第2回 いま、あなたの会社にID管理システムが必要な理由
小澤 浩一
京セラコミュニケーションシステム株式会社
コミュニケーションサービス事業部 副事業部長
徳毛 博幸
京セラコミュニケーションシステム株式会社
BPO事業部 副事業部長
2009/4/6
時代とともに変化する「ID管理をシステム化すべき理由」。ITでいま最も求められるポイントを、ID管理システムでどうクリアすべきかを解説する(編集部)
第1回「“ID管理システム化プロジェクト”のその後」ではID/アクセス管理のシステム化に取り組んだ企業の“その後”を振り返ってみた。第2回からは、ID/アクセス管理のシステム化プロジェクトについて、そのポイントを見ていきたい。
ID管理プロジェクトの目的は何か
ID/アクセス管理のシステム化も、そのほかのシステム化プロジェクトと同様に、何らかの目的があり、プロジェクトがスタートする。ではID/アクセス管理のシステム化には、どのような目的があるのだろうか。まずは、システム化プロジェクトの準備編として、その目的について考えてみたい。
多くのシステム化プロジェクトは、競争激化、好況/不況、法整備など、企業を取り巻く環境の変化に応じて行われる。そのような環境変化に自社の実態を照らし合わせて、各種業務のシステム化プロジェクトは進められる。これはID/アクセス管理も同様である。
企業を取り巻く環境の変化
筆者の企業がID管理システムを販売開始した2004年ころより、多くの企業のID管理システム化を支援させていただいた。その経験から、ID/アクセス管理のシステム化の目的が、下表のように時代とともに移り変わってきているのを感じている。
年代 |
テーマ |
|
| ID管理黎明(れいめい)期 | 2000年前後 | IT運用管理工数削減のためのID管理システム化 |
| 個人情報保護法対応期 | 2004年ころ | 情報漏えい対策としてのID管理システム化 |
| J-SOX対策期 | 2006年ころ | アクセス管理の前提としてのID管理システム化 |
| 金融危機+アフターJ-SOX期 | 2008年秋以降 | コスト削減・業務効率化のためのID管理システム化 |
2000年前後には、ID管理は情報システム部門の省力化を支援するものとして期待されていた。とくに従業員1000人前後の企業で、情報システム部門でインフラからアプリケーションまですべての企業内ITの運用管理を行っていた企業での事例が多かった。振り返ってみると、「1000人前後」という規模がポイントであった。1000人を超える企業の情報システム部門では、ネットワークやメールなど全社インフラ的なITの管理のみを行っていた。そして業務アプリケーションは、それぞれの主幹部門で運用を行うケースが多かった。つまり大企業においてはむしろID/アクセス管理の工数は分散しており、問題は顕在化していなかった。
当時、さまざまな業務改善、効率化、OA化の一環で、企業内にはさまざまなITが導入され、現場の業務効率化が進んだ。その一方で情報システム部門の管理工数が大きくなっていたことが問題としてクローズアップされていた。企業はビジネスを拡大すると同時に従業員数も増加する傾向にある。従業員の追加雇用においては非正社員(派遣、委託、パートなど)の割合も増え、それら複雑な雇用形態もID/アクセス管理の課題を大きくしていた。
情報システム部門は、日々のIT運用できゅうきゅうとし、本来の使命である企業にとっての戦略的IT化に手が回らなくなり始めていた。そのようななか、情報システム部門の業務を省力化するものとしてID管理が注目を集め始めたといえる。
その後、通信業界などで発生した大量の顧客個人情報漏えい事件が社会的な問題となった。とくに「グループID(共有ID)」を使用した情報漏えい事件や個人情報保護法の施行などを受け、情報漏えい対策、セキュリティ強化を支援するものとしてID管理が注目を集める。1人1IDを徹底することで、ログなどと併せて事件発生時の追跡を可能にする、不正行為への抑止力を発揮するという目的である。
時代とともに移り変わる「ID管理システムが必要な理由」
一方、1人1IDを徹底するには大きな労力が必要だ。結果、この労力を低減するためにID管理をシステム化しようという動きが出てきた。現場はIDの発行についてはタイムリーな発行を要求してくるが、IDの削除についてはタイムリーに削除を連絡してくることはまずない。そのため、前回触れたような幽霊ID問題が起こりがちである。このような問題を回避することもID管理システム化の目的の1つであった。
そして、米国発のSOX法を基にしたJ-SOXが施行されるのを受け、内部統制強化としてアクセス管理とその前提としてのID管理が必要となった。このとき「必要な人に必要なだけの権限を与える」「権限付与の承認記録を管理する」「定期的な棚卸しなどを実施し、必要以上の権限が与えられていないことを確認する」という業務が必要となった。
それまでも現場には運用管理コストの低減というニーズがあったなかで、さらにトップダウンで内部統制強化というニーズも出てきたため、このタイミングでシステム化を推進した企業が最も多いのではないだろうか。
さらに2008年秋以降は、(これもまた)米国発の金融危機を受け、企業内のITコストの見直し、とくにIT運用コストの削減ニーズを受けて、ID管理システム化の機運がさらに高まるようになった。2009年に入ってからは、J-SOX初年度は「なんとか人海作業で乗り切れそうだが、来年以降もこれを続けるとなると……」といった企業から、J-SOX監査における工数削減を検討し始める声も聞こえてきた。
このようにID/アクセス管理のシステム化の動機、目的は、時代とともに移り変わり、また、企業により優先順位はさまざまではあるものの、「セキュリティ強化」「内部統制強化」「コスト削減」が、その三本柱であることは変わらない。また、この3点が互いに矛盾したり打ち消しあったりすることなく、同時に並び立つのもID/アクセス管理システム化の特徴である。
例えば、セキュリティ強化の一環で、情報漏えい対策に取り組み、クライアントPCのハードディスク暗号化、USBデバイス制御ツールを展開する場合、セキュリティは強化されるが、ユーザー、管理者とも運用管理コストが上昇する。一方、ID/アクセス管理については、1人1IDの徹底などセキュリティの強化、基盤づくりが進むものの、運用管理に掛かるコスト低減も期待できる。
これからID管理に取り組むのであれば、読者の企業を取り巻く環境と経営ニーズをかんがみ、何を主要テーマに取り組むべきかを検討いただきたい。
1/3 |
 |
| Index | |
| いま、あなたの会社にID管理システムが必要な理由 | |
 |
Page1 ID管理プロジェクトの目的は何か 企業を取り巻く環境の変化 時代とともに移り変わる「ID管理システムが必要な理由」 |
| Page2 ID管理業務のコストとリスクを把握する コストを計る――大きな繁閑の差をどう考えるか 情報漏えい対策としてのID管理システム |
|
| Page3 ID管理システムのリスクを測る 必要なのは「企業文化や業務内容に詳しいパートナー」 |
|
 |
実践・アフターJ-SOX時代のID管理 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
