社内のID管理やアクセス権限の統制に課題を感じているセキュリティ担当者は多いのではないでしょうか。手動での棚卸や属人的な運用がリスクを生み出しているケースは少なくありません。とくにクラウドとオンプレミスが混在する環境では、誰がどのシステムにアクセスできるかを一元的に把握することが難しく、情報漏洩や内部不正のリスクが高まりやすい傾向があります。こうした課題を解決する手段として注目されているのが、IGA領域でグローバルに導入実績を持つSaviynt(セイヴィエント)です。
こちらでは、Saviyntの4つの基本機能と、国内企業の導入事例・効果、さらにスムーズな導入手順を解説します。Saviyntの機能や導入の進め方を詳しく知りたい方は、参考にしてください。
目次
1.Saviyntの4つの基本機能
Saviyntは、IDとアクセス権限にかかわる課題を1つのプラットフォームで管理できるクラウドネイティブなソリューションです。ここでは、セキュリティ担当者が押さえておきたい機能を4つ紹介します。
PAM(特権アクセス管理)
PAM(Privileged Access Management)は、システム管理者や上位権限を持つユーザーのアクセスを適切に制御するための機能です。特権アカウントは、悪用された場合に組織全体へ深刻な影響を及ぼすリスクがあるため、厳格な管理が求められます。
PAMでは、特権アクセスの付与・利用・失効までをライフサイクルとして管理し、不要な権限が残り続ける状態を防ぐ仕組みを備えています。必要な権限を必要なタイミングだけ付与する「最小権限の原則」に基づいて運用可能です。特権アカウントの棚卸や権限管理の自動化を検討している方は、ぜひ機能詳細もご覧ください。
IGA(IDライフサイクルと権限の統制)
IGA(Identity Governance and Administration)は、従業員の入社・異動・退社に合わせてIDやアクセス権限を自動で付与・変更・削除する機能です。手動管理に頼っていると、退職者のアカウントが残存するリスクや、権限の棚卸が形骸化しやすくなります。
さらに、IGAが対象とするIDは人間のユーザーにとどまらず、システムアカウントや外部ユーザー、AIエージェントといったIDも含まれます。誰が・何が・どのシステムに・どのような権限を持っているかを組織全体で把握可能です。承認ワークフローの記録が自動で蓄積されるため、監査対応や内部統制の証跡管理にも活用しやすくなります。
ISPM(クラウドの構成ミスやリスクの可視化)
ISPM(Identity Security Posture Management)は、クラウド環境全体におけるIDとアクセス権限の状態をリアルタイムで可視化し、リスクや構成ミスを検出するための機能です。クラウド利用が拡大するにつれ、設定ミスや過剰な権限付与が見落とされやすくなる傾向があります。
ISPMでは、AIを活用したスコアリングにより現状のセキュリティ態勢を評価し、「次にどの対策を優先すべきか」を自動で提示するため、担当者が改善の優先順位をつけやすくなります。
AAG(ERP等の職務分掌(SoD)の自動分析)
AAG(Application Access Governance)は、SAPなどのERPシステムをはじめとした業務アプリケーションにおける職務分掌(SoD:Segregation of Duties)のリスクを自動で分析する機能です。
職務分掌とは、不正や誤操作を防ぐために、1人のユーザーに過剰な権限が集中しないよう役割を分離する考え方です。従来は手作業での確認に時間がかかっていたこのプロセスを、Saviyntでは自動化することで、監査対応やコンプライアンス報告の工数を削減できます。
2.国内企業のSaviynt導入事例と効果|株式会社LIXIL(リクシル)
LIXILは、INAX・GROHE・American Standardなどのブランドを擁し、150カ国以上で事業を展開する水まわり・住宅設備のグローバルメーカーです。ここでは、LIXILがSaviyntを選んだ背景と、導入によって得られた効果を紹介します。
導入した背景(課題)
LIXILでは長年、国内従業員向けに構築された自社開発のレガシーシステムでID管理を行っていました。しかし2014年のドイツ・グローエ社の買収により海外拠点の従業員が大幅に増加し、既存システムでは対応しきれなくなりました。従業員の入社・異動・退社に伴うアカウントの作成・変更・削除といった業務は、手作業や拠点ごとの個別ツールに依存しており、グループ全体での一貫性がなく標準化されていない状況に陥ってしまったのです。
加えて、欧州で義務付けられているGDPR(一般データ保護規則)への準拠、つまり「個人データをどの国のサーバーで保管するか」というルールへの対応も求められており、グローバルに広がる組織全体のID管理をどう統制するかが課題となっていました。
導入により得られた効果
Saviyntの導入により、手作業や属人的な運用に依存していたID管理が大きく変わりました。おもな効果は以下のとおりです。
|
課題 |
導入後に得られた効果 |
|
手作業・個別ツールによる属人的なID管理 |
アカウント・権限付与プロセスの自動化 |
|
グローバル全体での可視性・一貫性の欠如 |
