Loading
|
@IT > 内部統制のためのアイデンティティ管理セミナー レポート |
@IT情報マネジメント編集部主催の「内部統制のためのアイデンティティ管理セミナー」が、2007年6月19日に青山ダイヤモンドホールで開催された。内部統制に関するセミナーの第2弾となる今回は、内部統制におけるアイデンティティ管理(以下、ID管理)に注目したセミナーで、日ごろからID管理の難しさに苦しんでいる多くの参加者が集まった。 鍋野敬一郎氏の基調講演では、ユーザー調査を基にした数多くのデータが公開され、多くの企業が日本版SOX法や内部統制で苦しんでいる現状が明らかになった。そして、ID管理で最も重要な要素は“ヒト”であり、積極的な意識改革や習熟度アップが必須であると強調した。また、ID管理の運用面は、ツールの選び方次第でかなり楽になると説いた。鍋野氏の基調講演の後は、さまざまな視点からID管理を分析した講演が行われた。ここでは、京セラコミュニケーションシステム(KCCS)の小澤氏と、ソリトンシステムズの目黒氏によるセッション内容を紹介する。
●日本企業に合うID管理は、ニーズを理解した純国産ツールが一番
京セラコミュニケーションシステム(KCCS)は、京セラの情報システム関連部門が独立し、社内ベンチャーとして設立された経緯を持ち、ICT事業としてさまざまなソフトウェアの提供やシステムインテグレーションなどを手掛けている。 同社では、京セラの創業者である稲盛和夫氏が提唱した経営管理手法「アメーバ経営」を実践。市場の動きに迅速に対応するため、組織変更や人事異動を月2回実施しているため、IDの変更が頻繁に発生していた。 頻繁にID変更が行われるため、当然ID管理もかなり難しかった。この状況を改善するために、同社ではID管理システムの自社開発に踏み切ったという。小澤氏は「自社内のニーズから発生した純国産のID管理システムであるため、日本企業に多い“組織や役職に紐付いた権限”にもマッチしやすい、日本の企業風土に合ったシステムだ」と強調した。 ID管理の理想形とは、既存の人事システムのデータをそのままプロビジョニングして利用し、異動発令と同時に業務の切り替えが可能で、さらに組織は組織コードで一意に管理できるような仕組みだ。しかし、現実には人事データの信頼性が低く、そのまま再利用することは難しい。また、派遣社員やアルバイトなど人事システムで管理しないIDの問題も残る。 さらに、組織コードについては、例えば「組織:001=人事部」が「組織:001=法務部」などといったように、組織変更によってまったく関連のない組織でコードが再利用されてしまうといった問題も多い。小澤氏は「そもそも人事システムは社員の住所や給料の管理を目的として作られているものだから、ID管理ツールへのデータ流用は難しくて当たり前だ。その問題を解決し、人事データをID管理ツールへ流用できるように変更・調整する必要がある」と指摘する。 また、どんなにID管理をルール化しても、例外処理が必要なケースが出てくる。例えば、結婚改姓の問題だ。多くの企業の場合、人事システムでは戸籍上の新姓になるが、IDや通称は旧姓のままにしたいという要望もある。反対に新姓で統一したいという要望も存在し、まとめるのは難しい。このようなケースを「プライバシーが絡む問題なので、ルール化するのは難しい。個別対応するしかないだろう」(小澤氏)と説明する。 事例紹介では、人材総合サービスを手掛ける、売上高400億円、正社員数1000名+派遣・契約社員数百名規模の会社を取り上げた。業界的に個人情報保護法を特に重視しており、情報セキュリティ確保の観点からID管理システムの導入を決めた。一方、雇用形態が多く6種類以上存在したほか、急成長の過程でシステムが増加し、社内IDだけで1人10以上あったという。 特に問題になったのが、現場が採用する派遣社員などのいわゆる“現場スタッフ”だ。現場スタッフは多くの場合、現場裁量で採用するため、人事を通さずシステム部門に直接、「派遣スタッフが来るから、明日までにIDを作って欲しい」という要望が来る。一方、その派遣スタッフが辞めるときには、「明日辞めるからIDを削除してほしい」といってくるケースはほとんどない。このような現場スタッフ用のIDを何度も作るうちに“ゴミID”がどんどん増えてしまうのだ。
