この記事を書いた人
高岡智則
年齢:33歳 性別:男性 職業:Webディレクター(兼ライティング・SNS運用担当) 居住地:東京都杉並区・永福町の1LDKマンション 出身地:神奈川県川崎市 身長:176cm 体系:細身〜普通(最近ちょっとお腹が気になる) 血液型:A型 誕生日:1992年11月20日 最終学歴:明治大学・情報コミュニケーション学部卒 通勤:京王井の頭線で渋谷まで(通勤20分) 家族構成:一人暮らし、実家には両親と2歳下の妹 恋愛事情:独身。彼女は2年いない(本人は「忙しいだけ」と言い張る)
デプロビジョニングとは?
デプロビジョニングとは、組織のシステムやサービスから「使われていない権限やアカウントを取り除く」作業のことです。英語では deprovisioning と呼ばれ、社員の退職時や役割変更時に実施します。適切に行うと、不正アクセスのリスクを減らし、セキュリティを高めることができます。
デプロビジョニングとプロビジョニングの違い
デプロビジョニングとプロビジョニングの違いを理解することは、ITの基礎を学ぶ第一歩です。プロビジョニングは新規アカウントの作成と権限の付与を指します。一方で、デプロビジョニングは不要になった権限を取り除く作業です。両者をセットで管理することが、使い手を混乱させず、安全に運用するコツです。
どんな場面で役立つか
デプロビジョニングは、次のような場面で特に役立ちます。
退職者のアカウント削除、部署異動で不要になる権限の削除、外部委託の終了時のアクセス停止、クラウド契約終了時の権限整理などです。これにより、知らない間に権限が残っている状態を避けられます。
基本の流れ
実務では、計画 → 識別 → 実行 → 検証 → 監査 の順で進めます。自動化を使うと、退職日が近づくと自動で権限を取り消すことが可能です。
| フェーズ | 内容 | ポイント |
|---|---|---|
| 計画 | 対象のアカウントと権限を洗い出す | 影響範囲を事前に確認 |
| 識別 | 退職日・役割変更日を確認する | データとアクセスの両方を把握 |
| 実行 | 不要な権限を順次削除 | 同時削除のリスクを避ける |
| 検証 | アクセスログと通知を確認 | 誤削除を防ぐ |
| 監査 | 記録を残して証跡を確保 | 監査対応に備える |
自動化のヒント
多くのサービスは「ライフサイクル管理」や「アイデンティティ・アクセス管理(IAM)」機能を提供しています。自動化を使えば、退職日が近づくと自動的に権限が取り消され、手作業のミスを減らせます。
よくある注意点
・誤って必要な権限まで削除しないように、影響範囲を丁寧に確認する
・関連する外部サービスの連携にも注意する
・削除後の復元手順を事前に用意しておく
デプロビジョニングの同意語
- アカウント削除
- 該当アカウントをシステムから完全に削除すること。アクセス権がなくなる状態を指すデプロビジョニングの強力な形態です。
- アカウント無効化
- アカウントを無効にしてログインを不能にすること。データは残っている場合が多く、復元の余地を残します。
- アクセス停止
- 対象資源やサービスへのアクセスを停止すること。実務では一時的に使われることが多いです。
- アクセス権の撤回
- ユーザーに付与されていたアクセス権を取り消すこと。権限の剥奪と同義です。
- 権限撤回
- 付与済みの権限を撤回すること。個別の機能への権限を外します。
- 権限削除
- 付与された権限を削除して利用不能にすること。重要なセキュリティ対策の一つです。
- 認証情報の破棄
- パスワードやAPIキーなどの認証情報を破棄し、再発行を求めること。再認証を防ぎます。
- サービス利用停止
- そのサービスへの利用を停止する状態にすること。実務上のデプロビジョニングで頻出します。
- アプリケーション権限の取り消し
- 特定アプリケーションに対する権限を解除すること。連携停止にもつながります。
- 資源の解放
- 割り当て済みのクラウドリソースを解放し、他の利用者へ戻すこと。リソース管理の一環です。
- アカウント閉鎖
- アカウントを閉じる操作。長期的には削除と同様の意味を持つことがあります。
- セッションの終了
- 現在のログインセッションを終了させ、再ログインを要求する状態にすること。セッションベースの権限管理で使われます。
デプロビジョニングの対義語・反対語
- プロビジョニング
- 資源を新規に割り当て、設定・初期化を行う行為。デプロビジョニングの対義として最も基本的な動作です。
- アクセス付与
- ユーザーやデバイスに対してアクセス権を付与する行為。デプロビジョニングが権限を取り消すことの対義です。