70,000以上のIDを一元管理・リアルタイム把握 |
|
GDPR等のコンプライアンス対応の遅れ |
データ居住要件への準拠・監査準備の負担軽減 |
|
拠点ごとに異なる入社・退社プロセス |
人財管理システム連携による標準化・迅速化 |
世界中のどの拠点で誰がどのシステムにアクセスできるかをリアルタイムで把握可能で、セキュリティ体制の改善につながっています。人財管理システム「SuccessFactors」との連携でIDの情報源を1本化したことで、入社手続きの迅速化と標準化も実現しました。
日本語UIへの対応やGDPRのデータ居住要件への準拠など各国のローカル要件も満たしており、監査準備にかかる負担の軽減にもつながっています。
出典|Saviynt「お客様の声|LIXIL、最新のクラウドIGAでグローバルID管理システムの将来性を証明」
3.Saviyntをスムーズに導入する手順
Saviyntの導入を成功させるには、事前の準備と段階的な進め方が重要です。ここでは、現状把握から本番運用までの手順を解説します。
手順1:現状のID・アクセス権を棚卸しし課題を整理する
導入前にまず取り組むべきは、社内に存在するIDとアクセス権限の現状を洗い出すことです。どのシステムに何人のアカウントが存在し、誰がどの権限を持っているかを把握できていない状態では、導入後の設計が的外れになるリスクがあります。棚卸しの際は、正社員だけでなく派遣社員・外部委託先・退職者のアカウントも対象に含めましょう。
また、現状の課題を「権限の過剰付与」「退職者アカウントの残存」「手作業による棚卸しの非効率」などに分類して整理しておくと、Saviyntでどの機能を優先的に活用すべきかの判断材料になります。棚卸しの範囲が広い場合や、どこから手をつければよいか迷う場合は、国内認定パートナーに相談しながら進めるのも有効です。
手順2:PoC(概念実証)により自社環境に合うかテストする
PoCとは、本格導入の前に実際の自社環境でSaviyntを試験的に動かし、要件を満たせるかどうかを検証するプロセスです。LIXILの事例でも、数か月にわたる評価プロセスとパイロットプログラムを経てから本導入に踏み切っており、事前検証が導入成功の一因となっています。
PoCでは、既存の人事システムや業務アプリケーションとの連携が想定どおりに機能するか、権限付与のワークフローが自社の運用ルールに合わせて設定できるかなどを確認しましょう。この段階で課題や調整点を洗い出しておくことで、本番稼働後のトラブルを減らしやすくなります。
手順3:国内認定パートナーと連携し段階的にロールアウトする
PoCで自社環境への適合が確認できたら、国内認定パートナーと連携しながら段階的に本番環境へ展開していきます。一度に全社展開するのではなく、特定の部門やシステムから順に適用範囲を広げていくことで、運用上の問題を早期に発見しやすくなります。
国内認定パートナーを活用することで、日本語でのサポートや自社の業務フローに合わせた設定支援を受けながら導入を進めることが可能です。Saviyntの導入を検討している方は、国内認定パートナーである新明和ソフトテクノロジへの相談をぜひご検討ください。
4.日本でSaviyntを導入するなら新明和ソフトテクノロジ
Saviyntは、PAM・IGA・ISPM・AAGの4つの機能を1つのプラットフォームで提供するアイデンティティ・ガバナンスソリューションです。IDライフサイクルの自動管理からクラウド環境のリスク可視化まで、社内のID管理やアクセス権限の統制に課題を抱える組織に幅広く対応しています。日本国内では、150か国以上で事業を展開するLIXILが導入事例として知られており、手作業に依存していたID管理の自動化と全社的なガバナンス強化を実現しています。
新明和ソフトテクノロジは、Saviyntの国内認定パートナーとして、導入前の要件整理からPoC支援、本番稼働後のサポートまで日本語で一貫して対応可能です。Saviyntの機能や導入メリットをより詳しく知りたい方は、ぜひサービス詳細ページをご確認ください。
5.【Q&A】Saviyntの国内事例に関する解説
Q1.SaviyntにはどのようなID管理機能が備わっていますか?
A.Saviyntは、特権アクセス管理(PAM)・IDライフサイクルと権限の統制(IGA)・クラウドリスクの可視化(ISPM)・職務分掌の自動分析(AAG)の4つの機能を1つのプラットフォームで提供しています。人間のユーザーだけでなく、システムアカウントや外部ユーザー、AIエージェントといった非人間IDも管理対象に含まれる点が特長です。
Q2.LIXILはSaviyntの導入によってどのような効果を得ましたか?
A.手作業や拠点ごとの個別ツールに依存していたID管理が自動化され、70,000以上のIDを全社で一元管理できるようになりました。GDPRへの準拠や日本語UIへの対応など各国のローカル要件も満たし、監査準備にかかる負担の軽減にもつながっています。
Q3.Saviyntの導入はどのような手順で進めればよいですか?
A.まず社内のIDとアクセス権限の棚卸しを行い現状の課題を整理します。次にPoCで自社環境との適合性を検証し、問題がなければ国内認定パートナーと連携しながら段階的に展開していくのが一般的な進め方です。
