目 次 1.1. ロール 管 理 の 定 義... 5 1.1.1 ロール 及 びロール 管 理 の 概 念... 5 1.1.2 ロールの 分 類 と 特 徴... 8 1.2. ロール 管 理 の 意 義... 15 1.2.1. ロール 管 理 の 必 要 性 と 効 果... 15 1.2.



Similar documents
Microsoft PowerPoint - 報告書(概要).ppt

2 役 員 の 報 酬 等 の 支 給 状 況 平 成 27 年 度 年 間 報 酬 等 の 総 額 就 任 退 任 の 状 況 役 名 報 酬 ( 給 与 ) 賞 与 その 他 ( 内 容 ) 就 任 退 任 2,142 ( 地 域 手 当 ) 17,205 11,580 3,311 4 月 1

<4D F736F F D C482C682EA817A89BA90BF8E7793B1834B A4F8D91906C8DDE8A A>

リング 不 能 な 将 来 減 算 一 時 差 異 に 係 る 繰 延 税 金 資 産 について 回 収 可 能 性 がないも のとする 原 則 的 な 取 扱 いに 対 して スケジューリング 不 能 な 将 来 減 算 一 時 差 異 を 回 収 できることを 反 証 できる 場 合 に 原 則

1 林 地 台 帳 整 備 マニュアル( 案 )について 林 地 台 帳 整 備 マニュアル( 案 )の 構 成 構 成 記 載 内 容 第 1 章 はじめに 本 マニュアルの 目 的 記 載 内 容 について 説 明 しています 第 2 章 第 3 章 第 4 章 第 5 章 第 6 章 林 地

検 討 検 討 の 進 め 方 検 討 状 況 簡 易 収 支 の 世 帯 からサンプリング 世 帯 名 作 成 事 務 の 廃 止 4 5 必 要 な 世 帯 数 の 確 保 が 可 能 か 簡 易 収 支 を 実 施 している 民 間 事 業 者 との 連 絡 等 に 伴 う 事 務 の 複 雑

小 売 電 気 の 登 録 数 の 推 移 昨 年 8 月 の 前 登 録 申 請 の 受 付 開 始 以 降 小 売 電 気 の 登 録 申 請 は 着 実 に 増 加 しており これまでに310 件 を 登 録 (6 月 30 日 時 点 ) 本 年 4 月 の 全 面 自 由 化 以 降 申

Microsoft Word - ★HP版平成27年度検査の結果

<6D313588EF8FE991E58A778D9191E5834B C8EAE DC58F4992F18F6F816A F990B32E786C73>

1 書 誌 作 成 機 能 (NACSIS-CAT)の 軽 量 化 合 理 化 電 子 情 報 資 源 への 適 切 な 対 応 のための 資 源 ( 人 的 資 源,システム 資 源, 経 費 を 含 む) の 確 保 のために, 書 誌 作 成 と 書 誌 管 理 作 業 の 軽 量 化 を 図

< DB8CAF97BF97A6955C2E786C73>

定款  変更

・モニター広告運営事業仕様書

( 別 紙 ) 以 下 法 とあるのは 改 正 法 第 5 条 の 規 定 による 改 正 後 の 健 康 保 険 法 を 指 す ( 施 行 期 日 は 平 成 28 年 4 月 1 日 ) 1. 標 準 報 酬 月 額 の 等 級 区 分 の 追 加 について 問 1 法 改 正 により 追 加

しかし 主 に 欧 州 の 一 部 の 回 答 者 は 受 託 責 任 について 資 源 配 分 の 意 思 決 定 の 有 用 性 とは 独 立 の 財 務 報 告 の 目 的 とすべきであると 回 答 した 本 ED に 対 する ASBJ のコメント レターにおける 意 見 経 営 者 の 受

スライド 1

PowerPoint プレゼンテーション

大田市固定資産台帳整備業務(プロポーザル審査要項)

< 現 在 の 我 が 国 D&O 保 険 の 基 本 的 な 設 計 (イメージ)> < 一 般 的 な 補 償 の 範 囲 の 概 要 > 請 求 の 形 態 会 社 の 役 員 会 社 による 請 求 に 対 する 損 免 責 事 由 の 場 合 に 害 賠 償 請 求 は 補 償 されず(

(2)大学・学部・研究科等の理念・目的が、大学構成員(教職員および学生)に周知され、社会に公表されているか

った 場 合 など 監 事 の 任 務 懈 怠 の 場 合 は その 程 度 に 応 じて 業 績 勘 案 率 を 減 算 する (8) 役 員 の 法 人 に 対 する 特 段 の 貢 献 が 認 められる 場 合 は その 程 度 に 応 じて 業 績 勘 案 率 を 加 算 することができる

(6) 事 務 局 職 場 積 立 NISAの 運 営 に 係 る 以 下 の 事 務 等 を 担 当 する 事 業 主 等 の 組 織 ( 当 該 事 務 を 代 行 する 組 織 を 含 む )をいう イ 利 用 者 からの 諸 届 出 受 付 事 務 ロ 利 用 者 への 諸 連 絡 事 務

Microsoft Word - 通達(参考).doc

(別紙3)保険会社向けの総合的な監督指針の一部を改正する(案)

6 構 造 等 コンクリートブロック 造 平 屋 建 て4 戸 長 屋 16 棟 64 戸 建 築 年 1 戸 当 床 面 積 棟 数 住 戸 改 善 後 床 面 積 昭 和 42 年 36.00m m2 昭 和 43 年 36.50m m2 昭 和 44 年 36.

(Microsoft Word - \212\356\226{\225\373\220j _\217C\220\263\201j.doc)

<6E32355F8D918DDB8BA697CD8BE28D C8EAE312E786C73>

●電力自由化推進法案

第316回取締役会議案

2 役 員 の 報 酬 等 の 支 給 状 況 役 名 法 人 の 長 理 事 理 事 ( 非 常 勤 ) 平 成 25 年 度 年 間 報 酬 等 の 総 額 就 任 退 任 の 状 況 報 酬 ( 給 与 ) 賞 与 その 他 ( 内 容 ) 就 任 退 任 16,936 10,654 4,36

平成25年度 独立行政法人日本学生支援機構の役職員の報酬・給与等について

<4D F736F F D C689D789B582B581698AAE90AC92CA926D816A2E646F63>

慶應義塾利益相反対処規程

は 固 定 流 動 及 び 繰 延 に 区 分 することとし 減 価 償 却 を 行 うべき 固 定 の 取 得 又 は 改 良 に 充 てるための 補 助 金 等 の 交 付 を 受 けた 場 合 にお いては その 交 付 を 受 けた 金 額 に 相 当 する 額 を 長 期 前 受 金 とし

Microsoft Word 第1章 定款.doc

公 的 年 金 制 度 について 制 度 の 持 続 可 能 性 を 高 め 将 来 の 世 代 の 給 付 水 準 の 確 保 等 を 図 るため 持 続 可 能 な 社 会 保 障 制 度 の 確 立 を 図 るための 改 革 の 推 進 に 関 する 法 律 に 基 づく 社 会 経 済 情

学校教育法等の一部を改正する法律の施行に伴う文部科学省関係省令の整備に関する省令等について(通知)

<819A955D89BF92B28F BC690ED97AA8EBA81418FA48BC682CC8A8890AB89BB816A32322E786C7378>

続 に 基 づく 一 般 競 争 ( 指 名 競 争 ) 参 加 資 格 の 再 認 定 を 受 けていること ) c) 会 社 更 生 法 に 基 づき 更 生 手 続 開 始 の 申 立 てがなされている 者 又 は 民 事 再 生 法 に 基 づき 再 生 手 続 開 始 の 申 立 てがなさ

ていることから それに 先 行 する 形 で 下 請 業 者 についても 対 策 を 講 じることとしまし た 本 県 としましては それまでの 間 に 未 加 入 の 建 設 業 者 に 加 入 していただきますよう 28 年 4 月 から 実 施 することとしました 問 6 公 共 工 事 の

(5) 給 与 制 度 の 総 合 的 見 直 しの 実 施 状 況 について 概 要 の 給 与 制 度 の 総 合 的 見 直 しにおいては 俸 給 表 の 水 準 の 平 均 2の 引 き 下 げ 及 び 地 域 手 当 の 支 給 割 合 の 見 直 し 等 に 取 り 組 むとされている

社会保険の加入に関する下請指導ガイドラインの改訂等について

平 成 27 年 11 月 ~ 平 成 28 年 4 月 に 公 開 の 対 象 となった 専 門 協 議 等 における 各 専 門 委 員 等 の 寄 附 金 契 約 金 等 の 受 取 状 況 審 査 ( 別 紙 ) 専 門 協 議 等 の 件 数 専 門 委 員 数 500 万 円 超 の 受

中国会社法の改正が外商投資企業に与える影響(2)

参 考 様 式 再 就 者 から 依 頼 等 を 受 けた 場 合 の 届 出 公 平 委 員 会 委 員 長 様 年 月 日 地 方 公 務 員 法 ( 昭 和 25 年 法 律 第 261 号 ) 第 38 条 の2 第 7 項 規 定 に 基 づき 下 記 のとおり 届 出 を します この

<4D F736F F D208ED089EF95DB8CAF89C193FC8FF38BB CC8EC091D492B28DB88C8B89CA82C982C282A282C42E646F63>

答申第585号

H28記入説明書(納付金・調整金)8

<4D F736F F D20D8BDB8CFC8BCDED2DDC482A882E682D1BADDCCDFD7B2B1DDBD8B4B92F E646F63>

<4D F736F F D2095BD90AC E D738FEE816A939A905C91E D862E646F63>

2. 会 計 規 程 の 業 務 (1) 規 程 と 実 際 の 業 務 の 調 査 規 程 や 運 用 方 針 に 規 定 されている 業 務 ( 帳 票 )が 実 際 に 行 われているか( 作 成 されている か)どうかについて 調 べてみた 以 下 の 表 は 規 程 の 条 項 とそこに

1

の 購 入 費 又 は 賃 借 料 (2) 専 用 ポール 等 機 器 の 設 置 工 事 費 (3) ケーブル 設 置 工 事 費 (4) 防 犯 カメラの 設 置 を 示 す 看 板 等 の 設 置 費 (5) その 他 設 置 に 必 要 な 経 費 ( 補 助 金 の 額 ) 第 6 条 補

私立大学等研究設備整備費等補助金(私立大学等

一般競争入札について

平成16年年金制度改正 ~年金の昔・今・未来を考える~

質 問 票 ( 様 式 3) 質 問 番 号 62-1 質 問 内 容 鑑 定 評 価 依 頼 先 は 千 葉 県 などは 入 札 制 度 にしているが 神 奈 川 県 は 入 札 なのか?または 随 契 なのか?その 理 由 は? 地 価 調 査 業 務 は 単 にそれぞれの 地 点 の 鑑 定

<4D F736F F D E598BC68A8897CD82CC8DC490B68B7982D18E598BC68A8893AE82CC8A C98AD682B782E993C195CA915B C98AEE82C382AD936F985E96C68B9690C582CC93C197E1915B927582CC898492B75F8E96914F955D89BF8F915F2E646F6

入 札 参 加 者 は 入 札 の 執 行 完 了 に 至 るまではいつでも 入 札 を 辞 退 することができ これを 理 由 として 以 降 の 指 名 等 において 不 利 益 な 取 扱 いを 受 けることはない 12 入 札 保 証 金 免 除 13 契 約 保 証 金 免 除 14 入

第4回税制調査会 総4-1

3. 選 任 固 定 資 産 評 価 員 は 固 定 資 産 の 評 価 に 関 する 知 識 及 び 経 験 を 有 する 者 のうちから 市 町 村 長 が 当 該 市 町 村 の 議 会 の 同 意 を 得 て 選 任 する 二 以 上 の 市 町 村 の 長 は 当 該 市 町 村 の 議

入札公告 機動装備センター

社会保険加入促進計画に盛込むべき内容

国立研究開発法人土木研究所の役職員の報酬・給与等について

している 5. これに 対 して 親 会 社 の 持 分 変 動 による 差 額 を 資 本 剰 余 金 として 処 理 した 結 果 資 本 剰 余 金 残 高 が 負 の 値 となるような 場 合 の 取 扱 いの 明 確 化 を 求 めるコメントが 複 数 寄 せられた 6. コメントでは 親

1. 前 払 式 支 払 手 段 サーバ 型 の 前 払 式 支 払 手 段 に 関 する 利 用 者 保 護 等 発 行 者 があらかじめ 利 用 者 から 資 金 を 受 け 取 り 財 サービスを 受 ける 際 の 支 払 手 段 として 前 払 式 支 払 手 段 が 発 行 される 場 合

学校法人日本医科大学利益相反マネジメント規程

定款

<4D F736F F D208C6F D F815B90A BC914F82CC91CE899E8FF38BB582C982C282A282C42E646F63>

(3) その 他 市 長 が 必 要 と 認 める 書 類 ( 補 助 金 の 交 付 決 定 ) 第 6 条 市 長 は 前 条 の 申 請 書 を 受 理 したときは 速 やかにその 内 容 を 審 査 し 補 助 金 を 交 付 すべきものと 認 めたときは 規 則 第 7 条 に 規 定 す

文化政策情報システムの運用等

<4D F736F F F696E74202D208E9197BF322D31208C9A90DD B835E CC8A C982C282A282C4>

m07 北見工業大学 様式①

<4D F736F F D208DE3905F8D8291AC8B5A8CA48A948EAE89EF8ED0208BC696B18BA492CA8E64976C8F BD90AC E378C8E89FC92F994C5816A>

説 明 内 容 料 金 の 算 定 期 間 と 請 求 の 単 位 について 分 散 検 針 制 日 程 等 別 料 金 料 金 の 算 定 期 間 と 支 払 義 務 発 生 日 日 程 等 別 料 金 の 請 求 スケジュール 料 金 のお 支 払 い 方 法 その 他 各 種 料 金 支 払

4 参 加 資 格 要 件 本 提 案 への 参 加 予 定 者 は 以 下 の 条 件 を 全 て 満 たすこと 1 地 方 自 治 法 施 行 令 ( 昭 和 22 年 政 令 第 16 号 ) 第 167 条 の4 第 1 項 各 号 の 規 定 に 該 当 しない 者 であること 2 会 社

スライド 1

<4D F736F F D208CF689768ED C8FE395FB978E8CEA8BA689EF814592E88ABC2E646F63>

(2) 地 域 の 実 情 に 応 じた 子 ども 子 育 て 支 援 の 充 実 保 育 の 必 要 な 子 どものいる 家 庭 だけでなく 地 域 の 実 情 に 応 じた 子 ども 子 育 て 支 援 の 充 実 のために 利 用 者 支 援 事 業 や 地 域 子 育 て 支 援 事 業 な

Microsoft Word - 佐野市生活排水処理構想(案).doc

財団法人山梨社会保険協会寄付行為

損 益 計 算 書 自. 平 成 26 年 4 月 1 日 至. 平 成 27 年 3 月 31 日 科 目 内 訳 金 額 千 円 千 円 営 業 収 益 6,167,402 委 託 者 報 酬 4,328,295 運 用 受 託 報 酬 1,839,106 営 業 費 用 3,911,389 一

Ⅰ 調 査 の 概 要 1 目 的 義 務 教 育 の 機 会 均 等 その 水 準 の 維 持 向 上 の 観 点 から 的 な 児 童 生 徒 の 学 力 や 学 習 状 況 を 把 握 分 析 し 教 育 施 策 の 成 果 課 題 を 検 証 し その 改 善 を 図 るもに 学 校 におけ

<4D F736F F F696E74202D D382E982B382C68AF1958D8BE090A C98AD682B782E B83678C8B89CA81698CF6955C A2E >

省 九 州 地 方 整 備 局 長 若 しくは 宮 崎 県 知 事 に 意 見 を 提 出 することができる ( 役 員 の 任 命 ) 第 8 条 理 事 長 及 び 監 事 は 宮 崎 県 知 事 が 任 命 する 2 理 事 は 理 事 長 が 任 命 する 3 副 理 事 長 は 理 事 長

工 事 名 能 代 南 中 学 校 体 育 館 非 構 造 部 材 耐 震 改 修 工 事 ( 建 築 主 体 工 事 ) 入 札 スケジュール 手 続 等 期 間 期 日 期 限 等 手 続 きの 方 法 等 1 設 計 図 書 等 の 閲 覧 貸 出 平 成 28 年 5 月 24 日 ( 火

介護保険制度改正にかかる事業所説明会

国 税 クレジットカード 納 付 の 創 設 国 税 のクレジットカード 納 付 については マイナンバー 制 度 の 活 用 による 年 金 保 険 料 税 に 係 る 利 便 性 向 上 に 関 するアクションプログラム( 報 告 書 ) においてその 導 入 の 方 向 性 が 示 されている


為 が 行 われるおそれがある 場 合 に 都 道 府 県 公 安 委 員 会 がその 指 定 暴 力 団 等 を 特 定 抗 争 指 定 暴 力 団 等 として 指 定 し その 所 属 する 指 定 暴 力 団 員 が 警 戒 区 域 内 において 暴 力 団 の 事 務 所 を 新 たに 設

< F2D8AC493C CC81698EF3928D8ED2816A2E6A7464>

(4) 給 与 制 度 の 総 合 的 見 直 しの 実 施 状 況 について 概 要 国 の 給 与 制 度 の 総 合 的 見 直 しにおいては 俸 給 表 の 水 準 の 平 均 2の 引 下 げ 及 び 地 域 手 当 の 支 給 割 合 の 見 直 し 等 に 取 り 組 むとされている.

