EMCジャパンRSA事業本部は2015年9月28日、情報システムのアカウントとアクセス権限の対応を一元管理するアイデンティティ管理ソフトの新バージョン「RSA Via Lifecycle & Governance」(以下、RSA Via L&G)を発表した。新版では、標的型攻撃対策として、未承認のアクセス権限の変更を検知する機能を追加した。また、基本機能を高め、HA(高可用性)構成による信頼性の向上や、ID情報の差分更新による性能向上を図った。
RSA Via L&Gは、アカウントのアクセス権限を正しく設定することに注力したID管理ソフトである(関連記事:EMC、ガバナンス機能に注力したアイデンティティ管理ソフト)。製品のライセンスは、ID情報を変更する際の申請/承認ワークフローや情報システムへの反映を担当する「RSA Via Lifecycle」と、ID情報のレビュー(検査)機能や監査レポート機能を担当する「RSA Via Governance」の二つで構成する(図1)。必要に応じて、片方だけか、あるいは両方の製品を利用する。
RSA Via L&Gではまず、個々の情報システム(業務サーバーやデータベースサーバー、他のID管理サーバーなど)からID情報(ログインユーザーIDと、システム資源へのアクセス権限)をエージェントレスで収集し、RSA Via L&Gのデータベースに格納する。ここでRSA Via Lifecycleを使うと、申請/承認ワークフローを経てRSA Via L&Gの管理下でID情報を変更できる。さらに、変更したID情報を個々の情報システムに反映できる。このように、情報システムのID情報をRSA Via L&G側で一元管理できる。
一方、RSA Via Governanceを使うと、データベースに格納したID情報を、IT部門ではなく業務部門の部門長がレビューできる(図2)。個々のアカウントに対して正しいアクセス権限が設定されているかどうかをWeb画面から調べられる。この際、アクセス権限のルール違反を自動的にチェックする機能も提供する。例えば、経費精算について申請と承認の両機能が同一アカウントに付与されているといった不具合を自動的に発見して修正を促す。
