第1回 “ID管理システム化プロジェクト”のその後


小澤 浩一
京セラコミュニケーションシステム株式会社
グリーンオフィス事業部長

徳毛 博幸
京セラコミュニケーションシステム株式会社
グリーンオフィス事業部 ソリューション部長
2009/2/26
ID管理システムは内部統制が叫ばれたタイミングで注目され、すでに導入済みで運用を行っている企業も多いかと思います。ID管理システムは企業に密着しているため、運用してみないと分からないことも多いのです。本連載では、導入が一段落したいまだからこそ分かるID管理システムのいまを解説します(編集部)

 いわゆるJ-SOXの本番を控え、ID管理のシステム化に取り組んだ企業は多い。その後、システム化を終えた企業はどのような状況なのだろうか。

 ここ数年、ID管理のシステム化(特にパッケージ導入)に取り組む企業は多い。その目的は、J-SOX対応、コスト削減、セキュリティ強化などさまざまであるが、これらの取り組みを終えた企業の現状もさまざまである。一様に当初の目的に対してある程度の成果を出しているものの、副作用とも呼ぶべき事態に陥っているケースや、次のステップに向けて当初の計画の変更を余儀なくされているケースがある。 

 「実践・アフターJ-SOX時代のID管理」という記事の中で、すでにシステム化を終えた企業の事例から扱うのは変則的ではあるが、システム化を終えた企業の状況から触れてみたい。それも“トホホな事例”が中心になるが、今後、ID管理のシステム化に取り組んだり、ID管理システムの刷新を考えたりといったIT部門にとっては、多少なりとも参考になる内容ではないだろうか。なお守秘義務の観点から、特定した企業の事例ではなく、よくある事例であることをご了承いただきたい。

 ID管理を実現した企業の現実

 繰り返しになるが、ID管理のシステム化の動機・背景は、企業によりさまざまである。例えば、セキュリティ強化、マスタメンテナンスのコスト削減、エンドユーザーの利便性向上とシステム利用の促進、あるいは陳腐化したIT基盤の再構築など、各社各様である。しかし、ここ数年では、いわゆるJ-SOXに向けて、「ID管理は、コンプライアンス(法令順守)の基盤である」という考え方が共通に存在し、コンプライアンス推進のためにID管理をシステム化した(したい)という企業は多い。まずは1つ事例を挙げてみよう。

●金融業A社:

  J-SOX以前から、金融庁の監督の下、また海外現地法人については諸国の金融庁相当の監督の下、さまざまなITのコンプライアンス対応を進めてきた。当然、ID管理のシステム化も行った。

 いまではシステムに対する監査は、片手では足りないほどの基準・法規に対応するものになっている。

 一方、IT部門は、各種の業務規定に沿ったIT運用が行われていることを証明する証跡の確保、記録の作成などの監査対応業務に追われ、戦略的IT導入どころか、日々のIT運用にさえも支障をきたす状況である。

 「コンプライアンス不況」という言葉がいわれるようになってしばらくが経過する。この例は、社内の出来事であるため「コンプライアンス不況」とはいえないまでも、コンプライアンスが企業の成長力を阻害しているケースといえるだろう。

 また、ID管理のシステム化は進んでいるものの、世にあるID管理製品の価格は、依然として、決して安くはない。ID管理の製品価格を押し上げているものは、(データ量と処理時間の問題・各種のシステムとのアダプタの開発を考慮から外すと)技術要件というよりも、業務要件にある。このことには、なかなか気付きにくい。

 では、もう1つ事例を紹介しよう。

●製造業B社:

 ID管理は、ITスキルの高いメンバーAさんがいたためMicrosoft Access、Microsoft Excelなどを駆使したツールを社内で作成し半自動化していた。さまざまな運用変更や業務ルールの改正があったが、都度、Aさんがメンテナンスを行ってきた。しかし、Aさんは退職してしまった。十分なドキュメントも残っていなかったため、新たに発生した要件に対するメンテナンスが不可能になった。

 また、過去にさかのぼって、ID発行に関するポリシーやドキュメントもきちんと残っておらず「○○という条件の場合▲▲システムへのIDが付与される理由が分からない」ということも発生していた。

 後任者のBさんは、追加要件への対応のためにポリシーの整理、ツールの再構築が必要であると判断し、なんとか上司を説得したが、数年後にはまた同じ状態(担当者変更で仕様不明、メンテナンス不可)に陥るのではないだろうかと不安である。

 おそらくAさんは在職当時、ITスキルによってID管理、アクセス管理のコストを削減した人物として高い評価を得ていたであろう。さらに後任のBさんは、残されたツールを見て呆然としただけでなく、新たな開発コスト、製品購入コストを発生させる「できないやつ」と評価されたかもしれない。

 読者の社内にも、企業システムへの考え方という点で、Aさんのような方もBさんのような方もいるのではないだろうか(読者の中にAさんがいないことを願うが)。さらに、退職という極端なケースでなくとも、担当者変更に際して、運用手順、操作手順のみが引き継がれ、運用ルールやその背景となる考え方が引き継がれなかったというケースは、さまざまな社内システムで発生している。特に、業務要件が複雑になりがちなID管理を引き継ぐような場合、この傾向は顕著になる。

1/3

Index
“ID管理システム化プロジェクト”のその後
Page1
ID管理を実現した企業の現実
  Page2
名前が付いていなかった“ID管理”という業務
ID管理とは全社を巻き込むもの、それができないと……
  Page3
いまだからこそ問いたいID管理のあるべき姿
ID管理をシステム化しなくてはならない理由


実践・アフターJ-SOX時代のID管理 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間