工 事 名 渟 城 西 小 学 校 体 育 館 非 構 造 部 材 耐 震 改 修 工 事 ( 建 築 主 体 工 事 ) 入 札 スケジュール 手 続 等 期 間 期 日 期 限 等 手 続 きの 方 法 等 1 設 計 図 書 等 の 閲 覧 貸 出 平 成 28 年 2 月 23 日 ( 火

科 売 上 原 価 売 上 総 利 益 損 益 計 算 書 ( 自 平 成 26 年 4 月 1 日 至 平 成 27 年 3 月 31 日 ) 目 売 上 高 販 売 費 及 び 一 般 管 理 費 営 業 利 益 営 業 外 収 益 受 取 保 険 金 受 取 支 援 金 補 助 金 収 入 保

Taro-07-1提言概要.jtd

独立行政法人国立病院機構

「経営者保証に関するガイドライン」に基づく保証債務の整理に係る課税関係の整理

<4D F736F F D2095BD90AC E D738FEE816A939A905C91E D862E646F63>

平成27年度大学改革推進等補助金(大学改革推進事業)交付申請書等作成・提出要領

23信託の会計処理に関する実務上の取扱い

Transcription:

エンタープライズ ロール 管 理 解 説 書 ( 第 2 版 ) 特 定 非 営 利 活 動 法 人 日 本 ネットワークセキュリティ 協 会 標 準 化 部 会 アイデンティティ 管 理 ワーキンググループ 2014 年 7 月 17 日

目 次 1.1. ロール 管 理 の 定 義... 5 1.1.1 ロール 及 びロール 管 理 の 概 念... 5 1.1.2 ロールの 分 類 と 特 徴... 8 1.2. ロール 管 理 の 意 義... 15 1.2.1. ロール 管 理 の 必 要 性 と 効 果... 15 1.2.2. ID 管 理 に 基 づくロール 管 理 の 重 要 性... 16 1.2.3. ロール 管 理 検 討 における 留 意 点... 17 2.1. ロール 管 理 導 入 の 流 れ... 20 2.1.1. 導 入 全 体 の 流 れ... 20 2.1.2. 現 状 調 査 企 画... 21 2.1.3. ロール 設 計... 21 2.1.4. 実 装 方 式 設 計... 21 2.1.5. 実 装 移 行 展 開... 22 2.2. ロール 管 理 導 入 における 課 題... 25 2.2.1. ビジネスロールとその 付 与 ルールの 調 査 時 に 直 面 する 課 題... 25 2.2.2. システム 権 限 とその 付 与 ルールの 調 査 時 に 直 面 する 課 題... 26 2.2.3. アクセス 制 御 の 全 体 ポリシーの 確 認 時 に 直 面 する 課 題... 26 2.2.4. ロールデータの 元 データとその 維 持 管 理 体 制 の 定 義 時 に 直 面 する 課 題... 27 2.2.5. IT ロールのスコープ 定 義 時 に 直 面 する 課 題... 27 2.2.6. IT ロール 付 与 ルールとその 例 外 の 定 義 時 に 直 面 する 課 題... 27 2.3. 現 状 調 査 企 画 フェーズ... 30 2.3.1. 組 織 調 査... 30 2.3.2. 職 務 分 掌 調 査... 32 2.3.3. ライン 型 業 務 調 査... 34 2.3.4. プロジェクト 型 業 務 調 査... 36 2.3.5. 対 象 システム 調 査... 38 2.3.6. 対 象 法 規 制 調 査... 40 2.3.7. 目 的 目 標 の 明 確 化... 42 1 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

2.4. ロール 設 計 フェーズ... 45 2.4.1. Top Down 型 モデリング... 46 2.4.2. Bottom Up 型 モデリング... 49 2.4.3. ハイブリッド 型 モデリング... 51 2.4.4. 組 織 型 ロール 設 計... 52 2.4.5. ライン 型 ロール 設 計... 55 2.4.6. プロジェクト 型 ロール 設 計... 58 2.4.7. システムアクセス 権 限 設 計... 61 2.4.8. IT ロール 設 計... 63 2.5. 実 装 方 式 設 計 フェーズ... 65 2.5.1. プロビジョニング 方 式 設 計... 65 2.5.2. ロール 運 用 設 計... 67 2.5.3. ロール 管 理 対 象 範 囲 の 確 定... 70 2.6. 実 装 移 行 展 開 フェーズ... 72 2.6.1. 実 装 移 行 展 開 の 計 画... 72 2.6.2. 実 装 移 行 展 開 の 実 施... 74 3.1. ロール 管 理 の 適 正 な 運 用 の 重 要 性... 77 3.2. ロール 管 理 運 用 の 観 点... 77 3.2.1. ロールのライフサイクル... 78 3.2.2. ロール 管 理 運 用 フロー... 80 3.2.3. ロール 管 理 運 用 におけるアクタとその 役 割... 86 3.3. トリガイベント 分 類 ごとのロール 管 理 運 用 ガイドライン... 89 3.3.1. トリガイベントが 最 初 に 組 織 型 ロールに 影 響 を 及 ぼすケース... 90 3.3.2. トリガイベントが 最 初 にプロジェクト 型 ロールに 影 響 を 及 ぼすケース... 99 3.3.3. トリガイベントが 最 初 にライン 型 ロールに 影 響 を 及 ぼすケース... 111 3.3.4. トリガイベントが 最 初 にアプリケーションロールに 影 響 を 及 ぼすケース...122 4.1. 金 融 業 の 仮 想 企 業 におけるロール 管 理 導 入 事 例 4.1.1. 金 融 業 の 仮 想 企 業 事 例 の 全 体 像...129 4.1.2. 本 事 例 でロール 管 理 導 入 にあたり 意 識 したポイント...130 4.1.3. 本 事 例 のスコープ...131 4.1.4. 現 状 調 査...132 4.1.5. ロール 設 計...148 2 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

はじめに 本 書 は エンタープライズロール 管 理 について その 基 礎 となる 考 え 方 や 実 施 の 意 義 ID 管 理 システムを 導 入 するにあたって 同 時 に 検 討 すべき ロール 管 理 について 実 用 的 な 導 入 指 針 (ガイドライン)を 示 している 本 書 の 作 成 にあたったワーキングループには ID 管 理 製 品 や ロール 管 理 製 品 の 開 発 販 売 ベンダ 導 入 経 験 のある SIer コンサルタント 等 が 多 数 参 加 してお り 特 定 の 製 品 に 偏 向 しないことを 留 意 しつつも ロール 管 理 を 導 入 するユーザ SIer 等 にとっ て 有 用 となる 知 識 ノウハウを 持 ち 寄 った その 結 果 本 書 はロール 管 理 とは 何 か?から 始 まり ID 管 理 におけるロール 管 理 の 重 要 性 を 解 説 し 実 際 のロール 管 理 の 実 装 ステップをステップごとに 解 説 をおこなっている また ロール 管 理 はその 運 用 が 重 要 になるため 運 用 のガイドラインとなるものを 解 説 した 第 2 版 ではロール 管 理 の 仮 想 企 業 導 入 事 例 を 追 加 し 読 者 がロール 管 理 のプロジェクトを 進 める ためのイメージができるものを 追 加 した これから ロール 管 理 を 導 入 検 討 する 人 には プロジェクトの 推 進 の 準 備 として また 現 在 ID 管 理 やロール 管 理 システムを 導 入 中 の 人 にとっては 現 在 のプロジェクトをよりよくするため のチェック ヒント 集 として 活 用 していただけると 考 えている なお 本 書 は 日 本 ネットワークセキュリティ 協 会 (JNSA) の アイデンティティ 管 理 ワーキンググループ にて 複 数 年 に 渡 って 検 討 した 内 容 となっており ワーキンググループに 参 加 いただいたすべての 方 々のご 協 力 に 深 く 感 謝 する また この 分 野 について 詳 細 に 書 かれた 書 籍 がほとんど 出 版 されておらず その 意 味 でも 本 書 の 内 容 は 多 くの 企 業 に 役 立 つ 内 容 となっている 本 書 があらゆる 企 業 において ロール 管 理 の 適 切 な 導 入 運 用 に 貢 献 できれば 幸 いである 特 定 非 営 利 活 動 法 人 日 本 ネットワークセキュリティ 協 会 標 準 化 部 会 アイデンティティ 管 理 ワーキンググループ リーダ 宮 川 晃 一 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 3

第 1 章 ロール 管 理 とは 1.1. ロール 管 理 の 定 義... 5 1.1.1 ロール 及 びロール 管 理 の 概 念... 5 1.1.2 ロールの 分 類 と 特 徴... 8 1.2. ロール 管 理 の 意 義... 15 1.2.1. ロール 管 理 の 必 要 性 と 効 果... 15 1.2.2. ID 管 理 に 基 づくロール 管 理 の 重 要 性... 16 1.2.3. ロール 管 理 検 討 における 留 意 点... 17 4 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

1.1. ロール 管 理 の 定 義 本 節 では ロール 及 びロール 管 理 の 概 念 やロールの 分 類 と 特 徴 について 説 明 する 1.1.1 ロール 及 びロール 管 理 の 概 念 ロール とは 何 か?ロール(role)は 役 割 と 訳 される 日 本 企 業 では 社 員 のロールつまり 役 割 が 具 体 的 な 職 務 や 権 限 として 明 確 に 定 義 されていることが 少 ないとされ ロールの 概 念 は 定 着 し づらいと 言 われてきた 実 際 例 えば 課 長 の 役 割 の 説 明 を 求 められた 場 合 に 具 体 的 にどのよ うな 職 務 が 課 長 の 担 うべきものなのか 即 列 挙 し 提 示 できる 企 業 は 決 して 多 くはないと 想 像 できる 一 方 で 情 報 システムに 関 わる 人 であれば 何 らかの 形 でロールという 言 葉 を 目 にしたことがある はずであり つまりロールは 情 報 システムのソフトウェアでは 既 に 実 装 されているオブジェクトで もある 今 本 当 に 日 本 でロールは 用 いられていないのか 活 用 される 余 地 が 少 ないのかを 再 考 す るときに 来 ているのである 情 報 システムが 普 遍 化 する 中 ID の 管 理 基 盤 が 整 ってくれば ロー ルの 管 理 活 用 は 必 須 になるというのが 本 ワーキンググループの 見 方 である それでは 情 報 システムにおけるロールがどのようなものなのかを 見 ていくことにする 情 報 シ ステムにおけるロールは ユーザ と 各 種 リソースに 対 するアクセス 権 限 との 間 に 位 置 し 両 者 を 対 応 付 けるための 仲 介 役 的 な 存 在 であるが ユーザから 観 た 場 合 の 実 体 としては 各 種 リ ソースに 対 するアクセス 権 限 の 組 み 合 わせと 考 えることができる 役 割 職 務 という 概 念 を 実 際 に 業 務 を 遂 行 するにあたって 必 要 となる 様 々なリソースに 対 するアクセス 権 限 にブレークダウンし できるだけ 多 くのユーザに 共 通 なアクセス 権 限 の 組 み 合 わせとして 定 義 したものをロールと 捉 える と ロールは 日 常 業 務 と 密 接 に 関 連 する 概 念 であることが 分 かってくる 情 報 システムを 運 用 管 理 する 部 門 では リソースに 対 するアクセス 権 限 をユーザに 付 与 削 除 する 作 業 を 実 は 日 常 的 に 既 に 実 施 しているのは 間 違 いなく それが 煩 雑 で 増 加 する 一 方 の 作 業 であることを 実 感 しているはず である 例 えばファイルサーバのアクセス 権 限 管 理 フォルダやファイルなどに 対 するユーザのアクセス 権 限 の 設 定 は 煩 雑 で 時 間 の 掛 かる 作 業 である 全 員 に 一 律 に 全 てのファイルへの 参 照 更 新 削 除 権 限 を 付 ける 訳 にはいかず 入 退 社 時 はもちろん 異 動 昇 格 といった 人 事 イベントに 応 じて 個 人 ごとに 権 限 の 付 与 削 除 作 業 が 発 生 する 権 限 の 管 理 が 適 切 になされないと 必 要 以 上 の 権 限 をもつ 人 が 増 え 秘 密 情 報 管 理 やコンプライアンス 上 の 問 題 を 招 く 恐 れが 高 くなる このように 個 々 人 に 様 々なリソースへのアクセス 権 限 を 設 定 する 作 業 は ロールを 利 用 すること により 効 率 化 することが 期 待 できる ユーザ 個 人 にはロールを 付 与 し リソースへのアクセス 権 限 の 設 定 はロールに 対 して 行 うことで 同 じロールを 付 与 されている 複 数 のユーザに 対 して 一 纏 めに アクセス 権 限 の 設 定 を 行 えるようになる これによりアクセス 権 限 の 設 定 作 業 が 整 理 効 率 化 され 作 業 がしやすくなることで 不 要 な 権 限 が 付 与 されたままになるといったセキュリティ 上 のリスク エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 5

