まずはアクセス棚卸しから始める
レビュー用チェックリストは、各アクセス項目に担当者が判断するための十分な情報がある場合にのみ役立ちます。
- ユーザー、部門、上長、雇用形態、業務上の役割。
- システム、フォルダ、アプリケーション、権限レベル、データの機密性、担当者。
- アクセス元、付与日、有効期限またはレビュー日、可能であれば最終アクティビティ。
- 業務上の正当性と、関連する申請、例外、資産レコード。
ガイド
ユーザーアクセスレビュー チェックリストガイド
アクセス棚卸し、担当者による証明、例外、削除、証跡、監査フォローアップに向けたユーザーアクセスレビューのチェックリストを計画します。
ユーザーアクセスレビューは、すべての権限に業務上の担当者、判断、例外メモ、フォローアップ状況がひも付いていると、監査で説明しやすくなります。このガイドを使って、Jodooでレビュー施策を開始する前、または既存のITシステム周辺でワークフローをつなぐ前に、チェックリストを定義しましょう。
どこから始めるか: アクセス申請フォームレビュアーの判断を明確にする
各レビュアーは明確な結果を選び、後の監査レビューに十分な証跡を残す必要があります。
- 証明、変更、削除、例外、重複、不明、調査要。
- レビュアー、判断日、判断メモ、裏付けとなる証跡。
- 高リスクまたは通常と異なる権限を継続する理由。
- レビュアーがアクセスを確認できない場合のエスカレーション担当者。
証明後の削除と例外を追跡する
レビューは、削除または変更タスクが完了するまで終わりではありません。例外には担当者とレビュー日を設定する必要があります。
- 削除タスク担当者、期限日、完了日、確認メモ。
- 例外理由、承認者、有効期限、代替統制、次回レビュー日。
- 削除できない理由とエスカレーション状況。
- 監査またはコンプライアンスレビュー向けの証跡エクスポート。
レビューを申請ワークフローにつなげる
アクセスレビューは、今後の申請および付与統制に反映されるべきです。レビュー結果から、承認漏れ、陳腐化したアクセス、担当範囲の不明確さが明らかになることがよくあります。
- 削除をアカウントまたはフォルダアクセス申請レコードに関連付ける。
- より高リスクなレビューストリームには、VPNや特権アクセスのテンプレートを使用する。
- 通常ルールの範囲外でアクセスを維持する必要がある場合は、ポリシー例外レコードを作成する。
- 期限超過レビュー、未完了の削除、例外期限をダッシュボードで可視化する。
チェックリスト項目
ユーザーアクセスレビューのチェック項目
アクセス証明の判断をレビュー可能にし、是正対応につなげるために、以下のフィールドを活用してください。
フィールド領域記録内容レビューで確認すること担当者
ユーザー情報ユーザー、上長、部門、役割、雇用形態。誰がアクセス権を持っているか?上長または人事
アクセス範囲システム、フォルダ、アプリ、権限レベル、データ機密性。何のアクセスをレビューしているか?システムまたはデータ担当者
判断証明、変更、削除、例外、レビュアーメモ。このアクセスを継続すべきか?レビュアー
是正対応削除担当者、期限日、ステータス、確認証跡。変更は完了したか?ITまたはセキュリティ
例外理由、承認者、有効期限、統制、次回レビュー日。なぜこのアクセスが許可されているのか?コンプライアンスまたは担当者
テンプレート
アクセス証明をワークフロー化
対応するJodooテンプレートを開く前に、このチェックリストを使ってシステム担当者、レビュアーの判断、是正タスク、証跡を定義します。
最初に使うのに最適なテンプレート最適な開始点:アクセス申請フォーム
申請されたアクセス、担当者承認、リスクメモ、有効期限、付与状況を1つの管理されたレコードで扱いたい場合は、ここから始めましょう。
アクセス申請フォームアクセス申請の詳細を収集し、各申請を適切な担当者に振り分け、受付からフォローアップまでのステータスを1つのカスタマイズ可能なJodooアプリで可視化します。
ユーザーアカウント申請フォームアカウント申請の詳細を収集し、アクセス承認を振り分け、プロビジョニング担当者を割り当て、受付から有効化まで各ユーザーアカウント申請を追跡可能にします。
VPNアクセス申請VPNアクセス申請の詳細を収集し、上長とITセキュリティの承認へ振り分け、アクセス状況と有効期限を管理します。
特権アクセス申請セキュリティ承認、アクセス期間、ステータス管理、監査対応の判断履歴を含めて、特権アクセス申請を管理します。
フォルダアクセス申請フォームテンプレート共有フォルダへのアクセス申請を、業務上の理由、権限レベル、データ担当者の承認、有効期限、対応状況、削除履歴とあわせて収集します。
ソフトウェアライセンス申請フォームテンプレート製品詳細、数量、コストセンター、承認状況、更新日、回収計画、対応状況の管理を含めて、ソフトウェアライセンス申請を収集します。
ポリシー例外申請ポリシー例外申請テンプレートを使って、適用除外するポリシー、業務上の理由、リスク管理策、承認条件、有効期限を記録します。
ポリシー確認フォームポリシーの版数、期限、署名、例外メモ、監査対応可能な完了ステータスを含めて、従業員のポリシー確認を収集します。関連するアクセス・セキュリティワークフローを見る
アクセス申請の統制ワークフローを見る
FAQ
ユーザーアクセスレビューに関するよくある質問
ユーザーアクセスレビューのチェックリストには何を含めるべきですか?
ユーザー情報、システムまたはフォルダ、権限レベル、データ担当者、レビュアーの判断、例外理由、削除タスク、期限日、証跡を含めてください。
ユーザーアクセスレビューはどのくらいの頻度で実施すべきですか?
頻度はリスクによって異なります。高リスクのシステムや特権アクセスは四半期ごとのレビューが必要な場合があり、低リスクのアクセスは半年ごとまたは年1回のレビューで十分なことがあります。
JodooはアクセスレビューにおいてIAMソフトウェアの代替になりますか?
Jodooは、レビューのワークフロー、証跡、例外、是正対応の追跡を管理できます。ただし、IDプロバイダー、SSO、自動プロビジョニング、IAMプラットフォームの代替として提示すべきではありません。
次のステップ
アクセス管理テンプレートを開く
開始用テンプレートをプレビューし、レビューサイクルに合わせてアクセスフィールド、担当者レビュー、例外ステータス、削除タスク、証跡を調整しましょう。