第3回 ID管理システム、要件定義から基本設計まで
徳毛 博幸
京セラコミュニケーションシステム株式会社
BPO事業部 副事業部長
2009/6/19
人事イベントをシステムにどう反映させるか
前述の人事イベントの際に「新入社員が入ったら、IDを登録」としたが、こういった決めごとを指して「ポリシー」としている。入社/退職以外の例では、
- 営業に異動
→SFAのシステムへのID・アクセス権を付与 - 人事から法務へ異動
→人事システムのID・アクセス権を削除 - 経理課長に昇進
→SAPの承認ロールを付与 - 関連会社に出向
→メール以外のIDを無効化 - 育児休暇
→全システムのIDを停止
などが考えられる。このように、それぞれのイベントに対するポリシーを明確にしていくことが必要となる。
 |
| 表1 人事アクションとマスタリポジトリ管理のマトリックス(クリックで拡大します) |
人事イベントとは連動しないものとしては、申請が行われ、その承認後IDを発行したり、権限を付与したりという、申請ベースのものも多くあるだろう。こういったさまざまなポリシーを定義していくことが、要件定義において最も重要なことといえる。
特に人事異動に連動した職務分掌に基づくID管理と、申請によるID管理では、将来の運用コストが大きく変わってくる。職務分掌に沿うものであれば(ルールの変更がない限り)システムが自動的にIDの発行や停止を行うことが可能になり、非常にローコストなID管理が実現できる。もしこれを機にポリシーを再定義するというのであれば、職務分掌によるID管理の適用範囲を広げることも考えてみる価値があるだろう。
状況の変化に合わせてIDを維持/管理
当然、ID管理のポリシーも「作ったら終わり」ではなく、日々運用されていくものである。従って、ここで決めたポリシーどおりに、システムのID発行状態が維持管理されているかを確認するための監査、棚卸しなど、チェックの方法も検討しておく必要がある。
ここで決めるポリシーについては、新規に決定するもの、現行の業務からポリシーを引き継ぐものがあると考える。第1回で触れたC社の事例のように、現行の業務からポリシーを定義する作業は、なかなか骨の折れる作業である。そもそも文書化されていないケースが多い上、「なぜ、その人事イベントに対して、そのようにロールを割り当てるのか」といった背景や考え方が明確でなく、ただ作業手順だけが引き継がれていることが多いためである。
また、現行の業務をヒアリングしている過程で、それまで考慮されていなかったが、システムで取り扱わなければならない人事イベントが見つかるというケースもある。
例えば、結婚改姓があった場合、苗字を自動的に変更するシステムが見つかり、それまで考慮していなかった結婚改姓をイベントとして扱わなければならなくなるなどだ。そして「休職者は、AシステムではIDを停止/無効化し、BシステムではIDを削除する」といったように、同じ人事イベントでもシステムによって取り扱いが違うことも当然のようにある。
システムの属性項目も確認すべし
そのほかにも、要件定義フェイズで管理対象となるシステムの属性項目の確認も行っておくことが望ましい。これは基本設計フェイズ以降で精査すべきことだが、将来のリスクを軽減するためにも、少なくとも主要な属性・キーとなる項目については早い段階で確認しておくのがよいだろう。システム間で従業員コードや組織コードを連携している場合や、パスワードの一本化などを行う場合、各システムで格納可能なコードやパスワードに使用可能な文字種やけた数などは、このタイミングで検討しておくべきだ。
例えば、以下のようなケースも出てくる。
Aシステムは、組織階層を4階層保持する仕様になっており、組織コードもその分のけた数しかない。 一方、現実には組織は6階層になっており、実際の人事システムでもそれに適した組織コードが使用されている。Aシステムには組織コードの変換が必要になる。 |
要件定義フェイズにおいて、検討すべき事項の概略は以上のとおりであるが、以降のフェイズでの手戻りを少なくするためにも、要件定義フェイズに十分な時間と労力をかけておく必要がある。
特に、こういった業務の整理、洗い出しにおいては、自社のやり方だけではなく、他社の成功事例などを参考にできたり、効率よくヒアリングを進められたりという点で、ID管理のシステム化経験の豊富なコンサルタントやSEの力を借りるのがよいだろう。
 |
2/3 |
 |
| Index | |
| ID管理システム、要件定義から基本設計まで | |
| Page1 要件定義フェイズで決めるべきこと トリガーとなる人事イベント |
|
 |
Page2 人事イベントをシステムにどう反映させるか 状況の変化に合わせてIDを維持/管理 システムの属性項目も確認すべし |
| Page3 ID管理システムの基本設計 IDのライフサイクル、タイミング |
|
 |
実践・アフターJ-SOX時代のID管理 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