が 低 減 される 情 報 システムが 欠 かせないビジネスの 現 場 では 実 は ロールの 管 理 活 用 は 既 に 避 けて 通 れない 課 題 となっているのである ユーザー アクセス 権 アクセス 先 リソース 承 認 権 限 入 力 権 限 売 り 上 げ 管 理 承 認 権 限 顧 客 情 報 管 理 入 力 権 限 管 理 職 メニュ 権 限 社 内 ポータル 一 般 メニュー 図 1.1 ロールの 位 置 付 け - ロールが 無 い 状 態 ユーザー ロール アクセス 権 アクセス 先 リソース 承 認 者 ロール 承 認 権 限 入 力 権 限 売 り 上 げ 管 理 営 業 ロール 承 認 権 限 顧 客 情 報 管 理 管 理 職 ロール 入 力 権 限 社 員 共 通 ロール 管 理 職 メニュ 権 限 社 内 ポータル 一 般 メニュー 図 1.2 ロールの 位 置 付 け - ロールを 用 いて 整 理 されている 状 態 6 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

さて 情 報 システムにおけるロールの 概 念 がどのように 生 まれてきて どのように 定 義 されてい るのかについても 触 れておくことにする ロールは 情 報 セキュリティの 分 野 で RBAC(Role-Based Access Control: ロールベース アク セス 制 御 )という 概 念 の 中 に 早 くから 登 場 し 実 装 されている RBAC は ユーザ 単 位 にリソースへ のアクセス 権 限 を 個 別 に 割 り 付 けるのではなく ロールに 基 づいて(ロールを 介 して)リソースへ のアクセス 権 限 を 一 纏 めに 割 り 付 け アクセス 制 御 を 実 現 するモデルである リソースへのアクセ ス 権 限 をロールで 束 ねることにより 数 多 くのユーザおよび 様 々なリソースに 対 して 横 断 的 なアク セス 権 限 管 理 を 実 現 し その 運 用 管 理 を 容 易 にすることができる RBAC についての 主 な 参 考 文 献 参 照 先 は 以 下 の 通 りである Ferraiolo, D.F. and Kuhn, D.R. (10 月 1992 年 ). Role Based Access Control. 15th National Computer Security Conference. pp. 554-563 Sandhu, R., Coyne, E.J., Feinstein, H.L. and Youman, C.E. (8 月 1996 年 ). Role-Based Access Control Models (PDF). IEEE Computer (IEEE Press) 29 (2): 38-47. http://csrc.nist.gov/groups/sns/rbac/ (NIST) Role-Based Access Control ISBN 1-58053-370-1 David F. Ferraiolo, D. Richard Kuhn, and Ramaswamy Chandramouli エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 7

1.1.2 ロールの 分 類 と 特 徴 ロールには 表 現 対 象 使 用 目 的 粒 度 業 務 実 施 形 態 などによって 幾 つかの 分 類 が 存 在 する まず 表 現 対 象 や 使 用 目 的 によって ロールは 大 きく 3 つのレイヤに 分 類 できる (1)ビジネス ロール (2)アプリケーションロール (3)IT ロールである ID 管 理 での 検 討 範 囲 個 人 の ID 情 報 ビジネス ロール 集 1ユーザ 毎 に1つ 以 上 職 務 を 区 分 するためのロール 中 が 割 り 当 てられる 管 理 ITロール 1ユーザ 毎 に1つ 以 上 ヒ シ ネスロールに 応 じたアフ リケーションロールの セットが 割 り 当 てられる 個 別 アプリケーション ロール 管 1ユーザ 毎 に1つ 以 上 アプリケーションに 応 じたロールが 理 割 り 当 てられる アプリケーション システム 設 定 ID 情 報 をアプリケーションに 対 し 直 接 的 に 割 り 当 てると 管 理 性 や 拡 張 性 が 失 われるため レイヤーを 用 いて 管 理 する ビジネスユーザはビジネス ロールを 持 ち ITロールまたはアプリケーショ ンロールにマッピングされる ITユーザはITロールを 持 ち ITロール はアプリケーション ロールにマッピン グされる アプリケーション 管 理 者 はアプリケー ション ロールを 定 義 し それぞれのシ ステム 権 限 にマッピングする 図 1.3 ロールの 3 レイヤ 概 念 図 (1) ビジネスロール ビジネスロールとは 1ユーザごとに1つ 以 上 付 与 される 職 務 を 区 分 するためのロー ルである 日 常 業 務 上 の 役 割 の 概 念 に 最 も 近 く 職 制 などと 関 連 付 けられる 例 えば 課 長 ロールや 部 長 ロールといった 職 位 に 対 応 付 けられるものや 経 理 ロール 営 業 ロールと いった 職 種 部 門 に 対 応 付 けられるものが 考 えられる ロールが 付 与 されるユーザがどのような 職 務 の 人 なのかが 分 かりやすい 反 面 具 体 的 に どのリソースにどのような 権 限 を 持 つ 必 要 があるのかという 整 理 が 難 しい このため 後 述 のアプリケーションロールや IT ロールのような より 具 体 的 なリソースやアクセス 権 限 に 近 い 細 分 化 されたロールを 作 成 し ビジネスロールはアプリケーションロールや IT ロールを 束 ねるロールとして 利 用 する 8 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

(2) アプリケーションロール アプリケーションロールは アプリケーションのリソースへのアクセス 権 限 を 直 接 対 応 付 けるロールである アプリケーションやリソースの 管 理 者 が アプリケーションロール を 定 義 し 各 種 アクセス 権 限 に 対 応 付 ける 例 えば 入 力 参 照 承 認 などの 権 限 と 直 接 関 連 付 けられるロールが 考 えられる (3) IT ロール IT ロールは ビジネスロールとアプリケーションロールの 中 間 に 位 置 する 粒 度 のロー ルで 複 数 のアプリケーションロールを 束 ねる IT ロールは アプリケーションロール が 多 くてビジネスロールとの 直 接 の 対 応 付 けが 複 雑 になる 場 合 に 利 用 する 表 1.1 の 例 では 社 内 ポータルの 各 メニューへのアクセス 権 限 がアプリケーションロー ルに 当 たり 複 数 のアプリケーションロールを 束 ねる IT ロールが 設 定 されている 表 1.1 ビジネスロール アプリケーションロール IT ロールの 例 所 属 企 業 コ ード ビジネス ロール 分 類 職 制 ア パ カ ス ウ ワー ITロール ン ト ド ロッ 初 期 ク 化 解 除 認 証 認 証 基 盤 パ ス ワー ド 変 更 ト ッ プ メ ニ ュー 管 理 職 用 メ ニ ュー ポータル 一 般 職 用 メ ニ ュー 出 向 者 用 メ ニ ュー グ ルー プ 企 業 用 メ ニ ュー 社 内 システム メー ル 社 内 電 話 帳 会 議 室 予 約 ス ケ ジ ュー ル 各 種 申 請 申 請 承 認 管 理 メ ニ ュー 00: 本 社 一 般 役 員 R001 管 理 職 一 般 社 員 R002 出 向 者 R003 システム 部 運 用 管 理 者 R004 ヘルプデスク R005 01:グループ 企 業 スタッフ 管 理 スタッフ R006 一 般 スタッフ R007 受 入 出 向 者 R008 02.その 他 企 業 その 他 受 入 出 向 者 R009 契 約 社 員 協 力 会 社 社 員 R010 ACL ACL001 ACL002 ACL003 ACL004 ACL005 ACL006 ACL007 ACL008 ACL009 ACL010 ACL011 ACL012 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 9

次 に 業 務 実 施 形 態 によって (1)ビジネスロールはさらに 3 つのタイプに 分 類 できる A) 組 織 型 ロール B)ライン 型 ロール C)プロジェクト 型 ロールである A) 組 織 型 ロール 組 織 型 ロールとは 人 事 情 報 などで 定 義 されるユーザの 属 性 によって 定 義 できるロール である ユーザが 所 属 している 組 織 情 報 や ユーザの 職 位 情 報 によって 権 限 が 分 けられる 業 務 に 使 用 する 組 織 情 報 をロールにする 場 合 には 組 織 ツリー 階 層 を 維 持 した 形 でロー ルが 作 成 される 組 織 型 ロールの 例 として 以 下 のようなロールが 考 えられる 組 織 ロール( 総 務 部 ロール システム 開 発 課 ロール 全 社 ロール ) 職 位 ロール( 幹 部 社 員 ロール 部 長 職 ロール 主 任 以 上 ロール ) 社 員 種 別 ロール( 正 社 員 ロール 派 遣 社 員 ロール 協 力 会 社 社 員 ロール ) 拠 点 ロール(A 事 業 所 ロール B 事 業 所 ロール ) 職 責 ロール( 営 業 ロール SE ロール 開 発 者 ロール 運 用 者 ロール ) 上 記 を 組 み 合 わせたロール 組 織 型 ロールの 特 徴 組 織 型 ロールは 企 業 全 体 で 一 意 に 定 められた 人 事 情 報 や 組 織 図 から 作 成 できる ため Top Down で 作 成 し 易 く また ロールを 自 動 作 成 し 易 いという 特 徴 がある 組 織 型 ロールの 考 慮 点 組 織 型 ロールで 特 に 組 織 ロールを 実 装 する 場 合 には 以 下 の 考 慮 が 特 に 必 要 であ る 組 織 階 層 をどの 階 層 レベルまでロールにする 必 要 があるか ( 課 レベルまで 係 レベルまで 等 ) 人 事 情 報 として 保 持 している 階 層 以 下 のレベルまでロールに する 必 要 がある 場 合 には 実 装 しにくくなりメンテナンスが 大 変 になる 組 織 変 更 にどう 対 応 するかを 考 慮 した 上 でロールを 実 装 する 必 要 がある ユー ザが 所 属 している 組 織 コードを 使 って 自 動 化 できるのであれば 比 較 的 メンテ ナンスは 容 易 となる また 引 き 継 ぎ 期 間 や 兼 務 の 扱 いについても 考 慮 する 必 要 がある 組 織 ロールは 入 れ 子 (ロールの 中 に 他 のロールを 含 める 構 造 )となる 場 合 が 多 く 複 雑 になるため 上 位 の 権 限 の 継 承 も 考 慮 する また 部 ロールを 作 成 す る 場 合 部 に 属 する 全 ての 人 に 与 える 権 限 か 部 直 属 の 人 のみに 与 える 権 限 か というように 権 限 の 範 囲 を 考 えておく 必 要 がある 10 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

組 織 をベースにしていても 不 適 切 な 権 限 付 与 になってしまう 場 合 もあるため 注 意 が 必 要 である また 組 織 そのものの 上 下 関 係 包 含 関 係 をどのように 表 現 するのかも 課 題 となる 組 織 型 ロールの 利 用 例 組 織 型 ロールの 利 用 例 として Web 認 証 サーバ の 例 を 示 す 統 合 認 証 サー バでは 認 証 情 報 としてユーザ 情 報 認 可 情 報 として ACL(アクセス 制 御 リスト) を 管 理 する 図 1.4 組 織 型 ロールの 利 用 例 Web 認 証 サーバ エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 11

また 組 織 型 ロールの 利 用 例 として ファイルサーバの 権 限 設 定 例 を 示 す 人 事 情 報 からロールメンバを 自 動 メンテナンスし Active Directory のセキュリティグ ループに 配 信 する ファイルサーバの 権 限 をセキュリティグループに 対 して 与 える ことにより メンテナンスが 自 動 化 される 図 1.5 組 織 型 ロールの 利 用 例 ファイルサーバ B) ライン 型 ロール ライン 型 ロールとは 複 数 の 組 織 が 関 係 する 業 務 に 使 用 され 各 組 織 の 業 務 上 の 役 割 に 応 じて 業 務 フローを 意 識 してロールを 実 装 する また 組 織 や 職 位 とは 関 係 せず 入 力 者 ロールや 承 認 者 ロールのように をする 人 というロールもある ライン 型 ロールの 特 徴 ライン 型 ロールの 特 徴 として 以 下 のようなものがある ロールと 権 限 が 密 接 に 関 連 している 業 務 システムごとに 独 立 したロールが 必 要 となる 場 合 が 多 い 業 務 そのものに 変 更 がない 限 り 変 更 は 少 ない SoD(Segregation of Duties: 職 務 分 掌 )が 求 められることが 多 い それぞれの 組 織 内 でさらに 権 限 が 分 かれることが 多 い 組 織 型 ロールとプロジェクト 型 ロールの 両 方 の 特 徴 を 持 つ 基 幹 業 務 で 使 用 されることが 多 い ライン 型 ロールの 考 慮 点 ライン 型 ロールを 実 装 する 場 合 には 以 下 の 考 慮 が 必 要 である 業 務 フローを 意 識 するため 業 務 分 析 が 不 可 欠 である SoD に 抵 触 しないよう 留 意 しながら 実 装 する 必 要 がある ロールと 職 位 は 必 ずしも 対 応 するとは 限 らない 業 務 上 の 役 割 をロールと して 実 装 するため 部 長 には 必 ず 承 認 者 ロールを 付 与 するとは 限 らず 組 織 の 役 割 として 一 般 社 員 に 承 認 者 ロールを 付 与 する 場 合 も 考 えられる 12 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

ライン 型 ロールの 利 用 例 ライン 型 ロールの 利 用 例 としては 基 幹 業 務 における 申 請 者 ロール 審 査 者 ロール 支 払 者 ロール 承 認 者 ロールなどが 該 当 します 申 請 審 査 支 払 い 承 認 申 請 者 ロール 審 査 者 ロール 支 払 い 者 ロール 承 認 者 ロール 営 業 部 の 正 社 員 企 画 部 の 正 社 員 製 造 部 の 正 社 員 申 請 部 門 の 部 長 購 買 部 の 担 当 購 買 部 の 部 長 役 員 社 長 業 務 の 権 限 に 直 結 して 各 ロールのメンバを 構 成 する 図 1.6 ライン 型 ロールの 利 用 例 基 幹 業 務 ライン C) プロジェクト 型 ロール プロジェクト 型 ロールとは 期 限 付 きの 業 務 (プロジェクト)を 行 う 場 合 などに 使 用 し 組 織 に 跨 ったユーザからメンバが 構 成 されることも 多 く 人 事 情 報 や 組 織 情 報 からは 自 動 で 抽 出 できない その 反 面 ロールの 自 由 度 は 高 くなる プロジェクトメンバのみにアク セス 権 限 を 与 えたい 場 合 に 使 用 するロールであるため プロジェクト 専 用 のロールを 作 る ことがある プロジェクト 型 ロールの 特 徴 プロジェクト 型 ロールは 日 常 業 務 上 プロジェクトを 順 次 実 行 していくような 部 門 もあり Top Down で 作 成 することは 難 しい また ロールメンバのメンテナン スは 手 動 で 行 うことが 多 い プロジェクト 型 ロールの 考 慮 点 プロジェクト 型 ロールを 実 装 する 場 合 には 以 下 の 考 慮 が 必 要 である ロールのメンテナンスが 手 動 となることが 多 く 全 てのプロジェクト 型 ロールを 特 定 の 部 門 のみで 管 理 することは 難 しいため ロールオーナを 定 め ロールの 管 理 を 権 限 委 譲 する 必 要 がある ロールオーナに 与 えられる 権 限 は ロールメンバの 管 理 サブロール( 子 ロール)の 作 成 削 除 ロールの 持 つ 権 限 の 管 理 などである エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 13