- 権限付与
- 特定の操作やリソースへの権限を付与すること。デプロビジョニングが権限を剥奪・無効化する行為の対になると解釈できます。
- 有効化
- アカウント・サービス・権限を利用可能な状態にして使用できるようにすること。
- アクティベーション
- 機能やアカウントを起動・利用可能状態にすること。有効化と同様の意味で対義の補足表現です。
- 資源維持
- 既に割り当て済みの資源を削除・解除せず、現状を維持すること。デプロビジョニングの解除・撤回の対義として捉えられます。
- 継続利用
- リソースを削除せず、サービスの利用を継続して維持する状態にすること。
- 再割り当て
- 資源を新たに他のユーザーやサービスへ再度割り当てること。デプロビジョニングの撤回後の再利用・再提供の観点から対義的に捉えられます。
デプロビジョニングの共起語
- アカウント停止
- 従業員の退職・異動などに伴い、アカウントの利用を一時的または恒久的に停止させる処理。アクセスを止めてセキュリティを守る目的。
- アカウント削除
- 不要になったアカウントを完全に削除し、再利用を防ぐ処理。長期的なセキュリティ管理の一部。
- アクセス権限の剥奪
- 不要になった権限を取り消すこと。最短期限でアクセスを停止させる手順の一部。
- アクセス制御
- 誰が何にアクセスできるかを決定する仕組み。RBACやポリシーで実装される。
- 認証
- 本人確認のプロセス。IDとパスワード、2要素認証などで身元を検証する。
- 認可
- 認証後に権限を付与・拒否する決定。実行権限の有無を判断する。
- RBAC
- ロールベースのアクセス制御。権限をロールに紐づけて管理する手法。
- IAM
- Identity and Access Management の略。ユーザー・権限・アクセスを一元的に管理する枠組み。
- ユーザーライフサイクル
- 新規ユーザーの作成から退職・削除までの一連の管理プロセス。
- グループ管理
- ユーザーをグループ化して権限を一括管理する方法。
- ディレクトリサービス
- ユーザー情報を集中管理するディレクトリ(例: Active Directory)のこと。
- シングルサインオン(SSO)
- 一度の認証で複数サービスへログインできる仕組み。
- SAML
- SAML は SSO 実現時に用いられる認証・連携プロトコルの一つ。
- OIDC
- OpenID Connect の略。認証情報とユーザー属性の安全な交換を可能にするプロトコル。
- 自動化
- 繰り返しの provisioning/deprovisioning 作業を自動で実行すること。
- ワークフロー
- 承認や処理の手順を定義し、自動化・順序性を確保する仕組み。
- ライフサイクル管理
- 資産・権限などの生涯を通じて一貫して管理する考え方。
- ポリシー
- 組織が守るべきルール。設定や運用の基準となる。
- セキュリティポリシー
- セキュリティに関する公式な方針・ルール。
- コンプライアンス
- 法令・規則・監査要件を満たすように管理すること。
- 監査ログ
- 操作履歴を記録するログ。後から検証できる証跡となる。
- 監査性
- 行為の追跡性・証跡性を確保する性質。
- トレーサビリティ
- 誰が何をいつ行ったかを追跡できる性質。
- コスト最適化
- 過剰なリソースを削減し、費用を抑える工夫。
- 資産管理
- リソースや資産の棚卸、構成、配布状況を把握・管理すること。
- リソース削除
- 不要になったクラウドリソースを削除する処理。
- 退職処理
- 従業員の退職時にアカウントと権限を停止・削除する手続き。
- データ削除
- 個人情報などのデータを適切に消去する処理。
- データ保持ポリシー
- データを保持する期間と削除タイミングを定めた方針。
- データライフサイクル
- データの作成から削除までの全体的な管理周期。
- API連携
- 他システムと API で連携して provisioning/deprovisioning を自動化すること。
- 秘密情報管理
- パスワード・APIキー・シークレット等の管理と保護。
- キー管理
- 暗号鍵やシークレット鍵の生成・保管・ローテーションを行う管理。
- 最小権限の原則
- 必要最小限の権限だけを付与する設計思想。
デプロビジョニングの関連用語
- デプロビジョニング
- 既に付与されているアクセス権限やアカウントを取り消し、リソースへのアクセスを停止する一連の手続き。退職時・異動時などに実施します。
- プロビジョニング
