2011年8月16日

[Security] The Business Case For Entitlements Server

今日、多くのコンテンツを通じて、Entitlements Serverを使って外部認可を提供する方法を説明していますが、きめ細かな認可(fine-grained entitlement)のビジネスケースを説明する時間があまりありませんでした。1週間のセールストレーニングの終わりに、企業がentitlements serverのメリットを理論的に説明する上でのポイントをまとめたいと思っています。ロールベースのアクセス制御は多様な範囲のテーマから得られるため、ロールベースの​​アクセスのトピックについて学んだことが多いかと思います。

アプリケーションやデータセキュリティが前面に出るにつれ、Entitlements Serverの需要はここ数年で劇的に増加しています。ITで使われている既製のソリューションの個数が多いにもかかわらず、ミッションクリティカルな業務アプリケーションの多くはスクラッチ開発です。規制による圧力とデータの本質的な金銭的価値ゆえに、金融サービス企業はひょっとすると最も成熟した fine-grained authorization のユーザーかもしれません。ここ数年で、需要は種々の業種(ヘルスケア、製造など)から出ています。ビジネスプロセスをアウトソーシングしている場合、データおよびトランザクション上のポリシーベースの制御を提供することが不可欠です。

数年前、悪徳トレーダーがコントロール手順の欠落を悪用し、主要な銀行に71億米ドルの損失を与える、というスキャンダルで銀行界は揺れました。このケースは確かにセンセーショナルですが、この手のインサイダー詐欺は、考えているよりも頻繁に起こります。ある情報では、詐欺の46%以上がインサイダーが原因で発生しているそうです。Entitlements Serverを配備するための経済的なROI探求とは別に、最大の理由は、ビジネス自体のセキュリティです。取引システムや臨床試験のアプリケーションのような業務アプリケーションが危険に晒された場合、その影響は常に経済的に悲惨なことになります。

今日、Entitlements Serverソリューションを展開する組織のほとんどは、内部もしくは外部の規制ガイドラインに従ってアクセスを分離する要件を定義しています。規制圧力がビジネスケースを生み出します。ほとんどの場合、顧客の既存の自社開発アプローチが困難ゆえ、変化するセキュリティ要件に合わせて保守や拡張ができません。展開事例を見る限り、この二つの経済的な価値訴求は全てのケースで見られます。
  • 経費を節減しつつ効率向上: セキュリティの変更に対処するためにアプリケーションを再作成すると、何ヶ月もかかることがあります。Entitlements Serverを導入されている多くの企業は、この時間を数週間に短縮しています。企業が監査所見に対応しようとしたり、セキュリティリスクのギャップをふさいだりする場合にも、経費を節減しつつ、効率よく対応することができます。
  • 開発コストの削減: ハードコーディングしてセキュリティをアプリケーションに注入することに非常に多くの時間を費やしていたので、Entitlements Serverを導入後、ほとんどの企業はアプリケーション単位で数万米ドルを節減しています。象徴的なケースでは、ある会社は、7個のアプリケーションをセキュリティ機構の外部に切り出すことで、毎年26万5千USドル以上を節約しました(この事例を教えてくれたAndy Vallilaに感謝します)。
Entitlements Serverは、確かにまだアーリーアダプターのフェーズにあります。導入されたお客様は最も緊急のセキュリティ要件をお持ちです。我々が調査し、アーリーアダプターの結果をまとめると、よいROIのデータを得ることになるでしょう。Entitlements Serverの詳細情報や導入方法については、以下のリソースがお役に立つかと思います。

原文はこちら。
http://blogs.oracle.com/OracleIDM/entry/the_business_case_for_entitlements

0 件のコメント:

コメントを投稿