複 数 部 門 の 多 くの 人 がロールの 管 理 を 行 うため 不 要 なロールがいつもで も 放 置 されてロールが 増 え 続 ける 傾 向 が 強 く 全 体 の 統 制 が 効 かない 可 能 性 が 高 い よって ロールの 作 成 改 廃 基 準 を 作 成 するなど ロール 管 理 ルールを 定 めることが 重 要 である なお 職 務 分 掌 の 観 点 から ロールの 管 理 責 任 と 実 作 業 実 施 を 分 離 することも 考 慮 する 必 要 がある プロジェクト 型 ロールの 利 用 例 プロジェクト 型 ロールの 利 用 例 としては ファイルサーバのプロジェクト 共 有 フォルダのアクセス 権 限 管 理 などに 使 用 される 営 業 部 企 画 部 製 造 部 検 査 部 AAAさん BBBさん CCCさん DDDさん EEEさん FFFさん GGGさん HHHさん IIIさん JJJさん KKKさん LLLさん MMMさん NNNさん OOOさん PPPさん QQQさん ファイルサーバ プロジェクトロール 組 織 に 跨 ったユーザで プロジェクトのメン バを 構 成 する AAAさん HHHさん KKKさん MMMさん QQQさん 共 有 フォルダの アクセス 権 管 理 に 利 用 プロジェクト 共 有 フォルダ 図 1.7 プロジェクト 型 ロールの 利 用 例 ファイルサーバ 14 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

1.2. ロール 管 理 の 意 義 本 節 では ロール 管 理 の 必 要 性 と 効 果 ID 管 理 に 基 づくロール 管 理 の 重 要 性 ならびにロール 管 理 検 討 における 留 意 点 について 説 明 する 1.2.1. ロール 管 理 の 必 要 性 と 効 果 1.1.1 ロール 及 びロール 管 理 の 概 念 でも 触 れたが ロール 管 理 の 必 要 性 と 効 果 について あ らためて 整 理 しておく 企 業 では 不 正 アクセス 防 止 や 職 務 分 掌 の 対 応 のために 管 理 しているシステムのリソースに 対 し てユーザの 利 用 可 否 を 制 御 しなければならない 利 用 可 否 の 設 定 は 一 度 設 定 すれば 完 了 というわけ ではなく 業 務 上 の 役 割 の 変 更 などに 対 応 して 変 更 できるようにしておく 必 要 がある 柔 軟 に 対 応 できないような 管 理 方 法 では 日 々の 運 用 をおこなうことは 困 難 になる もっとも 原 始 的 な 管 理 方 法 としてユーザの 役 割 とシステムのリソースに 対 するアクセス 権 限 を 1 対 1 で 管 理 する 方 法 がある その 場 合 結 びつき1つ1つを 個 別 管 理 しなければならず 煩 雑 になり やすい 役 割 に 変 更 があった 場 合 には 関 連 するリソースの 権 限 をすべて 変 更 しなければならない ため この 管 理 方 法 における 作 業 負 担 は 高 くなる ユーザやリソースの 権 限 が 増 えると 管 理 する 対 象 が 増 えるため 規 模 が 大 きくなるほど 柔 軟 な 管 理 が 困 難 になる 一 方 ロールを 用 いれば 役 割 を 集 約 して 管 理 することが 可 能 になる 管 理 するレイヤに 合 わせて ビジネスロール IT ロール アプリケーションロールを 作 成 することで 1 対 1 の 管 理 から 解 放 さ れる ロールにより 業 務 上 の 役 割 とリソースの 権 限 の 結 びつけが 単 純 化 され 規 模 に 左 右 されずに 整 理 された 状 態 で 管 理 できるようになる 作 成 したロールには 管 理 している 役 割 に 沿 った 名 前 をつけるため 単 純 にアクセス 権 限 を 設 定 し たときに 比 べるとアクセス 制 御 をしている 内 容 が 把 握 しやすくなる また ロールによって 集 約 で きることで 管 理 対 象 の 数 が 抑 えられるため 変 更 などの 管 理 作 業 の 負 担 を 下 げることができる そ のため ロールを 活 用 することで 変 更 に 対 して 柔 軟 に 対 応 できる 環 境 を 作 り 出 すことができるよう になる エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 15

1.2.2. ID 管 理 に 基 づくロール 管 理 の 重 要 性 ここで ロール 管 理 と ID 管 理 の 関 係 を 整 理 しておきたい ロール 管 理 は ID 管 理 基 盤 を 実 現 した 上 に 組 み 合 わせて 実 現 するのが あるべき 姿 である というのは 1.1.1 ロール 及 びロール 管 理 の 概 念 でも 触 れたように ロールの 概 念 が アク セス 制 御 を 実 現 するための 基 になるものだからである アクセス 制 御 つまり 認 可 は 認 証 に 基 づき 認 証 は 識 別 に 基 づく 識 別 を 実 現 するためのものが ID 管 理 であり よってロール 管 理 は ID 管 理 基 盤 の 上 に 成 り 立 つものと 言 えるのである アクセス 制 御 を 実 現 するためのプロセスを 構 成 する 3 つのステップ: 識 別 - 認 証 - 認 可 とは 何 か 以 下 にあらためて 整 理 しておく (1) 識 別 : 主 体 (ユーザ)が 誰 かを ID に 基 づいて 識 別 する (2) 認 証 : 識 別 した 主 体 (ユーザ)が 本 人 であることを パスワード 等 の 本 人 証 明 情 報 ( 認 証 情 報 )に 基 づいて 確 認 する (3) 認 可 : 認 証 した 主 体 (ユーザ)がリソースへのアクセスを 許 可 されている ことを アクセス 制 御 ( 権 限 ) 情 報 に 基 づいて 確 認 する 上 記 3 つのステップで 必 要 とされるユーザの ID パスワード 等 の 認 証 情 報 アクセス 権 限 情 報 の 基 になるユーザ 属 性 情 報 の 管 理 は ID 管 理 基 盤 が 実 現 するものである そしてロールは アク セス 権 限 情 報 の 基 になるユーザ 属 性 情 報 を 基 に ユーザに 付 与 するものである したがって ロー ル 管 理 を ID 管 理 基 盤 の 上 に 組 み 合 わせて 実 現 することは 至 極 合 理 的 なことなのである ID 管 理 とロール 管 理 が 透 過 的 に 連 携 することにより 以 下 に 挙 げるようなメリットも 得 ること ができる ID 管 理 基 盤 には ライフサイクル 管 理 属 性 情 報 管 理 プロビジョニング などの 機 能 があり これらを 活 用 することでロール 管 理 の 運 用 負 荷 を 下 げることが 可 能 になる 例 えば ユーザの 属 性 変 更 に 合 わせて 自 動 的 にロールの 割 り 当 てを 行 うことが 可 能 になる ID 情 報 管 理 の 証 跡 と 対 応 付 けたロール 管 理 の 証 跡 把 握 など 他 の 運 用 面 でもメリットを 得 ることができる 16 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

1.2.3. ロール 管 理 検 討 における 留 意 点 ID 管 理 システムと 一 緒 にロール 管 理 を 行 うメリットを 説 明 したが 実 際 に ID 管 理 システムを 導 入 している 企 業 においてもビジネスロールに 基 づいたロール 制 御 までを 実 装 しているケースはまだ 多 くない 例 えばロールを 細 かく 設 計 し 実 装 して 自 動 化 したとしても 日 々 運 用 が 楽 になる 一 方 で 実 装 が 複 雑 になりすぎ 柔 軟 性 が 失 われビジネスロジックの 変 更 に 対 応 できなくなる その 結 果 システム 全 体 の 運 用 が 複 雑 になり 別 の 部 分 で 管 理 負 荷 を 招 いてしまうことがある 一 元 的 に 管 理 することのメリットはあるものの メインの 課 題 解 決 と 乖 離 しないように 実 装 と 運 用 のバランスをもってロール 管 理 を 考 える 必 要 がある( 図 1.8 を 参 照 ) 図 1.8 ID 管 理 とロール 管 理 のバランス エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 17

第 2 章 ロール 管 理 導 入 指 針 2.1. ロール 管 理 導 入 の 流 れ... 20 2.1.1. 導 入 全 体 の 流 れ... 20 2.1.2. 現 状 調 査 企 画... 21 2.1.3. ロール 設 計... 21 2.1.4. 実 装 方 式 設 計... 21 2.1.5. 実 装 移 行 展 開... 22 2.2. ロール 管 理 導 入 における 課 題... 25 2.2.1. ビジネスロールとその 付 与 ルールの 調 査 時 に 直 面 する 課 題... 25 2.2.2. システム 権 限 とその 付 与 ルールの 調 査 時 に 直 面 する 課 題... 26 2.2.3. アクセス 制 御 の 全 体 ポリシーの 確 認 時 に 直 面 する 課 題... 26 2.2.4. ロールデータの 元 データとその 維 持 管 理 体 制 の 定 義 時 に 直 面 する 課 題... 27 2.2.5. IT ロールのスコープ 定 義 時 に 直 面 する 課 題... 27 2.2.6. IT ロール 付 与 ルールとその 例 外 の 定 義 時 に 直 面 する 課 題... 27 2.3. 現 状 調 査 企 画 フェーズ... 30 2.3.1. 組 織 調 査... 30 2.3.2. 職 務 分 掌 調 査... 32 2.3.3. ライン 型 業 務 調 査... 34 2.3.4. プロジェクト 型 業 務 調 査... 36 2.3.5. 対 象 システム 調 査... 38 2.3.6. 対 象 法 規 制 調 査... 40 2.3.7. 目 的 目 標 の 明 確 化... 42 2.4. ロール 設 計 フェーズ... 45 2.4.1. Top Down 型 モデリング... 46 2.4.2. Bottom Up 型 モデリング... 49 2.4.3. ハイブリッド 型 モデリング... 51 2.4.4. 組 織 型 ロール 設 計... 52 2.4.5. ライン 型 ロール 設 計... 55 2.4.6. プロジェクト 型 ロール 設 計... 58 2.4.7. システムアクセス 権 限 設 計... 61 2.4.8. IT ロール 設 計... 63 2.5. 実 装 方 式 設 計 フェーズ... 65 2.5.1. プロビジョニング 方 式 設 計... 65 2.5.2. ロール 運 用 設 計... 67 2.5.3. ロール 管 理 対 象 範 囲 の 確 定... 70 18 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

2.6. 実 装 移 行 展 開 フェーズ... 72 2.6.1. 実 装 移 行 展 開 の 計 画... 72 2.6.2. 実 装 移 行 展 開 の 実 施... 74 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 19

2.1. ロール 管 理 導 入 の 流 れ 前 節 までで ロール 管 理 とは 何 か そして ID 管 理 におけるロール 管 理 の 重 要 性 について 説 明 し てきた この 後 は ロール 管 理 の 導 入 を 実 際 に 進 める 過 程 の 全 体 像 を 説 明 してから それらの 過 程 における 課 題 やその 解 決 の 進 め 方 について 掘 り 下 げて 説 明 していく 本 節 では ロール 管 理 導 入 過 程 の 全 体 像 ( 概 要 )について 説 明 する 2.1.1. 導 入 全 体 の 流 れ ロール 管 理 導 入 過 程 の 全 体 は 以 下 に 示 す 流 れになる (1) 現 状 調 査 企 画 (2) ロール 設 計 (3) 実 装 方 式 設 計 (4) 実 装 移 行 展 開 現 状 調 査 企 画 ロール 設 計 実 装 方 式 設 計 実 装 移 行 展 開 図 2.1 ロール 管 理 導 入 全 体 の 流 れ まず ロール 管 理 に 関 する 現 状 がどうなっているのか 調 査 確 認 する 必 要 がある そして ロール 管 理 導 入 の 目 的 と 目 指 すべき 目 標 像 を 明 確 化 する 次 に 現 状 調 査 の 結 果 と 目 指 すべきロール 管 理 の 目 標 像 を 踏 まえて どんなロールを 用 いるのか を 検 討 設 計 する そして これら 設 計 したロールを 用 いて ロール 管 理 をどのように 実 装 運 用 するのかを 検 討 設 計 する 最 後 に 設 計 したロール 管 理 の 実 装 移 行 展 開 をどのように 進 めるべきかを 計 画 し それを 実 施 する これら 導 入 過 程 の 各 フェーズにおいて どのようなタスクが 必 要 となるかについて 概 要 を 以 下 に 説 明 する 20 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

2.1.2. 現 状 調 査 企 画 ロール 管 理 に 関 する 現 状 を 調 査 し 企 画 するフェーズにおいては 以 下 に 挙 げるタスクが 必 要 と なる (1) 組 織 調 査 (2) 職 務 分 掌 調 査 (3) ライン 型 ( 定 型 部 署 別 ) 業 務 調 査 (4) プロジェクト 型 ( 期 間 限 定 部 署 横 断 ) 業 務 調 査 (5) 対 象 システム 調 査 (6) 対 象 法 規 制 調 査 (7) 目 的 目 標 像 の 明 確 化 2.1.3. ロール 設 計 現 状 調 査 の 結 果 と 目 指 すべきロール 管 理 の 目 標 像 を 踏 まえて どんなロールを 用 いるのかを 検 討 設 計 するフェーズにおいては 以 下 に 挙 げるタスクが 必 要 となる (1) 組 織 型 ロール 設 計 (2) ライン 型 ロール 設 計 (3) プロジェクト 型 ロール 設 計 (4) システムアクセス 権 限 設 計 (5) IT ロール 設 計 2.1.4. 実 装 方 式 設 計 設 計 したロールを 用 いて ロール 管 理 をどのように 実 装 運 用 するのかを 検 討 設 計 するフェー ズにおいては 以 下 に 挙 げるタスクが 必 要 となる (1) プロビジョニング 方 式 設 計 (2) ロール 運 用 設 計 (3) ロール 管 理 対 象 範 囲 の 確 定 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 21

2.1.5. 実 装 移 行 展 開 設 計 したロール 管 理 の 実 装 移 行 展 開 をどのように 進 めるべきかを 計 画 し それを 実 施 する フェーズにおいては 以 下 に 挙 げるタスクが 必 要 となる (1) 実 装 移 行 展 開 の 計 画 (2) 実 装 移 行 展 開 の 実 施 現 状 調 査 企 画 ロール 設 計 実 装 方 式 設 計 実 装 移 行 展 開 組 織 調 査 組 織 型 ロール 設 計 プロビジョニング 方 式 設 計 実 装 移 行 展 開 計 画 職 務 分 掌 調 査 ライン 型 業 務 ( 部 署 別 ) 調 査 プロジェクト 型 ライン 型 ロール 設 計 プロジェクト 型 ロール 設 計 ロール 運 用 設 計 ロール 管 理 対 象 範 囲 の 確 定 実 装 移 行 展 開 実 施 業 務 調 査 対 象 システム 調 査 システムアクセス 権 限 設 計 対 象 法 規 制 調 査 ITロール 設 計 図 2.2 ロール 管 理 導 入 過 程 のフェーズおよびタスク 22 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

