第2回 いま、あなたの会社にID管理システムが必要な理由
小澤 浩一
京セラコミュニケーションシステム株式会社
コミュニケーションサービス事業部 副事業部長
徳毛 博幸
京セラコミュニケーションシステム株式会社
BPO事業部 副事業部長
2009/4/6
ID管理業務のコストとリスクを把握する
ID/アクセス管理に限らず、すべてのシステム化プロジェクトは、その費用対効果を確認する必要がある。ID管理においては、発生した1つの変更をどれだけのシステムに反映するかという処理件数が、そのコストに直結する。
例えば中途採用で社員を1人採用したらどれだけのシステムにIDを登録するのか、人事異動があるとどれだけのシステムの権限を変更しなければならないのかといった点で、ID/アクセス管理の工数が見えてくる。ID管理業務の費用対効果については、JNSA(日本情報セキュリティ協会)などが、ID管理業務にかかるコスト試算のガイドラインを提示しているのでそちらも参考にしていただきたい。
| 【参考】 JNSAの資料『内部統制におけるアイデンティティ管理解説書』 http://www.jnsa.org/result/2007/pol/idm/index.html |
ID改廃作業が、システムごとに異なるルールで実施されているケースは珍しくない。例えばAシステムではあらかじめ定めたルールにより利用者を定義し、ルールに該当しない従業員は申請により、その利用可否を決定している。しかしBシステムではルールがなく、電子メールや電話などでオンデマンドで受け付け、改廃作業を行っているというようなケースである。また「○○さんと同じアクセス権限を付与してほしい」というあいまいな依頼もある。このような問い合わせ、依頼対応などの作業コストも軽視できない。
さらに、情報セキュリティの点で、もしID改廃が遅れたら、もしID改廃に間違いがあり不適切な権限状態になったら、といったリスクを勘案する必要もある。
コストを計る――大きな繁閑の差をどう考えるか
ここで、ある企業のID管理業務の実態を、その処理件数という観点で見てみたい。
 |
| グラフ1 ある企業のID更新数の月別推移 |
これは、横軸に年月を、縦軸にID改廃数を置いた2008年1月から同12月までの1年間の総ID改廃処理件数である。従業員規模は約2000人弱、システム部門で管理するシステム数は数十といった企業の実績値である。
ご覧いただくと分かるとおり、少ない月でも総処理件数は数千件、多い月であれば数万件にのぼる。この処理件数の多さ以上に、繁閑の差が非常に大きくなっていることが分かる。
これはID管理業務の特徴であり、多少の高低差、時期の差はあれ、多くの企業が同じ傾向にある。期初には定期入社や大きな組織変更、人事異動があり、四半期ごとに組織や人事の見直しがあるような場合、IDの改廃数はグラフ1のようになる。このように大きな繁閑が発生しているのがID管理業務のコストである。
また、「IDの改廃数」=「ID管理にかかるコスト」ととらえがちであるが、そのほかにも各種業務システムの組織マスタなど、所属部署に関する情報があればそのメンテナンスも必要になる。加えて承認権限、特権の付与や変更といったアクセス権設定コスト、パスワード忘れなどのユーザー問い合わせに対するコストなども考えておくべきである。まずは、自社のID管理業務が、各月でどれくらいの件数を処理し、どう推移しているのかを調査することで、おおよそのコストは明確になるだろう。
次に、日々の業務の中でID、パスワードにまつわるユーザーからの問い合わせがどれくらい発生しているのか、「○○システムを使用したいのだけれどどうすればよいのか」といったユーザーサポートがどれくらい発生しているのかといったところを見ることで、コストの全体像がつかめてくる。
特に大きな企業の場合、情報システム部門ではネットワークやメールなど全社インフラのみを運用管理し、各種の業務システムは各部門にその運用管理を任せているケースが多い。そのような部門管理のシステムについても、情報セキュリティ、内部統制、あるいはコスト削減効果の観点から重要かつ効果が大きいと判断される場合、このような部門管理のシステムも含めて調査を行う必要がある。逆に頻度や重要度の低いシステムについては、まずは考慮から外し、将来の取り組み課題としてもよいだろう。
例えば、基幹システムの代表的なパッケージであるSAPのパッケージを使用している場合、SAP上にさまざまなロールを定義し、その承認権限などを付与している企業が多い。ある従業員がこのロールに属することの承認記録や、ある従業員に対して必要以上の権限がないことを確認することは、内部統制上、非常に重要である。米国でもSOX初年度において、SAPなど基幹システムの承認権限や特権が、経理部門の全従業員に付与されていたというケースが内部統制上の不備として複数社から報告されていた。
情報漏えい対策としてのID管理システム
一方、情報漏えい対策という観点では、顧客情報や技術情報のデータベースなどへのアクセス権限の1人1IDが徹底されているとともに、業務上必要な従業員にのみ限定されているべきである(技術部門から営業部門に異動した従業員は、技術情報データベースにアクセスできるべきではない、など)。
こういった機密情報を管理するシステムのID改廃は、たとえそれが部門管理のシステムであったとしても、できるだけ人手を介さずに、そしてタイムリーに改廃が行われるように、全社で実施するID管理・アクセス管理システムの管理対象とすべきである。
また、電子申請などワークフローシステムも、ID改廃作業や組織変更の反映作業が大きな負担となるシステムである。各種の申請には必ず決裁経路が決まっており、日本の企業においては、決裁経路は必ず組織や役職が登場する(金額○○万円以上の支払いは、所属事業部の事業部長以上の承認後、経理部門の確認が必要、など)。このような組織や役職が頻繁に登場するワークフローシステムについて、そのマスタメンテナンスを迅速に行えなければ、マスタメンテナンスが終了するまで業務が止まってしまう。もっと悪いケースでは、あらかじめ決められた決裁経路を回覧されず(旧組織、旧役職のまま)、さまざまな業務処理が業務ルールを逸脱して行われてしまうことになる。
ID管理をシステム化していない企業においては、このマスタメンテナンスは人事異動や組織変更の都度、大きなコストとなって現れているはずである。
 |
2/3 |
 |
| Index | |
| いま、あなたの会社にID管理システムが必要な理由 | |
| Page1 ID管理プロジェクトの目的は何か 企業を取りまく環境の変化 時代とともに移り変わる「ID管理システムが必要な理由」 |
|
 |
Page2 ID管理業務のコストとリスクを把握する コストを計る――大きな繁閑の差をどう考えるか 情報漏えい対策としてのID管理システム |
| Page3 ID管理システムのリスクを測る 必要なのは「企業文化や業務内容に詳しいパートナー」 |
|
 |
実践・アフターJ-SOX時代のID管理 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