このような問題を解決するためには、「IDライフサイクルの把握」が必要だという。IDライフサイクル管理とは、正社員や派遣社員といった「対象IDの種類」と、人事異動や昇進などによってIDがいつ生まれ、いつ消えるのかを決めた「人事イベントの種類」を把握し、それに合わせてIDを適切に管理することだ。さらに、対象システムの把握や要件定義をきちんと行うことで、ID管理は大幅に改善する。 ID管理ツールの選定ポイントとしては、「アダプタ数が多ければいいわけではない」点と「日本的な考え方へ対応している」点が重要だという。日本の企業では、個別開発によるシステムを利用しているケースが多いため、標準で提供されているアダプタでの対応が難しい場合が多い。そのため、ファイルでの連携やデータベースとの連携ができていれば十分なケースが多い。また、日本特有の組織や、役職に依存する権限、兼務や出向に柔軟に対応できるツールであることが重要だ。 その点、同社のID管理ツール「GreenOffice Directory」のVersion 3.7では、人事データを一括で取り込み、Active DirectoryやRDBに対しプロビジョニングが可能なほか、監査に対してロギングレポートも可能となっている。中でも、「事前準備機能」が評価されているという。 事前準備機能とは、仮に4月1日に大幅な人事異動がある場合、4月1日に人事データをID管理システムに流し込んで権限を変更したとすると、万が一、人事データにミスがあった場合には大問題となる。そこで、4月1日より以前に、人事データを準備環境へ登録し確認を行う。問題がないと確認された後、4月1日にデータが本番環境へ適応できるようスケジューリングを行う。この機能により、徹夜作業で行っていた確認作業負荷がなくなり、確実なデータ登録が可能となる。 小澤氏は、「現在の業務とID管理のあるべき姿には、必ず現実のギャップが存在するものだ。KCCSでは、自社に始まり、導入の経験で学んだノウハウ、自社が米国SOX法に対応した際のポイントを、GreenOffice Directoryにふんだんに盛り込んでいる。セキュリティレベルの向上に加え、管理コストの低減と法整備にも対応できるツールに仕上がった」と語り、自信を見せた。
●安くID管理ツールを導入するには“シンプル化”がポイントに
ソリトンシステムズの調査によると、「なぜID管理ツールを導入しないのか?」という問いに対し、約50%のユーザーが「導入コスト」を、40%強のユーザーが「運用管理コスト」を挙げるなど、導入・運用コストが大きなハードルになっているという。また、「ID管理知識不足」や「ID、Passの漏えいリスク」といったID管理に対する知識・理解不足から、難しい・不安なイメージも障壁となっていた。 実際のケースにはどこに時間とコストが掛かっているのだろうか。目黒氏によると、ほとんどのケースでは、人事システムとの連携・調整やポリシー設定といった「要件定義」と「社内調整」に多くの時間がかかっているという。 では、どうすれば時間とコストを減らすことができるのだろうか。その点について、同氏は「設定情報を少なくする」「できる限りルールに基づいた運用にする」「インストール環境をシンプルにする」の3点を挙げた。 例えば、同社が1998年に手掛けたA社の場合、2万ユーザーを有する大企業で組織変更も頻繁に行われていた。また、要望も多く、「ネットワークドライブを各自に割り当てたいから、ログオンスクリプトも登録してほしい」や「各自に割り当てているホームディレクトリも異動のたびに同時に変更させたい」といった機能も、ID管理側に求められたという。ソリトンシステムズでは、このシステムを可能な限り時間とコストを掛けずに実現するために、前述の3つの施策を実施した。 