各 工 程 の 概 要 各 工 程 の 概 要 を 以 下 に 示 す 表 2.1 各 工 程 の 概 要 と 成 果 物 例 工 程 名 概 要 成 果 物 例 現 状 調 査 企 画 フェーズ 組 織 調 査 職 務 分 掌 調 査 ライン 型 業 務 調 査 プロジェクト 型 業 務 調 査 対 象 システム 調 査 対 象 法 規 制 調 査 目 的 目 標 像 の 明 確 化 ロール 設 計 フェーズ TopDown 型 モデリング BottomUp 型 モデリング ハイブリッド 型 モデリング ロール 設 計 に 必 要 なインプットとな る 組 織 体 制 階 層 等 を 洗 い 出 す ロール 設 計 に 必 要 なインプットとな る 職 務 分 掌 を 洗 い 出 す ロール 設 計 に 必 要 なインプットとな るライン 型 業 務 のロールを 洗 い 出 す ロール 設 計 に 必 要 なインプットとな るプロジェクト 型 業 務 のロールを 洗 い 出 す ロール 設 計 に 必 要 なインプットとな る 対 象 システムに 現 在 設 定 されてい る 権 限 情 報 を 洗 い 出 す ロール 設 計 に 影 響 をあたえる 法 規 制 について 調 査 する ロール 管 理 実 装 における 目 的 目 標 像 を 明 確 化 する 工 程 ではない 工 程 ではない 工 程 ではない 調 査 メモ 調 査 メモ 調 査 メモ 調 査 メモ 調 査 メモ 調 査 メモ ロール 管 理 導 入 計 画 組 織 型 ロール 設 計 組 織 型 ロールを 設 計 する ロール 設 計 書 ライン 型 ロール 設 計 ライン 型 ロールを 設 計 する ロール 設 計 書 プロジェクト 型 ロール 設 計 プロジェクト 型 ロールを 設 計 する ロール 設 計 書 システムアクセス 権 限 設 計 システムアクセス 権 限 の 設 計 をす る ロール 設 計 書 IT ロール 設 計 IT ロールの 設 計 をする ロール 設 計 書 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 23

実 装 方 式 設 計 フェーズ プロビジョニング 方 式 設 計 ロール 運 用 設 計 ロール 管 理 対 象 範 囲 の 確 定 実 装 移 行 展 開 フェーズ 実 装 移 行 展 開 計 画 ロールを 対 象 システムに 配 布 する 方 法 について 検 討 設 計 をする ロールのライフサイクルの 検 討 とそ れに 伴 う 運 用 の 検 討 を 行 う ロール 管 理 を 行 うシステムの 対 象 範 囲 を 決 定 する ロール 管 理 システムについての 実 装 移 行 展 開 計 画 を 立 案 する プロビジョニング 方 式 設 計 書 ロール 運 用 設 計 書 検 討 メモ 移 行 展 開 計 画 書 実 装 移 行 展 開 実 施 ロール 管 理 システムの 実 装 移 行 ( 特 に 定 義 せず) 展 開 を 実 行 する 2.3 節 以 降 において 各 タスクの 目 的 と 前 提 条 件 期 待 される 成 果 物 と 具 体 的 な 作 業 について 記 述 する 24 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

2.2. ロール 管 理 導 入 における 課 題 前 節 では ロール 管 理 導 入 過 程 の 全 体 像 ( 概 要 )について 説 明 した この 後 は ロール 管 理 導 入 過 程 における 課 題 やその 解 決 の 進 め 方 について 掘 り 下 げて 説 明 していく 本 節 では ロール 管 理 導 入 の 検 討 を 進 めようとした 時 に どのような 課 題 に 直 面 するかについて 例 を 挙 げて 説 明 する 後 節 以 降 で 説 明 する 導 入 過 程 の 各 フェーズにおいては 本 節 で 説 明 する 課 題 を 意 識 しながら 検 討 を 進 める 必 要 がある 2.2.1. ビジネスロールとその 付 与 ルールの 調 査 時 に 直 面 する 課 題 現 状 調 査 企 画 フェーズにおいて ビジネスロールとして 何 があるか およびそのビジネスロー ルを 付 与 する 際 のルールに 関 する 調 査 を 進 める 時 には 以 下 に 挙 げる 課 題 に 直 面 する (1) ビジネスロールは 組 織 に 応 じて 様 々である (2) ビジネスロールの 定 義 が 曖 昧 な 場 合 がある (3) 兼 務 や 委 任 / 代 行 が 多 く それに 伴 いビジネスロール 付 与 ルールの 例 外 が 多 く 存 在 する 場 合 がある (4) 委 任 か 代 行 かにより 責 任 の 所 在 が 異 なり ロールの 扱 いを 変 えなければならない 場 合 が ある (5) これらの 課 題 を 踏 まえて 調 査 検 討 を 進 める 必 要 がある エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 25

2.2.2. システム 権 限 とその 付 与 ルールの 調 査 時 に 直 面 する 課 題 現 状 調 査 企 画 フェーズにおいて システム 権 限 として 何 があるか およびそのシステム 権 限 を 付 与 する 際 のルールに 関 する 調 査 を 進 める 時 には 以 下 に 挙 げる 課 題 に 直 面 する (1) システム 権 限 および 権 限 付 与 ルールはシステムに 応 じて 様 々である (2) 例 外 的 な 権 限 付 与 が 実 施 されている 場 合 がある これらの 課 題 を 踏 まえて 調 査 検 討 を 進 める 必 要 がある 補 足 )システム 実 装 上 の 制 約 により システム 上 での 権 限 付 与 ( 設 定 )はロールを 用 いて 行 うこ とができず ユーザごとに 行 わなければならない 場 合 がある このようなシステム 個 別 の 実 装 対 応 は ロール 管 理 実 装 の 外 で 個 別 インタフェース 実 装 の 仕 方 として 埋 めるべき 部 分 であり ロール 管 理 実 装 の 中 では 詳 しく 論 じない 2.2.3. アクセス 制 御 の 全 体 ポリシーの 確 認 時 に 直 面 する 課 題 現 状 調 査 企 画 フェーズにおいて アクセス 制 御 の 全 体 ポリシーに 関 する 確 認 を 進 める 時 には 以 下 に 挙 げる 課 題 に 直 面 する (1) 実 際 のビジネスロールやシステム 権 限 付 与 が 全 体 ポリシーと 不 整 合 を 起 こしている 場 合 がある (2) 全 体 ポリシーが 実 態 に 合 っているかを 確 認 するために アクセス 制 御 対 象 となる 情 報 資 産 すべての 棚 卸 しが 必 要 になる 場 合 がある これらの 課 題 を 踏 まえて 確 認 検 討 を 進 める 必 要 がある 26 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

2.2.4. ロールデータの 元 データとその 維 持 管 理 体 制 の 定 義 時 に 直 面 する 課 題 ロール 設 計 フェーズにおいて ロールデータの 元 データをどのデータソースのものにするか お よびその 維 持 管 理 体 制 の 定 義 を 進 める 時 には 以 下 に 挙 げる 課 題 に 直 面 する (1) ロールデータの 元 データが 存 在 しない あるいは 存 在 しても 維 持 管 理 が 実 施 できていない 場 合 がある (2) 維 持 管 理 の 組 織 への 割 り 当 てが 難 航 する 場 合 がある これらの 課 題 を 踏 まえて 検 討 定 義 を 進 める 必 要 がある 補 足 )ロールデータの 元 データの 維 持 管 理 が 実 施 できていない 場 合 として 単 純 に 実 施 できてい ない 場 合 の 他 に データのオーナ= 維 持 管 理 責 任 者 が 明 確 に 定 められていない あるいは 名 目 的 に 定 められていても 実 質 的 にはガバナンスが 利 いておらずデータの 整 合 が 取 れていないなどの 場 合 がある 2.2.5. IT ロールのスコープ 定 義 時 に 直 面 する 課 題 ロール 設 計 フェーズにおいて IT ロールのスコープ 定 義 を 進 める 時 には 以 下 に 挙 げる 課 題 に 直 面 する (1) IT ロールとして 共 通 管 理 する 範 囲 や 粒 度 の 落 としどころの 調 整 が 難 しい これらの 課 題 を 踏 まえて 検 討 定 義 を 進 める 必 要 がある 補 足 ) 共 通 管 理 する 意 味 のない 特 殊 なロールは IT ロールとして 管 理 するスコープには 含 めず システム 個 別 に 管 理 する という 整 理 の 仕 方 もある ( 例 えば 組 織 横 断 の 一 時 的 なプロジェクト 業 務 担 当 などの 場 合 ) 2.2.6. IT ロール 付 与 ルールとその 例 外 の 定 義 時 に 直 面 する 課 題 ロール 設 計 フェーズにおいて IT ロールを 付 与 する 際 のルール およびその 例 外 の 定 義 を 進 め る 時 には 以 下 に 挙 げる 課 題 に 直 面 する エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 27

(1) IT ロール 付 与 ルールの 例 外 をどこまで 認 めるか セキュリティ ガバナンスと 運 用 のバ ランスを 取 る 必 要 がある これらの 課 題 を 踏 まえて 検 討 定 義 を 進 める 必 要 がある 表 2.2 ロール 管 理 導 入 における 課 題 タスク ビジネスロールおよび ビジネスロール 付 与 ルールの 調 査 システム 権 限 および 権 限 付 与 ルールの 調 査 アクセス 制 御 の 全 体 ポ リシーの 確 認 ロールデータの 元 デー タおよび 維 持 管 理 体 制 の 定 義 IT ロールのスコープ 定 義 課 題 ビジネスロールは 組 織 に 応 じて 様 々である ビジネスロールの 定 義 が 曖 昧 な 場 合 がある 兼 務 や 委 任 / 代 行 が 多 く それに 伴 いビジネス ロール 付 与 ルールの 例 外 が 多 く 存 在 する 場 合 が ある 委 任 か 代 行 かにより 責 任 の 所 在 が 異 なり ロールの 扱 いを 変 えなければならない 場 合 があ る システム 権 限 および 権 限 付 与 ルールはシステム に 応 じて 様 々である 例 外 的 な 権 限 付 与 が 実 施 されている 場 合 があ る 実 際 のビジネスロールやシステム 権 限 付 与 が 全 体 ポリシーと 不 整 合 を 起 こしている 場 合 があ る 全 体 ポリシーが 実 態 に 合 っているかを 確 認 する ために アクセス 制 御 対 象 となる 情 報 資 産 すべ ての 棚 卸 しが 必 要 になる 場 合 がある ロールデータの 元 データが 存 在 しない あるい は 存 在 しても 維 持 管 理 が 実 施 できていない 場 合 がある 維 持 管 理 の 組 織 への 割 り 当 てが 難 航 する 場 合 が ある IT ロールとして 共 通 管 理 する 範 囲 や 粒 度 の 落 としどころの 調 整 が 難 しい IT ロール 付 与 ルールお よび 例 外 の 定 義 IT ロール 付 与 ルールの 例 外 をどこまで 認 める か セキュリティ ガバナンスと 運 用 のバラン スを 取 る 必 要 がある 28 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

まとめ 1. ロール 管 理 導 入 の 検 討 を 進 める 時 の 課 題 として 表 2.2 に 挙 げるものが 存 在 する 2. ここに 挙 げた 課 題 を 踏 まえて 調 査 検 討 設 計 を 進 める 必 要 がある エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 29

2.3. 現 状 調 査 企 画 フェーズ このフェーズでは ロール 管 理 を 行 うにあたって ロール 設 計 のインプット となる 情 報 の 調 査 を 行 う また ロール 管 理 を 企 画 するにあたって ロール 管 理 導 入 の 目 的 や 目 指 すべき 目 標 像 を 明 確 化 する 2.3.1. 組 織 調 査 (1) 目 的 本 タスクの 目 的 はロール 設 計 を 行 う 上 で 重 要 なインプットとなる 組 織 体 制 階 層 を 洗 い 出 すことにある 表 2.3 目 的 目 的 具 体 的 内 容 1 組 織 情 報 の 取 得 組 織 体 制 図 の 調 査 職 位 等 の 階 層 情 報 の 調 査 体 制 図 に 記 述 されていない 委 員 会 組 織 や 部 署 内 のチーム レベルの 体 制 等 についての 調 査 同 時 に 人 事 異 動 組 織 変 更 のタイミングなどを 調 査 する また 組 織 内 の 雇 用 形 態 や 関 連 する 規 程 についても 調 査 を 行 う (2) 前 提 条 件 本 項 目 の 前 提 となるインプット 情 報 は 下 記 の 通 りである 表 2.4 前 提 となるインプット 情 報 インプット 情 報 1 社 内 組 織 図 人 事 課 部 署 内 体 制 図 関 連 規 程 利 用 方 法 / 必 要 性 (ベース 資 料 ) 30 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

(3) 留 意 事 項 本 項 目 の 留 意 事 項 は 以 下 の 通 りである 表 2.5 留 意 事 項 項 目 内 容 1 調 査 の 粒 度 あまりに 細 かい 体 制 までを 調 査 した 場 合 に 組 織 の 延 べ 数 が 膨 大 になる 可 能 性 がある あくまで ロール= 権 限 のベース であるため 業 務 遂 行 上 の 権 限 が 異 なる 組 織 情 報 を 洗 い 出 すことに 留 意 する (4) 具 体 的 な 内 容 下 記 のような 情 報 を 収 集 する 表 2.6 収 集 する 情 報 作 業 項 目 作 業 内 容 1 組 織 部 署 構 成 調 査 ( 役 職 階 層 含 む) 社 内 組 織 図 部 署 内 の 体 制 図 などを 収 集 し それぞ れの 組 織 の 名 称 業 務 内 容 の 概 要 などをまとめる また 組 織 の 上 下 関 係 (レポートライン) 役 職 階 層 に 関 わる 情 報 についても 調 査 を 行 う 2 拠 点 等 調 査 組 織 が 複 数 拠 点 ある 場 合 には 業 務 としての 組 織 と は 別 に 拠 点 ごとの 組 織 体 制 役 職 等 がある 場 合 が 多 いため それらの 情 報 について 調 査 を 行 う 3 雇 用 形 態 等 調 査 組 織 内 の 人 員 としては 正 社 員 契 約 社 員 嘱 託 派 遣 パート 委 託 先 といった 雇 用 形 態 が 考 えられ それぞれで 権 限 が 異 なる 場 合 も 多 いので それらの 雇 用 形 態 について 調 査 を 行 う 4 関 連 社 内 規 程 調 査 組 織 人 事 に 関 連 する 社 内 規 程 について 調 査 を 行 う 特 に 組 織 図 には 記 載 されないが 社 内 規 程 で 定 めらる 組 織 ( 委 員 会 等 )に 注 意 する エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 31

(5) 成 果 物 本 段 階 の 成 果 物 は 以 下 の 通 りである 表 2.7 成 果 物 一 覧 成 果 物 内 容 1 調 査 メモ( 組 織 ) 組 織 の 一 覧 組 織 図 等 2.3.2. 職 務 分 掌 調 査 (1) 目 的 本 タスクの 目 的 はロール 設 計 を 行 う 上 で 重 要 なインプットとなる 職 務 分 掌 を 洗 い 出 すことにある 表 2.8 目 的 目 的 具 体 的 内 容 1 職 務 分 掌 情 報 の 調 査 職 務 分 掌 は 組 織 内 組 織 間 をまたがる 業 務 におい て 誰 が(どこが)どのような 業 務 を 行 っているの か?また 申 請 承 認 などの 権 限 はどうなっている のかを 調 査 し 最 終 的 にロールに 反 映 することを 目 的 とする (2) 前 提 条 件 本 項 目 の 前 提 となるインプット 情 報 は 下 記 の 通 りである 表 2.9 前 提 となるインプット 情 報 インプット 情 報 1 職 務 分 掌 表 業 務 フロー 業 務 マニュア 手 順 書 社 内 帳 票 関 連 社 内 規 程 ヒアリング 関 連 業 務 システムのア クセス 権 限 情 報 利 用 方 法 / 必 要 性 業 務 における 権 限 もしくは 業 務 における 作 業 内 容 が 記 述 されているため それらの 資 料 がない 場 合 には 現 場 へのヒアリング を 通 して 必 要 な 情 報 を 得 る 32 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

