第1回 “ID管理システム化プロジェクト”のその後


小澤 浩一
京セラコミュニケーションシステム株式会社
グリーンオフィス事業部長

徳毛 博幸
京セラコミュニケーションシステム株式会社
グリーンオフィス事業部 ソリューション部長
2009/2/26

 名前が付いていなかった“ID管理”という業務

 J-SOXでにわかに注目を集めたID管理であるが、もちろん、J-SOXと同時に提唱された概念ではない。

 “ID管理”とは、IDとパスワードを使用してログインを行い、権限によって実行可能な操作が変えられるシステムが登場したころから存在した作業である。社員が入社し、申請が行われればIDを発行し、パスワードを設定する。退職者が出ればIDを抹消し、特権が必要と申請があれば権限を追加し、という作業が日常的に行われているだろう。

 しかし、当時は“ID管理”という言葉は存在しなかった。業務として名前の付いていない作業の手順やルールが明確にされていたとは考えにくい。おそらくどの企業でも、システム運用担当者の頭の中に、日々のシステム運用業務の一環として、また、ノウハウや経験として、さまざまな手順やルールが蓄積されていったのではないだろうか。ここでも実例として、C社の事例を見てみよう。

●サービス業C社:

 セキュリティレベル向上のため、まず、ID管理のシステム化に取り組んだ。ID発行、アクセス権付与の業務プロセスを再び整理したことで、それまではあいまいに存在し、またあちこちに分散していた業務が明確化され、責任も明確になった。

 一方、責任部門となった部署では、かえって業務負荷がこれまでよりも高まったように感じている。しかしながら、監査会社からはシステムを含めたID管理・アクセス管理の運用についてお墨付きをもらえてほっとしている。業務負荷をどう下げるかが今後の課題である。

 多くの企業では、ID管理のシステム化を考えた時点でまず業務の整理が始まる。それまで社内のさまざまな部門に散在していた業務・手順がこの整理によってようやく明確になる。あるいは、手順やルールが作業担当者の頭の中にしかないことや、前述のように手順のみが存在しルールが明文化されていないことが明確になる。そして、それにかかるコストやリスク、本来の責任が明確になる。

 例えば従業員の数、氏名、属性、組織構成などに関する責任はどの部門にあるのだろうか。Aさんに購買システムの承認権限を与えることは、誰の責任・権限でできるのか。Bさんが産休で長期に休む場合、その間、メールシステムにはログインできてよいのか。他社出向の場合はどうなのか。などである。

 加えて、経理システムは経理部門が、販売管理システムは営業部門が、それぞれ運用ルールの取り決めやID・アクセス権の変更作業を行っていたというような場合がある。その場合、ID管理をシステム化することで、そのポリシーや権限変更に関する責任がIT部門に移管されることになる。すべての責任を負わされたのでは、IT部門もたまったものではなく、ID・アクセス権の付与・削除に関して、細心の注意を払って、厳重なチェックをしなければならなくなってしまったということもあるだろう。

 ID管理とは全社を巻き込むもの、それができないと……

 そしてID管理のシステム化においては、さまざまな部門との調整が必要だといわれている。

 まず、インプットとなるユーザー、従業員の情報の入手についてだが、正社員については人事システムから入社、退職の情報を入手できるだろう。一方、派遣社員は、現場で契約、採用、契約終了処理を行っており、人事システムには登録されていないという企業が一般的だろう。こういった人事システムで管理していない従業員の情報も、その派遣社員がシステム利用者であるならば、ID管理システムを運用するIT部門で収集していかなければならない。

 この情報を正確かつタイムリーにシステムに反映し、運用をスムーズに効率的に行っていくには、現場との調整・現場の協力が必要不可欠である。この調整に掛かるコストは、IT部門と現場の力関係や、トップマネジメントのID管理・アクセス管理のシステム化へのコミットメントによっても、大きく変わってくるだろう。

 これについて事例を見てみよう。

●製造業D社:

 全社情報システム基盤の再構築プロジェクトの中で、メールシステムの刷新、グループウェアのリプレイス、ID管理およびアクセス管理のシステム化を行った。さらに、セキュリティへの取り組みを強化するという会社方針のもと、社員に貸与するPC、社屋・業務スペースへの入館・入室についても社員証のICカードを使った物理セキュリティのシステムが導入され、そのID管理も必要となった。

 対象となるユーザーをカウントしたところ、これまでの情報システムを対象としたID管理とは異なり、パートやアルバイト・設備工事を行う業者・関連子会社からの出張者など、対象が膨大になり、従来比で2.5倍のIDを管理する必要があることが分かった。

 さらに、ID管理・アクセス管理システムのインプットとなるヒトの情報を従来の人事部門ルートだけでは入手できないことも分かった。さまざまな部門との調整が必要になり、厳格に整備した既存のID管理・アクセス管理システムには載せられないと判断し、別途、入退館システムとの連携のためのマスタを開発することにした。

 理想的には、全体コストという点で集中管理されてこそセキュリティ面、コスト面で効果のあるID管理・アクセス管理ではあるが、現実には、調整が難航したり、そもそも調整ができなかったり(最初からあきらめていたり)といった理由で、システムも二重化、運用も二重化されてしまうというケースが起こりがちである。

2/3

Index
“ID管理システム化プロジェクト”のその後
  Page1
ID管理を実現した企業の現実
Page2
名前が付いていなかった“ID管理”という業務
ID管理とは全社を巻き込むもの、それができないと……
  Page3
いまだからこそ問いたいID管理のあるべき姿
ID管理をシステム化しなくてはならない理由


実践・アフターJ-SOX時代のID管理 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間