具体的には、まずユーザー情報を最小限にするために、登録情報を「社員番号、名前、部署、役職」の4つだけに絞った。メールアドレスはルール化して「名+姓@ドメイン」にしてしまえば、メールアドレスをユーザー情報として保存する必要がなくなる。このように、可能な限り登録する情報をルール化・シンプル化することで、自動化できる範囲を広げて運用負担が軽くなるようにした。 逆に、社員の要望をベースに例外ルールを増やしてしまうほど、手動での管理が必要となり運用負担が増す。つまり、可能な限りルール化して自動化することでコストと時間を節約したのだ。目黒氏は、「リクエスト部分を増やすほど、細かい要求にも対応できるが、その分コストがかさむ。リクエスト部分とルール部分の配分は、コストに応じてバランスを取ることが大事だ」と説明した。 また、システムをシンプル化するために、マスター情報を持つデータベースと各システムを同期させる一般的な手法ではなく、最小限のユーザー情報とポリシー、リクエストという3つの情報を1つのPCにまとめ、各システムへ配信する構成を実現した。これにより、大規模なデータベースを用意せずに、一般的なPCで済むためハードウェアコストも低減できるという。
一方、内部統制の観点では、監査に対応するために「ルール通りに設定されているか」と「不正なユーザーの検出」の2点が重要になる。特に不正なユーザーの検出に関しては、きちんとログを取って、後日適切に追える必要があるという。 さらに、この監査対応を継続的に運用するために、「ポリシー定義(Plan)」「ID管理の自動化(Do)」「チェック&レポート(Check)」「不具合の修正・適正化(Action)」のPDCAを回していくことが、ID管理における内部統制監査では重要だと強調した。 このような「時間とコストを掛けないID管理」を実現するのが、ソリトンシステムズのID管理ツール「ID Admin」だ。 ID Adminは、人事システムから社員番号や名前などの必要な情報を自動取得してくる「IDマスタ」、ユーザー属性情報をルールに基づいてマッピングする「ポリシーマスタ」、マッピングされた情報をActive Directoryなどのリソースに登録する「処理エンジン」、ポリシーマスタで設定されている状況と実IDの状況との整合性を監査する「監査エンジン」の4つの機能を持つ。特に「IDマスタ」「ポリシーマスタ」「処理エンジン」の3つの機能によって、同社が提唱する「時間とコストを掛けないID管理」を実現できるのだ。 また、内部統制においては、監査エンジンが重要な役割を果たす。例えば、「意図していないグループのメンバーになっていないか?」や「退職者など不正なIDは存在していないか?」などのチェックを自動的に行い、監査結果を数値化してレポートする。レポート時には、具体的なエラー個所を指摘するため修正も容易だ。目黒氏は、監査エンジンについて「監査エンジンが、IDがすべて適正化するまで監査→修正をサポートしてくれるので、内部統制において大きな助けとなるだろう」と自信を見せた。 さらに、ソリトンシステムズでは認証アクセス制御ソリューション「SmartOn」による認証サービスや、パスワード管理ツールによるアクセス制御、ログなどのソリューションを提供しており、ID管理ツールとこれらを連携することにより、ワンストップの内部統制対策支援を行えるという。 目黒氏は、ID Adminがすでに250社以上、80万ライセンス以上の実績を持つ点を挙げ、「ID管理ツールの導入は、企業によって大きく異なる。運用ルールもそれぞれだ。その点、250社以上の導入実績がある当社では多くのノウハウを持っている点も大きい。可能な限り『時間とコストを掛けずに実現できるID管理』を提供していきたい」と、強くアピールした。
提供:株式会社京セラコミュニケーションシステム 株式会社ソリトンシステムズ 企画:アイティメディア 営業局 制作:@IT 編集部 掲載内容有効期限:2007年8月1日 |
|