(3) 留 意 事 項 本 項 目 の 留 意 事 項 は 以 下 の 通 りである 表 2.10 留 意 事 項 項 目 内 容 1 調 査 の 粒 度 あまりに 細 かいレベルまで 調 査 した 場 合 に 調 査 の 工 数 負 荷 が 膨 大 になる 可 能 性 がある 2 情 報 の 正 確 性 職 務 分 掌 表 業 務 フロー 手 順 書 等 に 書 かれた 情 報 が 正 確 であるとは 限 らず 実 際 の 現 場 では 違 う 形 権 限 で 行 われているか システム 上 の 権 限 との 齟 齬 がある 場 合 がある (4) 具 体 的 な 内 容 下 記 のような 情 報 を 収 集 する 表 2.11 収 集 する 情 報 作 業 項 目 作 業 内 容 1 職 務 分 掌 調 査 インプットを 収 集 調 査 し 各 業 務 における 職 務 権 限 情 報 を 抽 出 する また 各 権 限 を 保 有 する 組 織 階 層 などについても 調 査 をしておく (5) 成 果 物 本 段 階 の 成 果 物 は 以 下 の 通 りである 表 2.12 成 果 物 一 覧 成 果 物 1 調 査 メモ( 職 務 分 掌 ) 内 容 職 務 分 掌 の 一 覧 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 33

2.3.3. ライン 型 業 務 調 査 (1) 目 的 本 タスクの 目 的 はロール 設 計 を 行 う 上 で 重 要 なインプットとなるライン 型 業 務 のロール 情 報 を 洗 い 出 すことにある 表 2.13 目 的 目 的 具 体 的 内 容 1 ライン 型 業 務 の 調 査 ライン 型 業 務 は 組 織 内 組 織 間 をまたがる 業 務 に おいて 各 組 織 担 当 者 の 作 業 内 容 権 限 が 決 まる それらの 作 業 内 容 権 限 がロールのインプットとな るため それを 調 査 する (2) 前 提 条 件 本 項 目 の 前 提 となるインプット 情 報 は 下 記 の 通 りである 表 2.14 前 提 となるインプット 情 報 インプット 情 報 1 業 務 フロー 業 務 マニュア 手 順 書 関 連 帳 票 ヒアリング 業 務 システムのアクセ ス 権 限 情 報 利 用 方 法 / 必 要 性 業 務 における 権 限 もしくは 業 務 における 作 業 内 容 が 記 述 されているため それらの 資 料 がない 場 合 には 現 場 へのヒアリング を 通 して 必 要 な 情 報 を 得 る (3) 留 意 事 項 本 項 目 の 留 意 事 項 は 以 下 の 通 りである 表 2.15 留 意 事 項 項 目 内 容 1 調 査 の 粒 度 あまりに 細 かいレベルまで 調 査 した 場 合 に 調 査 の 工 数 負 荷 が 膨 大 になる 可 能 性 がある 2 情 報 の 正 確 性 業 務 フロー 手 順 書 等 に 書 かれた 情 報 が 正 確 であると は 限 らず 実 際 の 現 場 では 違 う 形 権 限 で 行 われてい るか システム 上 の 権 限 との 齟 齬 がある 場 合 がある 34 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

(4) 具 体 的 な 内 容 下 記 のような 情 報 を 収 集 する 表 2.16 収 集 する 情 報 作 業 項 目 作 業 内 容 1 ライン 型 業 務 調 査 インプットを 収 集 調 査 し 各 業 務 における 職 務 権 限 情 報 を 抽 出 する また 各 権 限 を 保 有 する 組 織 階 層 などについても 調 査 をしておく (5) 成 果 物 本 段 階 の 成 果 物 は 以 下 の 通 りである 表 2.17 成 果 物 一 覧 成 果 物 1 調 査 メモ(ライン 型 業 務 ) 内 容 業 務 フロー 権 限 役 割 等 についてのメモ エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 35

2.3.4. プロジェクト 型 業 務 調 査 (1) 目 的 本 タスクの 目 的 はロール 設 計 を 行 う 上 で 重 要 なインプットとなるプロ ジェクト 型 業 務 のロール 情 報 を 洗 い 出 すことにある 表 2.18 目 的 目 的 1 プロジェクト 型 業 務 の 調 査 具 体 的 内 容 プロジェクト 型 業 務 は 既 存 の 組 織 の 枠 にとらわれ ずにプロジェクトチームを 結 成 し そのプロジェク トチームにおいて 一 定 期 間 行 われる 業 務 である そ のため 既 存 の 組 織 図 等 には 表 れないことが 多 い それらのプロジェクトにおける 役 割 権 限 をベース としたロールを 抽 出 することを 目 的 とする (2) 前 提 条 件 本 項 目 の 前 提 となるインプット 情 報 は 下 記 の 通 りである 表 2.19 前 提 となるインプット 情 報 インプット 情 報 1 プロジェクト 体 制 図 ヒアリング 利 用 方 法 / 必 要 性 組 織 内 に 存 在 するプロジェクトのタイプを 洗 いだ し それぞれのタイプごとにプロジェクトの 体 制 プロジェクト 内 の 役 割 等 を 洗 い 出 す (3) 留 意 事 項 本 項 目 の 留 意 事 項 は 以 下 の 通 りである 表 2.20 留 意 事 項 項 目 内 容 1 調 査 の 粒 度 プロジェクトの 数 が 少 なければ 全 てを 調 べても 構 わないが プロジェクトの 数 が 多 い 場 合 には プロ ジェクトタイプごとに 典 型 的 なプロジェクトについ て 調 査 をする もしくはサンプリングによる 調 査 を するようにしたほうがよい 36 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

(4) 具 体 的 な 内 容 下 記 のような 情 報 を 収 集 する 表 2.21 収 集 する 情 報 作 業 項 目 作 業 内 容 1 プロジェクトタイプ 洗 い 出 し 組 織 内 においてどのようなタイプのプロジェクトの タイプがあるかを 調 査 する 例 ) 毎 年 実 施 する 委 員 会 のようなもの 特 定 顧 客 案 件 対 応 プロジェクト 社 内 向 け/ 社 外 向 け 2 プロジェクト 体 制 確 認 プロジェクトタイプごとに 典 型 的 なプロジェクト についてプロジェクト 体 制 図 の 閲 覧 ヒアリング 等 を 通 じて プロジェクトチーム 内 の 権 限 役 割 につ いて 調 査 整 理 をする (5) 成 果 物 本 段 階 の 成 果 物 は 以 下 の 通 りである 表 2.22 成 果 物 一 覧 成 果 物 1 調 査 メモ(プロジェクト 型 業 務 ) 内 容 プロジェクト 型 業 務 における 権 限 役 割 等 につ いてのメモ エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 37

2.3.5. 対 象 システム 調 査 (1) 目 的 本 タスクの 目 的 はロール 設 計 を 行 う 上 で 重 要 なインプットとなる 対 象 シ ステムに 現 在 設 定 されている 権 限 情 報 を 洗 い 出 すことにある 表 2.23 目 的 目 的 具 体 的 内 容 1 対 象 システム 調 査 ロール 管 理 の 対 象 システムにおける 現 在 のアクセス 権 限 管 理 情 報 の 内 容 を 洗 い 出 す また 現 状 のロールの 運 用 管 理 がどのように 行 われ ているかを 調 査 する (2) 前 提 条 件 本 項 目 の 前 提 となるインプット 情 報 は 下 記 の 通 りである 表 2.24 前 提 となるインプット 情 報 インプット 情 報 1 業 務 システムのアクセ ス 権 限 情 報 2 現 状 のロール 管 理 運 用 についての 資 料 利 用 方 法 / 必 要 性 現 行 のシステムにおけるロールのため 現 状 のロールの 運 用 管 理 状 況 を 確 認 するため (3) 留 意 事 項 本 項 目 の 留 意 事 項 は 以 下 の 通 りである 表 2.25 留 意 事 項 項 目 内 容 1 不 要 権 限 の 存 在 実 際 のシステムにおいて ロール 自 体 が 不 要 ( 使 用 されていない)な 場 合 ID に 不 必 要 なロールを 付 与 されている 場 合 が 存 在 するため ロールだけではなく 実 際 に 利 用 されているかどうか?に 留 意 すること (4) 具 体 的 な 内 容 38 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

下 記 のような 情 報 を 収 集 する 表 2.26 収 集 する 情 報 作 業 項 目 1 アクセス 制 御 方 式 ア クセス 権 限 管 理 方 法 の 調 査 ロールの 洗 い 出 し 運 用 管 理 状 況 調 査 作 業 内 容 システムの 実 装 によって アクセス 制 御 方 式 アク セス 権 限 管 理 方 法 が 異 なるため それぞれの 対 象 シ ステムについて 調 査 を 行 う アクセス 制 御 を 行 うための 元 となっている 情 報 とし ては 以 下 のようなものがある グループ/ロール(ID とは 別 の 情 報 ) ID に 紐 づく 属 性 (ID が 保 有 する 情 報 の 一 部 ) ID も 文 字 列 上 に 表 現 されるもの(ID に 組 織 コード が 埋 め 込 まれている 等 ) また 業 務 ロジックから 独 立 したアクセス 制 御 シス テムだけでなく プログラム 中 にロジックとして 組 み 込 まれるアクセス 制 御 もあるため 注 意 する 必 要 がある 各 システムのアクセス 制 御 に 利 用 されている 権 限 情 報 を 抽 出 する 各 システムにおけるロールの 運 用 管 理 状 況 を 調 査 す る 具 体 的 には 下 記 の 項 目 を 調 査 する 現 状 行 われているロール 管 理 業 務 ロールの 運 用 フロー 運 用 管 理 体 制 ロールの 変 更 更 新 のタイミング 頻 度 工 数 認 識 されている 問 題 点 (5) 成 果 物 本 段 階 の 成 果 物 は 以 下 の 通 りである 表 2.27 成 果 物 一 覧 成 果 物 1 調 査 メモ( 対 象 シス テム 現 状 ロール) 内 容 対 象 システムごとのアクセス 権 限 情 報 についてのメモ エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 39

2.3.6. 対 象 法 規 制 調 査 (1) 目 的 本 タスクの 目 的 は 法 規 制 が 対 象 組 織 のロールに 与 える 影 響 を 調 査 するこ とにある 表 2.28 目 的 目 的 具 体 的 内 容 1 対 象 法 規 制 の 調 査 対 象 組 織 が 遵 守 すべき 法 令 基 準 等 を 調 査 し それ らを 遵 守 するにあたって 必 要 な 対 象 組 織 内 の 体 制 等 を 洗 い 出 す (2) 前 提 条 件 本 項 目 の 前 提 となるインプット 情 報 は 下 記 の 通 りである 表 2.29 前 提 となるインプット 情 報 インプット 情 報 利 用 方 法 / 必 要 性 1 遵 守 対 象 法 令 社 内 の 体 制 に 影 響 をあたえるため (3) 留 意 事 項 本 項 目 の 留 意 事 項 は 以 下 の 通 りである 表 2.30 留 意 事 項 項 目 1 業 界 ガイドライン 認 証 等 内 容 法 令 だけでなく 対 象 組 織 が 属 する 業 界 の 業 界 内 ガ イドライン ISMS プライバシーマーク QMS など の 認 証 認 定 についても 留 意 すること 40 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

(4) 具 体 的 な 内 容 下 記 のような 情 報 を 収 集 する 表 2.31 収 集 する 情 報 作 業 項 目 作 業 内 容 1 遵 守 対 象 法 令 の 確 認 遵 守 対 象 となる 法 令 業 界 ガイドライン 等 を 確 認 す る 2 遵 守 対 象 法 令 による 社 内 体 制 への 影 響 の 確 認 対 象 法 令 業 界 ガイドライン 等 において 社 内 体 制 と して 定 義 されているもの 遵 守 する 上 で 必 要 な 体 制 を 洗 いだし 対 象 組 織 における 現 状 との 比 較 を 行 う (5) 成 果 物 本 段 階 の 成 果 物 は 以 下 の 通 りである 表 2.32 成 果 物 一 覧 成 果 物 1 調 査 メモ( 法 規 制 コンプライアンス) 内 容 法 規 制 コンプライアンス 遵 守 に 関 連 する 体 制 等 につい てのメモ エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 41

2.3.7. 目 的 目 標 の 明 確 化 (1) 目 的 本 タスクの 目 的 は 当 該 組 織 においてロール 管 理 を 導 入 するにあたって の 目 的 と 目 指 すべき 目 標 像 を 明 確 化 することである 表 2.33 目 的 目 的 1 現 状 の 課 題 問 題 点 の 把 握 具 体 的 内 容 現 状 調 査 の 結 果 から 現 状 の 課 題 問 題 点 を 整 理 し 明 確 化 する 2 目 的 の 明 確 化 課 題 問 題 点 から ロール 管 理 を 実 装 することに よって 得 られる 最 終 的 な 効 果 を 検 討 し 明 確 化 す る 3 目 標 像 の 明 確 化 目 的 ( 最 終 的 な 効 果 )を 得 るために 必 要 となるロー ル 管 理 の 実 装 におけるポイントとそれをどの 程 度 実 現 するかについて 目 標 像 を 明 確 化 する (2) 前 提 条 件 本 項 目 の 前 提 となるインプット 情 報 は 下 記 の 通 りである 表 2.34 前 提 となるインプット 情 報 インプット 情 報 利 用 方 法 / 必 要 性 1 現 状 調 査 メモ( 各 種 ) 課 題 問 題 点 の 明 確 化 のため 42 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

(3) 留 意 事 項 本 項 目 の 留 意 事 項 は 以 下 の 通 りである 表 2.35 留 意 事 項 項 目 内 容 1 目 標 における 実 現 レベ ルの 明 確 化 目 標 としてロール 管 理 実 装 におけるポイントを 検 討 する 際 において そのポイントにおける 実 現 レベル を 出 来 る 限 り 具 体 化 ロール 管 理 を 実 装 することに より どのようなシステム 運 用 管 理 になるか の 観 点 で 具 体 化 すること 2 目 的 と 目 標 の 関 係 目 標 はあくまで 目 的 である 最 終 的 に 得 られる 効 果 を 生 み 出 すために 必 要 であるものとして 因 果 関 係 が 考 えられるものとすること ロール 管 理 システム 自 体 の 導 入 が 目 的 化 しないよう にすること (4) 具 体 的 な 内 容 下 記 のような 内 容 を 検 討 する 表 2.36 検 討 内 容 作 業 項 目 作 業 内 容 1 課 題 問 題 点 の 把 握 現 状 調 査 の 結 果 から 現 状 のロール 管 理 の 運 用 にお ける 課 題 問 題 点 を 整 理 し 明 確 化 する 2 目 的 の 明 確 化 問 題 点 から ロール 管 理 を 実 現 することにより 得 るべき 効 果 を 検 討 し ロール 管 理 導 入 の 目 的 を 明 確 化 する 3 目 標 像 の 明 確 化 目 的 を 実 現 するために 必 要 となる ロール 管 理 導 入 における 目 標 像 を 明 確 にする 4 実 現 イメージの 作 成 ロール 管 理 の 導 入 後 のシステム 運 用 管 理 業 務 の 実 現 イメージを 作 成 する エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 43

