バージョン3から新たに取り上げられたサービス運用のプロセスの中に、アクセス管理 があります。このプロセスに関わる記述はバージョン2の書籍群の中にも散見されますが、 1つのプロセスとして明示的に言及しているのはバージョン3からのようです。
アクセス管理は、セキュリティ管理と可用性管理で定義されたポリシーや行動の実践です。 1つのプロセスとして取り上げられるようになった背景には、内部統制の強化という時代の流れを感じ 取ることができます。SOX法(サーベンス・オクスリー法:Sarbanes-Oxley Act)、 J-SOX法(金融商品取引法)などの施行により、アクセス管理の重要性はますます高まって います。
アクセス管理は権限のないユーザのアクセスを防ぎながら、サービスの利用権を持つユーザに 権限を付与するプロセスです。アクセスを求めるユーザを特定し、その要求が正当であるかどうか を判断しなければなりません。
サービスに対するアクセス権限はユーザごとに管理しますが、組織や職務などグループ単位で管理 することもあります。従って、組織に属するユーザに対しては入社や退社、昇格や降格、移動や 職務変更などに伴う権限のコントロールが求められます。すなわちアクセス管理は、人事管理 プロセスとの連携も不可欠なのです。
一方、アクセス管理は付与した権限が適切に使用されていることを確実にする責任もあります。 アクセスの監視やコントロールは、技術管理機能、 アプリケーション管理機能、およびサービス運用のプロセスによって実行されますが、 その調整は一点に集約されるべきです。通常、サービス運用管理機能か サービスデスクがその役割を担います。
アクセス管理は、誰がサービスを利用できるかを決定する訳ではありません。サービス戦略や サービス設計で定義されたポリシーや制約を実践するプロセスです。