブロックされるか、特別な承認フローに回されます。

コンプライアンスレポーティング

IGAの重要な機能の一つが、コンプライアンスレポーティングです。SOX法の内部統制要件、GDPRのデータアクセス管理要件、PCI DSSの最小権限要件など、各種規制・標準に対する準拠状況をレポートとして自動生成します。

監査証跡(Audit Trail)として、誰がいつどのアクセス権限を承認・却下したか、どのような変更が行われたかを詳細に記録します。これにより、内部監査や外部監査への対応工数を大幅に削減できます。

IGAの導入アプローチ

IGAの導入は段階的に行うことが推奨されます。まずアイデンティティの棚卸し(ディスカバリー)を実施し、管理対象となるシステムとアカウントの全体像を把握します。次に、アクセス認定プロセスを自動化し、その後ロール定義の最適化とSoDポリシーの適用へと進みます。

SailPoint、Saviynt、One Identity、Oracle Identity Governanceなどの主要IGAプラットフォームは、クラウドネイティブなアーキテクチャを採用し、SaaS型での提供も増えています。導入にあたっては、組織のコンプライアンス要件と既存のIT環境を考慮した適切な製品選定が重要です。

🛡️

Security Measures

  • 01
    定期的なアクセスレビューキャンペーンの実施:少なくとも四半期ごとにアクセス認定レビューを実施し、各ユーザーのアクセス権限が業務上必要最小限であることを確認してください。特に特権アカウントや機密データへのアクセス権限は優先的にレビューしましょう。
  • 02
    SoDポリシーの定義と自動適用:業務プロセスにおける職務分掌ルールをSoDマトリクスとして定義し、IGAツールに実装してください。権限申請時のリアルタイムSoDチェックにより、違反する権限の組み合わせが付与されることを事前に防止します。
  • 03
    孤立アカウント(Orphan Account)の検出と削除:退職者や契約終了者のアカウントが残存していないかを定期的にスキャンしてください。HRシステムとの連携により、雇用ステータスの変更を検知して自動的にアカウントを無効化する仕組みを構築しましょう。
  • 04
    ロール定義の定期的な最適化:ロールマイニングを実施して、現在のロール定義が組織の実態と一致しているかを検証してください。過剰なエンタイトルメントを含むロールを分割し、最小権限の原則に沿ったロール設計を維持します。
  • 05
    監査証跡の完全な記録と保管:アクセス権限の付与・変更・削除、承認・却下の判断理由など、すべてのガバナンスイベントを改ざん不可能な形で記録してください。規制要件に応じた保管期間を設定し、監査対応の迅速化を図りましょう。
  • 06
    異動・退職時のアクセス権限棚卸し自動化:人事イベント(異動・昇進・退職)をトリガーとして、関連するアクセス権限の見直しと再認定を自動的に開始するワークフローを構築してください。手動プロセスへの依存を最小化し、権限の蓄積を防止します。
⚠️

Incidents

📋 大手金融機関におけるアクセス認定不備による不正取引(2019年)

ある大手金融機関において、アクセス認定プロセスの形骸化が原因で重大な不正取引が発生しました。四半期ごとのアクセスレビューが実施されていたものの、レビュー担当者が大量の権限を精査せずに一括承認(ラバースタンプ)していたため、退職予定の従業員が不要な取引権限を保持し続けていました。

当該従業員は退職直前に保有していた権限を悪用し、数億円規模の不正取引を実行しました。この事件を受け、同機関はIGAソリューションを刷新し、リスクベースのアクセスレビューと異常検知機能を導入しました。

📋 医療機関でのSoD違反による患者データ不正アクセス(2021年)

ある医療機関において、職務分掌ポリシーが適切に実装されていなかったため、事務職員が医師のみにアクセス権限が許可されるべき詳細な患者診療記録にアクセスできる状態でした。この職員は好奇心から有名人の医療記録を閲覧し、その情報がSNSに流出しました。

調査の結果、同機関ではロール設計時にSoDチェックが行われておらず、複数の部門をまたぐ兼務者に過剰な権限が付与されていたことが判明しました。HIPAA違反として多額の罰金が科され、IGAプラットフォームの導入とSoDマトリクスの整備が義務付けられました。

📋 製造業における孤立アカウント悪用によるサプライチェーン攻撃(2023年)

ある製造業企業において、3年前に退職した元従業員のアカウントがIDガバナンスの不備により無効化されずに残存していました。攻撃者はダークウェブで入手した認証情報を使用してこの孤立アカウントにログインし、サプライチェーン管理システムへのアクセスを確立しました。

攻撃者は孤立アカウントの権限を利用して発注データを改ざんし、偽の仕入先への支払いを発生させました。被害総額は約2億円に達し、IDガバナンスの欠如がサプライチェーン全体のセキュリティを脅かすことが実証されました。同社はIGAプラットフォームを導入し、HRシステムとの自動連携による孤立アカウントの即時検出体制を構築しました。

🔗

Related Terms

IDライフサイクル管理 RBAC(ロールベースアクセス制御) 職務分掌(SoD) SOX法 GRC(ガバナンス・リスク・コンプライアンス)