プロビジョニングとは
プロビジョニングとは、新たな利用申請の際に資源の割り当てを行い、運用が可能な状態にすることです。
システムでのプロビジョニングのほとんどは権限の割り当てやアカウントの作成に相当するため、システムで使用するアカウントを追加することを指します。この時、反対にアカウントを削除することをデプロビジョニングと言います。
システムは当然利用者の顔をいちいち覚えていませんので、アカウントごとに一意の番号を振っています。
入社など新しくメンバーが増えると、会社のシステムに新しい番号を追加します。このユーザの増減によってシステムのアカウント管理を行うことをプロビジョニングといいます。
プロビジョンイングの注意点
プロビジョニングの流れを見ていきましょう。
入社プロセスを行い従業員として登録が行われます。外部の人間を本人であることを確証するためには、パスポートや運転免許証などの公的証明書が利用されます。
人事(HR)は、従業員の登録作業・プロビジョニングを行います。アカウントの登録とは、新しい従業員に対してパスワードを発行する事であり、組織のリソースにアクセスすることを許可します。この時、パスワードではなく生体認証といったよりセキュアな認証システムを導入している場合、従業員の指紋登録といったプロセスも発生します。
オンラインベースの組織では、運転免許証の番号、車を購入した日付といった知識ベースの認証を強度を上げることで対応します。このような知識ベースの認証を行うときには、厳密な時間制限を設けることで悪意のユーザーによる推測を抑止します。
デプロビジョニングの注意点
従業員が会社を離れるとき、速やかにアカウントを無効してください。ただし、完全にデータ削除すると退社や退社後において内部犯行的な問題が発生した場合であっても復元処理が困難になるため、管理者がパスワード変更し対象の従業員がアカウントを利用できないようにすることが有効です。
退社に関わらず、長期的に利用されていないアカウントを含む不要になったアカウントは適宜削除しましょう。