セキュリティとプライバシー・バイ・デザイン( SPbD )概要

オンラインで編集する

IBM® の「Security and Privacy by Design( SPbD )」では、 IBM が製品開発の初期段階からセキュリティとプライバシーを重視して製品を構築している様子が紹介されています。 セキュリティを後付けするのではなく、 IBM では脅威モデリング、プライバシーレビュー、コードスキャン、ペネトレーションテスト、継続的モニタリングといった手法を開発ライフサイクル全体に組み込んでいます。 このアプローチにより、 IBM watsonx Orchestrate が強固かつ安全な基盤の上に構築されることが保証されます。

このドキュメントでは、 watsonx Orchestrate で利用可能なセキュリティおよびプライバシー機能、特にGDPRへの対応を支援する機能について説明します。 各組織が製品を異なる方法で設定するため、これは完全な要件リストではなく、利用可能な機能を理解するためのガイドです。

IBM のセキュアエンジニアリングへの全体的なアプローチについて詳しく知りたい場合は、『 IBM 』の「 Redbooks Security in Development - The IBM Secure Engineering Framework 」をご覧ください。

次のセクションでは、これらの原則が、 watsonx Orchestrate のID管理、認証、および資格情報管理機能においてどのように反映されているかを説明します。

ID およびアクセスの管理

watsonx Orchestrate のIDおよびアクセス管理機能により、自動化されたワークフローや統合システム全体において、安全で監査可能な、コンプライアンスに準拠したやり取りが確保されます。 以下の機能は、ユーザーがどのようにサインインし、その身元情報が他のシステムに渡されるかを示しています。

フェデレーテッドIDとシングルサインオン(SSO)

フェデレーションを有効にすると、 IBM ( watsonx Orchestrate )は、組織のIDプロバイダー( IdP )と連携して動作します。 つまり、職場で既に使用しているユーザー名とパスワード(企業の認証情報)を使ってサインインできるため、 watsonx Orchestrate 用に別途ログインする必要はありません。

サインイン後、 watsonx Orchestrate は、接続先のシステムや、ユーザーに代わってタスクを実行するエージェントに対して、認証済みのユーザー情報を共有します。

アイデンティティ伝播は以下を保証します:

  • ログイン回数の削減:一度サインインすれば、システム全体で認証状態が維持されます。

  • 一貫した権限設定:既存のエンタープライズアクセスルールが自動的に適用されます。

  • 明確な説明責任:エージェントがアクションを実行する際、システムはどのユーザーがそれを開始したかを把握している。

これにより、自動化されたワークフローが業務の安全な拡張機能として機能し、業務を容易にし、コンプライアンス要件を満たします。

統合ソリューションのための安全な認証

IBM watsonx Orchestrate さまざまな外部システムに接続可能ですが、システムごとに異なる認証方法が必要になる場合があります。 watsonx Orchestrate 業界標準の認証方式をいくつかサポートしているため、対象システムに適した方式を選択できます。

サポートされている認証方法には以下が含まれます:

  • 基本認証(ユーザー名とパスワード)

  • APIキーベースの認証

  • ベアラートークン認証

  • キーと値のペア認証

  • OAuth 2.0、具体的には:

    • 認証コード

    • クライアント資格情報

    • パスワード

使用する認証タイプが不明な場合は、適切な方法に関するガイダンスを得るために、外部システムの統合ドキュメントを参照してください。

各方法の詳細については、 「認証タイプの概要」 を参照してください。

認証情報の管理と安全な保管

watsonx Orchestrate 認証情報を保存・管理するための柔軟な方法を提供しており、組織のセキュリティ要件に合ったアプローチを選択できます。

接続は次の方法で設定できます:

  • チーム認証情報 :システムが一般的な統合に使用する共有認証情報

  • メンバー認証情報 :各ユーザーに紐付けられた認証情報。外部システムへの個別アクセスに使用される

これらのオプションの選択は、組織の権限管理方法と、統合に必要なパーソナライゼーションのレベルによって異なります。

認証情報を安全に保つため、 watsonx Orchestrate ではいくつかの保護メカニズムを採用しています:

  • 強力な暗号化:システムに保存された認証情報は、不正アクセスを防ぐために暗号化されています。

  • 認証情報の分離:認証情報は分離して保持されるため、あるテナントやユーザーが別のテナントやユーザーの認証情報にアクセスすることはできません。

  • 外部保管庫の統合:本製品は CyberArk などの企業ツールと連携し、実行時に安全に認証情報を取得できます。 これにより、エージェントは常に最新かつ最も安全な認証情報を使用し、製品内に直接保存されることはありません。

これらの保護策は、安全なアクセスを維持し、GDPRを含むコンプライアンス要件をサポートします。