- 新規ユーザーやアプリのアクセス権限を作成・割り当て、利用を開始できる状態にする一連の手続き。
- オンボーディング
- 新規ユーザーのアカウント作成と初期設定、権限の割当を行い組織へ迎え入れる過程。
- オフボーディング
- 退職・異動時のアクセス停止、データ回収・デバイス返却などを行う過程。
- アカウント停止
- アカウントを機能停止状態にしてログインを不可にする措置。
- 権限取り消し
- 不要になった権限を撤回する処置。最小権限の原則を実現するためにも重要です。
- 最小権限の原則
- 各利用者には業務遂行に必要最低限の権限のみを付与する考え方。
- RBAC(ロールベースアクセス制御)
- 役割に基づき権限を付与するアクセス制御の枠組み。
- ABAC(属性ベースアクセス制御)
- ユーザー属性や環境条件などの属性を用いて権限を決定する方式。
- SCIM
- System for Cross-domain Identity Managementの略。ID管理の自動化と標準化を支える規格。
- SAML
- Security Assertion Markup Language。SSOを実現する認証情報伝達の規格。
- OIDC
- OpenID Connect。OAuth 2.0を拡張してIDトークンで認証情報を提供する仕組み。
- OAuth
- OAuth。リソースへの限定的なアクセスを第三者に委任する認可フレームワーク。
- SSO
- Single Sign-On。1回の認証で複数サービスへアクセス可能にする仕組み。
- MFA/2FA
- 多要素認証。パスワード以外の要素を加える認証強化。
- ライフサイクル管理
- ユーザーの誕生から退職までの権限・アクセスの全体を管理・自動化する活動。
- 自動化
- 手作業を減らし、スクリプトやツールで provisioning/deprovisioningを自動で実行すること。
- ディレクトリサービス
- ユーザー情報やグループを一元管理する基盤。例:LDAP、Active Directory、Azure AD。
- LDAP
- Lightweight Directory Access Protocol。ディレクトリ情報の検索と管理に使われる規格。
- Active Directory
- Microsoftのディレクトリサービス。組織内の認証・権限管理の中心となるシステム。
- Azure AD
- クラウド型ディレクトリサービス。SSO・ID管理を提供するMicrosoftのサービス。
- HRIS連携
- 人事情報システムと連携して新規採用・退職時の自動 provisioningを実現する仕組み。
- アクセスレビュー
- 権限の適切性を定期的に確認・承認する監査的作業。
- 監査ログ/監査証跡
- 誰が何をしたかを記録するログ。セキュリティとコンプライアンス対応に必須。
- データ保持ポリシー
- データの保存期間と削除ルールを定めた方針。
- データ削除/データ消去
- 不要データを安全に削除・消去するプロセス。
- データバックアップと復元
- データをバックアップして障害時に復元できるようにする対策。
- トークン失効
- 発行済みの認証トークンを取り消してアクセスを停止する手続き。
- セッション管理
- ユーザーの接続セッションを監視・終了・制御する仕組み。
- データマスキング
- 機密データを表示時に隠すことで内部漏洩リスクを低減する対策。
- 機密情報の取り扱い
- 個人情報や機密データの取扱方針とアクセス制御を定める。
- 承認ワークフロー
- 権限付与・変更の承認手続きを定義する仕組み。
- アプリケーションプロビジョニング
- 特定アプリケーションへのアクセス権限を作成・設定する作業。
デプロビジョニングのおすすめ参考サイト
- デプロビジョニングとは - SailPoint
- プロビジョニングとは|IT用語辞典 - SCSK
- プロビジョニングとは - IBM
- ユーザーのプロビジョニングとプロビジョニング解除とは何ですか?
- プロビジョニング解除とは? - Keeper Security
- ユーザープロビジョニングとデプロビジョニングとは何ですか?
インターネット・コンピュータの人気記事
14216viws
2341viws
1043viws
873viws
755viws
750viws
648viws
633viws
582viws
532viws
524viws
492viws
485viws
485viws
481viws
382viws
377viws
370viws
341viws
320viws