第1回 “ID管理システム化プロジェクト”のその後
小澤 浩一
京セラコミュニケーションシステム株式会社
グリーンオフィス事業部長
徳毛 博幸
京セラコミュニケーションシステム株式会社
グリーンオフィス事業部 ソリューション部長
2009/2/26
ID管理システムは内部統制が叫ばれたタイミングで注目され、すでに導入済みで運用を行っている企業も多いかと思います。ID管理システムは企業に密着しているため、運用してみないと分からないことも多いのです。本連載では、導入が一段落したいまだからこそ分かるID管理システムのいまを解説します(編集部)
いわゆるJ-SOXの本番を控え、ID管理のシステム化に取り組んだ企業は多い。その後、システム化を終えた企業はどのような状況なのだろうか。
ここ数年、ID管理のシステム化(特にパッケージ導入)に取り組む企業は多い。その目的は、J-SOX対応、コスト削減、セキュリティ強化などさまざまであるが、これらの取り組みを終えた企業の現状もさまざまである。一様に当初の目的に対してある程度の成果を出しているものの、副作用とも呼ぶべき事態に陥っているケースや、次のステップに向けて当初の計画の変更を余儀なくされているケースがある。
「実践・アフターJ-SOX時代のID管理」という記事の中で、すでにシステム化を終えた企業の事例から扱うのは変則的ではあるが、システム化を終えた企業の状況から触れてみたい。それも“トホホな事例”が中心になるが、今後、ID管理のシステム化に取り組んだり、ID管理システムの刷新を考えたりといったIT部門にとっては、多少なりとも参考になる内容ではないだろうか。なお守秘義務の観点から、特定した企業の事例ではなく、よくある事例であることをご了承いただきたい。
ID管理を実現した企業の現実
繰り返しになるが、ID管理のシステム化の動機・背景は、企業によりさまざまである。例えば、セキュリティ強化、マスタメンテナンスのコスト削減、エンドユーザーの利便性向上とシステム利用の促進、あるいは陳腐化したIT基盤の再構築など、各社各様である。しかし、ここ数年では、いわゆるJ-SOXに向けて、「ID管理は、コンプライアンス(法令順守)の基盤である」という考え方が共通に存在し、コンプライアンス推進のためにID管理をシステム化した(したい)という企業は多い。まずは1つ事例を挙げてみよう。
●金融業A社: いまではシステムに対する監査は、片手では足りないほどの基準・法規に対応するものになっている。 一方、IT部門は、各種の業務規定に沿ったIT運用が行われていることを証明する証跡の確保、記録の作成などの監査対応業務に追われ、戦略的IT導入どころか、日々のIT運用にさえも支障をきたす状況である。 |
「コンプライアンス不況」という言葉がいわれるようになってしばらくが経過する。この例は、社内の出来事であるため「コンプライアンス不況」とはいえないまでも、コンプライアンスが企業の成長力を阻害しているケースといえるだろう。
また、ID管理のシステム化は進んでいるものの、世にあるID管理製品の価格は、依然として、決して安くはない。ID管理の製品価格を押し上げているものは、(データ量と処理時間の問題・各種のシステムとのアダプタの開発を考慮から外すと)技術要件というよりも、業務要件にある。このことには、なかなか気付きにくい。
では、もう1つ事例を紹介しよう。
●製造業B社: ID管理は、ITスキルの高いメンバーAさんがいたためMicrosoft Access、Microsoft Excelなどを駆使したツールを社内で作成し半自動化していた。さまざまな運用変更や業務ルールの改正があったが、都度、Aさんがメンテナンスを行ってきた。しかし、Aさんは退職してしまった。十分なドキュメントも残っていなかったため、新たに発生した要件に対するメンテナンスが不可能になった。 また、過去にさかのぼって、ID発行に関するポリシーやドキュメントもきちんと残っておらず「○○という条件の場合▲▲システムへのIDが付与される理由が分からない」ということも発生していた。 後任者のBさんは、追加要件への対応のためにポリシーの整理、ツールの再構築が必要であると判断し、なんとか上司を説得したが、数年後にはまた同じ状態(担当者変更で仕様不明、メンテナンス不可)に陥るのではないだろうかと不安である。 |
おそらくAさんは在職当時、ITスキルによってID管理、アクセス管理のコストを削減した人物として高い評価を得ていたであろう。さらに後任のBさんは、残されたツールを見て呆然としただけでなく、新たな開発コスト、製品購入コストを発生させる「できないやつ」と評価されたかもしれない。
読者の社内にも、企業システムへの考え方という点で、Aさんのような方もBさんのような方もいるのではないだろうか(読者の中にAさんがいないことを願うが)。さらに、退職という極端なケースでなくとも、担当者変更に際して、運用手順、操作手順のみが引き継がれ、運用ルールやその背景となる考え方が引き継がれなかったというケースは、さまざまな社内システムで発生している。特に、業務要件が複雑になりがちなID管理を引き継ぐような場合、この傾向は顕著になる。
1/3 |
 |
| Index | |
| “ID管理システム化プロジェクト”のその後 | |
 |
Page1 ID管理を実現した企業の現実 |
| Page2 名前が付いていなかった“ID管理”という業務 ID管理とは全社を巻き込むもの、それができないと…… |
|
| Page3 いまだからこそ問いたいID管理のあるべき姿 ID管理をシステム化しなくてはならない理由 |
|
 |
実践・アフターJ-SOX時代のID管理 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