(5) 成 果 物 本 段 階 の 成 果 物 は 以 下 の 通 りである 表 2.37 成 果 物 一 覧 成 果 物 内 容 1 ロール 管 理 導 入 計 画 ロール 管 理 における 目 的 目 標 像 実 現 イメージなどを 計 画 としてまとめた 文 書 44 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

2.4. ロール 設 計 フェーズ このフェーズでは 現 状 調 査 企 画 フェーズの 結 果 に 基 づき ロール 設 計 を 行 う ロールを 設 計 する 手 法 は そのアプローチにより 大 きく 以 下 の 2 つに 分 けられる (1) Top Down 型 モデリング 業 務 の 改 革 に 基 づくシステム 導 入 見 直 しに 伴 い あるべき 論 からロール 定 義 の 具 体 化 を 進 める (2) Bottom Up 型 モデリング 既 に 実 際 に 運 用 を 回 している 業 務 における 実 際 の 権 限 設 定 からロール 定 義 の 具 体 化 を 進 める それぞれの 手 法 を 杓 子 定 規 に 適 用 すると 検 討 した 結 果 のロール 定 義 が 実 際 に 運 用 可 能 な ロール 定 義 になっているかは 見 直 さなければならない 場 合 があり 注 意 が 必 要 である そこで 両 方 を 組 み 合 わせた ハイブリッド 型 モデリング と 呼 ぶ 手 法 を 取 る 場 合 もある なお 以 下 のようなプロジェクト 型 ロールの 設 計 手 法 については 本 節 に 記 載 するどの 方 法 に よっても 適 切 な 設 計 ができない 場 合 もあるので 議 論 の 余 地 がある 組 織 に 期 限 付 きで 割 り 当 て 実 行 する 業 務 に 付 随 するロール 専 門 家 を 集 めたチーム 内 のロール 定 型 業 務 が 無 いプロジェクトに 対 するロール 以 降 では まず ロール 設 計 の 手 法 として Top Down 型 モデリング と Bottom Up 型 モデ リング そして 2 つの 混 合 である ハイブリッド 型 モデリング について 説 明 する その 後 ロールの 種 類 ごとの 設 計 ステップについて 説 明 していく エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 45

2.4.1. Top Down 型 モデリング (1) モデリング 手 法 の 特 徴 ロール 定 義 の 基 になる 組 織 上 の 役 割 や 職 務 ならびにそれらに 関 する 規 程 類 から 本 来 あるべきロール 定 義 を 導 出 する 設 計 手 法 である 具 体 的 には 組 織 情 報 人 事 情 報 権 限 管 理 規 程 職 務 分 掌 規 程 (segregation of duties)などを 基 に 本 来 あるべきロールを 定 義 し そのロールに 本 来 付 与 されるべき アクセス 権 限 の 組 み 合 わせを 対 応 付 ける というアプローチで ロール 定 義 の 具 体 化 を 進 める なお 職 務 分 掌 規 程 には 一 つの 業 務 プロセスにおける 実 行 者 と 承 認 者 の 両 方 の 職 務 権 限 を 同 一 者 が 保 有 することを 禁 止 する 規 定 があるはずである これは 近 年 の SOX 法 へ の 対 応 などにおいては 重 要 な 項 目 であり 組 織 情 報 / 人 事 情 報 のみから 設 計 する 場 合 に は 見 逃 しがちなポイントなので 注 意 されたい Top Down 型 のロール 定 義 の 進 め 方 を 具 体 的 なケースを 想 定 して 説 明 する 一 般 的 な 組 織 で 部 長 / 課 長 / 担 当 者 のような 階 層 構 造 となっている 場 合 は 組 織 にお けるそれぞれの 役 職 に 応 じて 職 務 や 権 限 が 付 与 されるので 組 織 および 役 職 に 応 じた ロール 定 義 が 導 出 できるはずである また 職 務 分 掌 規 程 から 同 一 者 が 保 有 してよい 職 務 権 限 の 範 囲 が 制 限 される 場 合 は それを 踏 まえてロールを 分 割 する 例 えば 職 務 分 掌 規 程 にて 見 積 の 作 成 権 限 と 承 認 権 限 を 同 一 者 に 付 与 してはならないルールが 存 在 す る 場 合 は 見 積 の 作 成 と 承 認 を 別 のロールとして 定 義 し それぞれの 権 限 が 同 一 のロー ルに 対 応 付 けられないようにする 一 方 で 組 織 や 役 職 などに 応 じて 決 まる 本 来 の 職 務 とは 異 なる 職 務 を 担 わざるを 得 な い 事 情 が 存 在 する 場 合 もある 例 えば 組 織 改 編 や 人 事 異 動 の 際 に 以 前 に 担 っていた 職 務 の 適 切 な 引 き 継 ぎ 先 が 無 く 仕 方 なくその 職 務 を 継 続 して 担 っている 場 合 など そ のような 場 合 は 組 織 および 役 職 などから 導 出 したロール 定 義 だけをそのまま 適 用 して も 実 際 に 必 要 となる 権 限 が 付 与 されないことになるので それに 付 加 的 に 本 来 のあ るべき 姿 とは 異 なる 個 別 の 権 限 を 対 応 付 けたりする 必 要 が 生 じる Top Down 型 では 事 実 として 行 われている 例 外 は 考 慮 せずにモデル 化 し その 後 に 現 実 的 に 運 用 可 能 なように 修 正 を 加 えるというアプローチを 取 ることになる 46 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

(2) モデリングに 必 要 な 情 報 ロール 定 義 の 基 になる 組 織 上 の 役 割 や 職 務 ならびにそれらに 関 する 規 程 類 からロー ル 設 計 を 行 うので それらに 関 する 既 存 の 定 義 情 報 はあるだけ 収 集 し 参 考 にすること が 必 要 となる 特 に 企 業 内 の 組 織 であれば 以 下 のような 情 報 ソース 属 性 が 必 要 で ある 組 織 人 事 情 報 情 報 ソース: 全 社 ディレクトリ 情 報 人 事 データベース 社 内 電 話 帳 など 例 1) 全 社 ディレクトリ 上 のユーザ 属 性 情 報 所 属 組 織 ( 事 業 部 センター 部 グループ 組 織 コード) 管 理 職 / 専 門 職 (Individual Contributor) 決 裁 権 限 の 有 無 雇 用 形 態 ( 社 員 /コントラクターなど) 職 位 階 級 肩 書 き 役 職 職 務 職 種 ( 営 業 /SE/ 法 務 など) 勤 務 事 業 所 勤 務 場 所 コード 住 所 有 資 格 免 許 情 報 国 籍 市 民 権 座 席 位 置 電 話 番 号 メールアドレス 上 長 Report To 所 属 長 部 下 所 属 プロジェクト タスク チーム 例 2) 組 織 コード 表 例 3) 組 織 構 成 図 例 4) レポーティングライン 図 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 47

情 報 ソース: 業 務 フロー 定 義 書 業 務 についての 情 報 例 1) J-SOX 法 への 適 合 にあたり 整 備 したものなど 情 報 ソース: 規 程 ガイドライン 類 例 1) 法 律 省 令 自 主 規 制 自 社 ガイドラインなど 例 2) 社 内 の 業 務 情 報 の 取 り 扱 い 基 準 権 限 定 義 情 報 例 3) 職 務 分 掌 規 程 一 覧 規 制 ガイドラインで 定 められた 分 掌 規 程 例 4) 業 務 情 報 取 り 扱 い 基 準 権 限 定 義 情 報 決 裁 権 限 情 報 承 認 者 条 件 規 程 情 報 ソース: 業 務 マニュアル 類 例 1) 業 務 フロー 業 務 上 の 役 割 定 義 フロー 上 に 定 義 された 役 割 (3) モデリング 手 法 の 適 性 ロールに 対 応 付 けられるリソースおよび 権 限 の 関 係 が 固 定 的 である 場 合 は すなわち 成 熟 した 組 織 業 務 役 割 であり 変 更 が 少 ない あるいは 基 になる 属 性 が 適 正 に 管 理 できていることを 意 味 する このような 場 合 には Top Down 型 モデリングでロール 定 義 を 導 出 する 方 法 が 適 切 である 48 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

2.4.2. Bottom Up 型 モデリング (1) モデリング 手 法 の 特 徴 実 際 に 担 当 している 業 務 や 実 際 に 付 与 されているアクセス 権 限 を 基 に 現 実 に 即 し たロール 定 義 を 抽 出 する 設 計 手 法 である 具 体 的 には 実 際 に 稼 動 しているアプリケー ション 上 で 実 際 に 設 定 されているアクセス 権 限 から 同 一 の 権 限 の 組 み 合 わせを 付 与 さ れているユーザのグループを 見 出 し ユーザとアクセス 権 限 の 組 み 合 わせを 対 応 付 ける ためのロールを 定 義 する というアプローチで ロール 定 義 の 具 体 化 を 進 める Bottom Up 型 のロール 定 義 の 進 め 方 を 具 体 的 なケースを 想 定 して 説 明 する アプリケーションのアクセス 権 限 設 定 情 報 の 記 録 が 資 料 として 存 在 する 場 合 は それ をマスタ 情 報 として 同 一 権 限 および 類 似 権 限 を 付 与 されているユーザのグループの 抽 出 を 行 うことができる ただし マスタ 情 報 として 扱 うことができるのは 当 該 情 報 が 適 切 にメンテナンスされ かつ 最 新 の 状 態 である 場 合 に 限 られる 適 切 に 維 持 されてい ない 場 合 には 資 料 上 の 情 報 からロール 定 義 を 抽 出 するだけでは 足 りず 実 際 のアプリ ケーション 上 のアクセス 権 限 設 定 を 調 査 する 必 要 が 生 じる とりわけ アクセス 制 御 処 理 がロジックとしてコーディングされている 場 合 には 設 定 だけではなくアプリケー ションロジックも 調 査 する 必 要 が 生 じることがある 一 方 記 録 が 資 料 として 存 在 しない 場 合 は いわゆるリバースエンジニアリング 的 な 調 査 が 必 要 になることもある また アプリケーションの 機 能 として 実 装 されておらず オフラインで 運 用 として 実 施 している 業 務 までを 含 めたロール 定 義 を 行 う 場 合 は アプリケーションの 設 計 や 設 定 に 加 えて オフラインの 業 務 運 用 プロセスも 調 査 する 必 要 が 生 じる 例 えば 帳 票 入 力 業 務 において 入 力 実 施 時 に 出 力 された 帳 票 類 を 第 三 者 がチェックすることで 相 互 牽 制 を 運 用 として 実 施 している 場 合 など Bottom Up 型 では 多 くの 場 合 完 全 に 同 一 の 権 限 を 付 与 されているユーザのグルー プを 抽 出 することは 難 しいので ほぼ 同 一 であるグループとして 纏 め それに 対 応 する ロールを 定 義 し ユーザごとの 差 分 の 権 限 をどう 対 応 付 けるかを 後 から 決 めるというア プローチを 取 ることになる いずれの 場 合 も 得 られる 結 果 は 実 際 の 権 限 設 定 をロール 定 義 として 表 現 し 直 す だけであり 多 くの 場 合 膨 大 な 数 のロール 定 義 に 陥 ることが 懸 念 される また リ バースエンジニアリングによる 場 合 は それをもってロール 定 義 として 良 いかどうかは 再 考 が 必 要 であろう エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 49

(2) モデリングに 必 要 な 情 報 実 際 の 業 務 における 権 限 設 定 からロール 定 義 を 抽 出 する 方 法 であるので 業 務 お よびリソース 類 への 権 限 設 定 の 情 報 を 収 集 することが 必 要 となる 具 体 的 には 以 下 のような 情 報 ソース 属 性 が 必 要 である リソース 類 に 関 する 情 報 情 報 ソース:システム 情 報 例 1)ファイルサーバ 上 の ACL ユーザ グループとフォルダへのアクセス 権 限 (R/W/D/U) 例 2) 情 報 共 有 ツールなどのアクセス 権 限 リスト グループウェアのアクセス 権 限 グループウェア 内 の 権 限 (ロールの 定 義 として 存 在 している 可 能 性 あり) 例 3)ワークフローシステム 承 認 権 限 回 想 情 報 承 認 経 路 情 報 決 裁 権 限 情 報 例 5) 文 書 管 理 システム ACL など 例 6) 既 存 ID 管 理 システム(LDAP Active Directory など) 実 ディレクトリデータ 例 6) 既 存 業 務 アプリケーション 実 ID 設 定 ロジック 内 に 記 載 される 権 限 割 付 (3) モデリング 手 法 の 適 性 ロールに 対 応 付 けられるリソースおよび 権 限 の 関 係 が 流 動 的 である 場 合 は すなわち 成 熟 していない 組 織 業 務 役 割 であり 変 更 が 多 い あるいは 基 になる 属 性 が 適 正 に 管 理 されていない/できないことを 意 味 する このような 場 合 には Bottom Up 型 モデ リングでロール 定 義 を 抽 出 する 方 法 が 適 切 である 50 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

2.4.3. ハイブリッド 型 モデリング (1) モデリング 手 法 の 特 徴 Top Down 型 モデリングと Bottom Up 型 モデリングの 組 み 合 わせによる 設 計 手 法 を ハイブリッド 型 モデリングと 呼 ぶ Top Down 型 と Bottom Up 型 のどちらを 先 に 実 行 するかは 以 下 の 3 つの 点 に よる 対 象 となる 業 務 の 種 別 入 手 可 能 な 資 料 ロール 定 義 の 目 的 例 えば 業 務 改 善 が 目 的 で ロール 定 義 を 見 直 すのであれば 組 織 と 業 務 の 現 状 (As-Is) を 調 査 し(すなわち Bottom Up 型 モデリングに 準 じた 調 査 を 行 い) その 一 方 で 業 務 改 善 の 観 点 から あるべき 論 (To-Be) を 検 討 し(すなわち Top Down 型 モデ リングの 基 になる 検 討 を 行 い) それらの 比 較 からロール 定 義 を 見 直 すことが 効 果 的 だ ろう 一 方 十 分 に 成 熟 した 組 織 や 業 務 であれば Bottom Up 型 モデリングと Top Down 型 モデリングは 高 いレベルで 一 致 することが 期 待 される このような 場 合 に は 大 枠 の 導 出 は Top Down 型 モデリングを 用 い 例 外 の 抽 出 のために Bottom Up 型 モデリングを 用 いることが 効 率 的 だろう いずれのモデリング 手 法 でも 例 外 にこだわると 膨 大 なロール 定 義 に 陥 りがちなので 例 外 は 設 計 の 対 象 から 外 し 例 外 処 理 を 付 加 するプロセスを 別 途 確 立 する( 例 外 として の 証 跡 を 残 すなど)といった 工 夫 が 必 要 である エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 51

2.4.4. 組 織 型 ロール 設 計 (1) 目 的 本 タスクの 目 的 はビジネスロールの 中 でも 組 織 型 ロールを 設 計 すること である 表 2.38 目 的 目 的 具 体 的 内 容 1 組 織 型 ロールの 設 計 ビジネスロールの 中 の 組 織 型 ロールを 設 計 する 組 織 ロールは 対 象 組 織 の 組 織 体 制 をベースにした ロールであり 現 状 調 査 の 組 織 調 査 の 結 果 を 主 なイ ンプットとして 作 成 する 具 体 的 には 拠 点 部 署 役 職 職 位 雇 用 形 態 など がベースとなるロールである (2) 前 提 条 件 本 項 目 の 前 提 となるインプット 情 報 は 下 記 の 通 りである 表 2.39 前 提 となるインプット 情 報 インプット 情 報 利 用 方 法 / 必 要 性 1 調 査 メモ( 組 織 ) 拠 点 部 署 役 職 職 位 雇 用 形 態 についての 組 織 ロールを 洗 い 出 すのに 使 用 する 2 調 査 メモ( 職 務 分 掌 ) 場 合 によるが 職 務 権 限 のベースが 組 織 役 職 職 位 雇 用 形 態 による 場 合 があるため その 場 合 に 組 織 ロールとして 切 り 出 す 場 合 がある 3 調 査 メモ( 対 象 システ ム 現 状 ロール) 設 計 したロールと 現 状 システムにおける 組 織 ベー スのロールについてすり 合 わせる 4 ロール 管 理 計 画 ロール 管 理 導 入 の 目 標 実 現 イメージとの 摺 合 せを 行 う 52 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

(3) 留 意 事 項 本 項 目 の 留 意 事 項 は 以 下 の 通 りである 表 2.40 留 意 事 項 項 目 内 容 1 ロールの 粒 度 あくまで ロール= 権 限 のベース であるため 業 務 遂 行 上 の 権 限 が 異 なる 組 織 情 報 をロールとして 定 義 するようにする 最 低 限 個 人 以 外 の 権 限 の 最 小 単 位 を 表 現 できるも のを 設 計 する 必 要 がある 2 ロール 同 士 の 関 係 部 署 の 場 合 部 課 係 のように 上 下 関 係 があるも のなどロール 間 に 依 存 関 係 がある 場 合 があり その 場 合 には その 関 係 についても 設 計 情 報 として 記 述 する 3 現 状 システムの 組 織 型 ロールとの 調 整 現 状 システムに 設 定 されているアクセス 権 限 の 中 で 組 織 としての 権 限 が 設 定 されているものを 網 羅 する かどうかを 決 定 する 必 要 がある 4 ロールの 運 用 ロールの 設 計 情 報 として ロールの 作 成 タイミン グ 作 成 者 所 有 者 所 属 ID 変 更 の 申 請 タイミン グ 申 請 者 承 認 者 等 を 決 定 しておく 必 要 がある 5 例 外 メンバの 取 り 扱 い ロールのメンバについては 可 能 であれば 例 外 のメ ンバと 正 規 メンバを 区 別 可 能 なように 設 計 したほう が 運 用 管 理 が 行 いやすい 例 ) ロール A_ 正 規 と ロール A_ 例 外 で 分 ける など 6 ロール 運 用 上 の 役 割 定 義 ロールの 運 用 を 行 うにあたって 必 要 となる 役 割 とし ては 下 記 のようなものがある ロールオーナ ロール 監 査 担 当 ロールオペレータ これらの 役 割 は 内 部 統 制 の 権 限 分 離 の 観 点 から 兼 務 が 出 来 ないようにすることが 望 ましい 7 メンバの 決 定 方 法 ロールメンバの 決 定 はロールオーナが 決 定 する 場 合 が 多 いが 組 織 型 ロールについては 人 事 データによ り 決 定 されることが 多 い エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 53

(4) 具 体 的 な 内 容 下 記 のような 内 容 を 設 計 する 表 2.41 設 計 内 容 作 業 項 目 作 業 内 容 1 ロール 定 義 組 織 職 務 分 掌 の 調 査 メモより 組 織 型 ロールを 設 計 する(トップダウン) また ロールメンバの 条 件 例 外 対 応 についても 定 義 を 行 う 2 現 状 システムアクセス 権 限 すりあわせ トップダウンで 設 計 したロールと 現 状 システムアク セス 権 限 を 摺 合 せ ロールの 粒 度 を 確 認 する 3 ロール 間 関 係 定 義 設 計 したロール 間 の 関 係 ( 上 下 関 係 包 含 関 係 等 ) を 整 理 する 例 ) 部 課 の 関 係 ある 職 位 以 上 などの 関 係 等 4 ロール 運 用 情 報 定 義 ロール 運 用 に 関 する 情 報 を 定 義 する (5) 成 果 物 本 段 階 の 成 果 物 は 以 下 の 通 りである 表 2.42 成 果 物 一 覧 成 果 物 1 ロール 設 計 書 ( 組 織 型 ロール) 内 容 組 織 型 ロールの 一 覧 および 説 明 54 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

2.4.5. ライン 型 ロール 設 計 (1) 目 的 本 タスクの 目 的 はビジネスロールの 中 でもライン 型 ロールを 設 計 するこ とである 表 2.43 目 的 目 的 具 体 的 内 容 1 ライン 型 ロールの 設 計 ビジネスロールの 中 のライン 型 ロールを 設 計 する ライン 型 ロールは 組 織 の 業 務 プロセスに 関 係 する ロールであり 主 にシステムの 機 能 ( 入 力 作 成 実 行 承 認 ) 等 に 関 する 機 能 に 関 するロールを 設 計 する (2) 前 提 条 件 本 項 目 の 前 提 となるインプット 情 報 は 下 記 の 通 りである 表 2.44 前 提 となるインプット 情 報 インプット 情 報 利 用 方 法 / 必 要 性 1 調 査 メモ(ライン 型 業 ライン 型 業 務 ロールを 洗 い 出 すのに 使 用 する 務 ) 2 調 査 メモ( 職 務 分 掌 ) 場 合 によるが 職 務 分 掌 においてライン 型 業 務 の 職 務 分 掌 を 定 義 している 場 合 もあるため 3 調 査 メモ( 対 象 システ ム 現 状 ロール) 設 計 したロールと 現 状 システムにおける ライン 型 業 務 のロールについてすり 合 わせる 4 ロール 管 理 計 画 ロール 管 理 導 入 の 目 標 実 現 イメージとの 摺 合 せを 行 う エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 55

(3) 留 意 事 項 本 項 目 の 留 意 事 項 は 以 下 の 通 りである 表 2.45 留 意 事 項 項 目 内 容 1 ロールの 粒 度 あくまで ロール= 権 限 のベース であるため 業 務 遂 行 上 の 権 限 が 異 なる 業 務 権 限 をロールとして 定 義 する ようにする 最 低 限 個 人 以 外 の 権 限 の 最 小 単 位 を 表 現 できるものを 設 計 する 必 要 がある 2 ロール 同 士 の 関 係 ライン 型 業 務 においては 一 つの 業 務 の 流 れの 中 で 複 数 のロールが 設 定 される( 例 : 業 務 の 入 力 権 限 と 承 認 権 限 等 ) また ロール 間 における 職 務 分 離 の 関 係 もありうる( 申 請 権 限 と 承 認 権 限 の 分 離 など) このようにライン 型 ロールにおいては ライン 型 業 務 ごとにロールが 複 数 設 定 されることが 多 いため それ らを 意 識 して 設 計 する 必 要 がある 3 現 状 システムのライン 型 ロールとの 調 整 現 状 システムに 設 定 されているアクセス 権 限 の 中 でラ イン 型 業 務 の 権 限 が 設 定 されているかを 確 認 する 必 要 がある 4 ロールの 運 用 ロールの 設 計 情 報 として ロールの 作 成 タイミング 作 成 者 所 有 者 所 属 ID 変 更 の 申 請 タイミング 申 請 者 承 認 者 等 を 決 定 しておく 必 要 がある 5 例 外 メンバの 取 り 扱 い ロールのメンバについては 可 能 であれば 例 外 のメン バと 正 規 メンバを 区 別 可 能 なように 設 計 したほうが 運 用 管 理 が 行 いやすい 例 ) ロール A_ 正 規 と ロール A_ 例 外 で 分 ける など 6 ロール 運 用 上 の 役 割 定 義 ロールの 運 用 を 行 うにあたって 必 要 となる 役 割 として は 下 記 のようなものがある ロールオーナ ロール 監 査 担 当 ロールオペレータ これらの 役 割 は 内 部 統 制 の 権 限 分 離 の 観 点 から 兼 務 が 出 来 ないようにすることが 望 ましい 7 メンバの 決 定 方 法 ロールメンバの 決 定 は 業 務 フロー 等 により 決 定 される 場 合 ロールオーナにより 決 定 されることが 多 い 56 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

(4) 具 体 的 な 内 容 下 記 のような 内 容 を 設 計 する 表 2.46 設 計 内 容 作 業 項 目 作 業 内 容 1 ロール 定 義 ライン 型 業 務 の 調 査 メモより ライン 型 ロールを 設 計 する(トップダウン) また ロールメンバの 条 件 例 外 対 応 についても 定 義 を 行 う 2 現 状 システムアクセス 権 限 すりあわせ トップダウンで 設 計 したロールと 現 状 システムアク セス 権 限 を 摺 合 せ ロールの 粒 度 を 確 認 する 3 ロール 間 関 係 定 義 設 計 したロール 間 の 関 係 を 整 理 する 例 :ロール 間 における 職 務 分 離 等 4 ロール 運 用 情 報 定 義 ロール 運 用 に 関 する 情 報 を 定 義 する (5) 成 果 物 本 段 階 の 成 果 物 は 以 下 の 通 りである 表 2.47 成 果 物 一 覧 成 果 物 1 ロール 設 計 書 (ライ ン 型 ロール) 内 容 ライン 型 ロールの 一 覧 および 説 明 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 57

2.4.6. プロジェクト 型 ロール 設 計 (1) 目 的 本 タスクの 目 的 はビジネスロールの 中 でもプロジェクト 型 ロールを 設 計 することである 表 2.48 目 的 目 的 1 プロジェクト 型 ロール の 設 計 具 体 的 内 容 ビジネスロールの 中 のプロジェクト 型 ロールを 設 計 する プロジェクト 型 ロールは 対 象 組 織 におけるプロ ジェクト( 期 間 限 定 の 一 時 的 な 組 織 チーム)を ベースにしたロールであり 現 状 調 査 の 組 織 調 査 お よびプロジェクト 型 業 務 調 査 の 結 果 を 主 なインプッ トとして 作 成 する (2) 前 提 条 件 本 項 目 の 前 提 となるインプット 情 報 は 下 記 の 通 りである 表 2.49 前 提 となるインプット 情 報 インプット 情 報 利 用 方 法 / 必 要 性 1 調 査 メモ( 組 織 ) 組 織 の 中 にプロジェクトとして 扱 うべき 組 織 がある 場 合 がある 2 調 査 メモ(プロジェク プロジェクト 型 業 務 の 内 容 ト 型 業 務 ) 3 調 査 メモ( 対 象 システ ム 現 状 ロール) 設 計 したロールと 現 状 システムにおける プロジェ クト 型 業 務 ベースのロールについてすり 合 わせる 4 ロール 管 理 計 画 ロール 管 理 導 入 の 目 標 実 現 イメージとの 摺 合 せを 行 う 58 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

(3) 留 意 事 項 本 項 目 の 留 意 事 項 は 以 下 の 通 りである 表 2.50 留 意 事 項 項 目 内 容 1 ロールの 粒 度 あくまで ロール= 権 限 のベース であるため 業 務 遂 行 上 の 権 限 が 異 なるプロジェクト 型 業 務 情 報 を ロールとして 定 義 するようにする 最 低 限 個 人 以 外 の 権 限 の 最 小 単 位 を 表 現 できるも のを 設 計 する 必 要 がある 2 ロール 同 士 の 関 係 プロジェクト 型 ロールはプロジェクトに 一 つという ことではなく プロジェクト 内 においても 複 数 の 業 務 があることがあるため そのあたりを 留 意 する 3 現 状 システムのプロ ジェクト 型 ロールとの 調 整 現 状 システムに 設 定 されているアクセス 権 限 の 中 で プロジェクト 型 業 務 としての 権 限 が 設 定 されている ものを 網 羅 するかどうかを 決 定 する 必 要 がある 4 ロールの 運 用 ロールの 設 計 情 報 として ロールの 作 成 タイミン グ 作 成 者 所 有 者 所 属 ID 変 更 の 申 請 タイミン グ 申 請 者 承 認 者 等 を 決 定 しておく 必 要 がある 5 例 外 メンバの 取 り 扱 い ロールのメンバについては 可 能 であれば 例 外 のメ ンバと 正 規 メンバを 区 別 可 能 なように 設 計 したほう が 運 用 管 理 が 行 いやすい 例 ) ロール A_ 正 規 と ロール A_ 例 外 で 分 ける など 6 ロール 運 用 上 の 役 割 定 義 ロールの 運 用 を 行 うにあたって 必 要 となる 役 割 とし ては 下 記 のようなものがある ロールオーナ ロール 監 査 担 当 ロールオペレータ これらの 役 割 は 内 部 統 制 の 権 限 分 離 の 観 点 から 兼 務 が 出 来 ないようにすることが 望 ましい 7 メンバの 決 定 方 法 ロールメンバの 決 定 はロールオーナが 決 定 する 場 合 が 多 い エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 59

(4) 具 体 的 な 内 容 下 記 のような 内 容 を 設 計 する 表 2.51 設 計 内 容 作 業 項 目 作 業 内 容 1 ロール 定 義 組 織 プロジェクト 型 業 務 の 調 査 メモより プロ ジェクト 型 ロールを 設 計 する(トップダウン) また ロールメンバの 条 件 例 外 対 応 についても 定 義 を 行 う 2 現 状 システムアクセス 権 限 すりあわせ トップダウンで 設 計 したロールと 現 状 システムアク セス 権 限 を 摺 合 せ ロールの 粒 度 を 確 認 する 3 ロール 間 関 係 定 義 設 計 したロール 間 の 関 係 ( 上 下 関 係 包 含 関 係 等 ) を 整 理 する 例 )ロール 間 の 関 係 等 4 ロール 運 用 情 報 定 義 ロール 運 用 に 関 する 情 報 を 定 義 する (5) 成 果 物 本 段 階 の 成 果 物 は 以 下 の 通 りである 表 2.52 成 果 物 一 覧 成 果 物 1 ロール 設 計 書 (プロ ジェクト 型 ロール) 内 容 プロジェクト 型 ロールの 一 覧 および 説 明 60 エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association

2.4.7. システムアクセス 権 限 設 計 (1) 目 的 本 タスクの 目 的 はシステムアクセス 権 限 を 設 計 することである 表 2.53 目 的 目 的 1 システムアクセス 権 限 設 計 具 体 的 内 容 実 際 のシステムにおけるアクセス 権 限 を 設 計 する (2) 前 提 条 件 本 項 目 の 前 提 となるインプット 情 報 は 下 記 の 通 りである 表 2.54 前 提 となるインプット 情 報 インプット 情 報 利 用 方 法 / 必 要 性 1 調 査 メモ( 各 種 ) 各 種 の 調 査 メモをベースにシステムのアクセス 権 限 情 報 のベースとする 2 調 査 メモ( 対 象 システ ム 現 状 ロール) 現 状 システムに 設 定 されているアクセス 権 限 を 確 認 する 4 ロール 管 理 計 画 ロール 管 理 導 入 の 目 標 実 現 イメージとの 摺 合 せを 行 う エンタープライズロール 管 理 解 説 書 2014 Japan Network Security Association 61

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック