最終回 ID管理システム導入の総仕上げ、移行と運用

徳毛　博幸
京セラコミュニケーションシステム株式会社
BPO事業部　副事業部長
2009/7/14

　ID管理システムに必須の機能、それは「運用の支援」

　前述のような事故の予防措置として、どのような運用が求められるだろうか。

　ID管理システムは、インプットされた人事情報など源泉となるデータを、定義されたポリシーに従い、プロビジョニング先に流していくシステムである。事故は、プロビジョニング先に流れた時点で、現場から「急にシステムが使えなくなったのだが」というような問い合わせやクレームが来て判明する。

　このような事故を防ぐには、インプットされた情報に問題がないことを、あるいは、オペレータによる操作に悪影響がないことを、プロビジョニング前に確認するしか方法はない。それもできるだけ前処理の段階でチェックできた方が、時間的なロスも少ない。

　例えば、ID管理システムに登録した人事データの内容や、あるいはオペレータが操作を行った結果が、現在のID発行状態と比較してどのような差異を発生させるのかを、事前にシミュレーションすることが有効になる。

　これは、先に事故の例で述べたように、最終的にはそれが正しいのか正しくないのかは、人間が判断するしかないのだが、データ量が多い場合、人間の作業では限界がある。従って、ID管理システム側にシミュレーション、事前確認の機能が必要となるだろう。

　先の事故例に即していうと、「プロビジョニング先のシステムのID数がどう変更になるのか」「組織コードが同じで、組織名称が変わる組織はないのか」という機能になるだろう。

　こういった機能は運用してみないと分からないものではあるが、このような「運用を支援する」機能の有無も製品選定時には注意してほしい。

　ID管理システムの力を確認できる「レポーティング」

　事故を防ぐという運用以外にも、内部統制の観点では、「誰が承認した結果、誰にどういった権限が付与されたのか」や、「そのポリシーの変更は承認されているのか」という記録も必要になる。また、システム部門としては、システムの利用状況・実績をマネジメントに報告することも必要だろう。こういった目的に対して、ID管理システムが活用できる。

　ID管理システムを使用することで、どのシステムにどれくらいのIDが登録されているのか、それが過去からどのような推移をたどって増減しているのかが把握できる。また、シングルサインオンやポータルなどアクセス管理製品の情報と組み合わせれば、実際にどれくらいのユーザーがそのシステムを使用しているのかも把握可能になるだろう。

　このように、内部統制に限らず、システム投資の効果を明らかにし、報告、対策するためにも、ID管理システムからのレポートは運用フェイズにおいて重要になるだろう。

　ID管理システム導入のプロジェクトスケジュール

　ここまで、工程ごとにプロジェクトの要点、注意すべき事項についてまとめてきたが、最後にプロジェクトのスケジュールを見てみたい。

　ID管理システム化のプロジェクトスケジュールは、一般に6カ月程度といわれており、比較的長いプロジェクトといえる。これまでで触れてきたように、システム部門・ベンダだけではなく、社内の関連部署との連携が必要になることが、長期間になる最大の理由である。

　筆者が、ID管理のシステム化のお手伝いをさせていただいた企業のプロジェクトスケジュールは、おおよそ以下の図のようになる。

図1　ID管理システムの典型的なスケジュール例

　図1にあるとおり、要件定義、移行といった工程が長くなっていることがお分かりいただけるであろう。この工程では、源泉となる人事情報を管理している人事部門、プロビジョニング先のシステムのオーナー部門との確認や仕様調整などが必要となる。システム部門とベンダだけではプロジェクトを進められないことが、この工程が長くなる理由である。

　内部統制やセキュリティ強化など、企業によりID管理システム化の目的はさまざまであると考える。これらの目的に応じてシステムのカットオーバーのターゲット時期は決まってくるだろう。そのターゲットに合わせて、部門間の調整も行い、適切にスケジュールを立てていただきたい。また、上記には含まれていないが、ベンダ選定などのスケジュールも考慮しておくべきだろう。

　ID管理システムの今後

　「実践・アフターJ-SOX時代のID管理」と題して、ID管理システム化のプロジェクトについて解説してきた。内容は、現在の企業が抱える課題やID管理製品が持つ仕様や課題を中心にしたつもりである。最後に、筆者がこの先のID管理はどうなるべきと考えるのかについて触れ、連載を締めることにしよう。

●技術の変化

　まず、技術の観点であるが、現在のITは、クラウドコンピューティングや仮想化といったキーワードで表されるように、ネットワークとシステムの融合ともいえる転換点に差し掛かっている。ID管理もこうしたトレンドに対応していかなければならない。

　小さなところでは、クラウドの中にある各種のサービスをID管理システムのプロビジョニング対象とできるようにすることであるだろう。また、ID管理システムそのものもクラウド上で提供され、それを使用した分だけ料金を支払えば済むという時代も遠くない。

　また、OpenIDやSAMLといった規格のように、プロビジョニングについても規格化を推進し、ユーザーへの提供コストが抑えられるようにすることもベンダの責任として存在する。

【関連記事】 OpenIDの仕様と技術 連載インデックス http://www.atmarkit.co.jp/fsecurity/index/index_openid.html 強力なSSOを実現するXML認証・認可サービス（SAML） http://www.atmarkit.co.jp/fsecurity/rensai/webserv04/webserv01.html OpenIDでの反省から二院制採用、カンターラが目指すもの http://www.atmarkit.co.jp/news/200906/26/kantara.html

●経済環境・経営環境の変化

　次に企業を取り巻く環境の点ではどうだろうか。すでに触れたことの繰り返しになるが、ID管理は、内部統制、セキュリティ強化の観点ではやらなければならない業務である。しかし、企業の競争力強化という観点ではあまり貢献の余地はない。

　乱暴ないい方だが、財務のシステムのように「足し算と掛け算」では成立せず、さまざまな人間系の判断が必要になる。さらに、繁閑の差が大きく、ピークには多大な労力が必要になるものの、そのために常時、要員を確保しておくことも難しい。

　こういった「やらなければならないが、企業の競争力強化に貢献しない業務」かつ「人が介在しなければならないが、業務、判断基準の継承が難しい業務」については、システム化し省力化するだけではなく、それを動かす人員の維持コストの点から、アウトソースすることも十分検討に値するだろう。

　筆者は以上のように考えるが、各企業の経営課題、システム部門の課題、ID管理の実情に応じて、どのように取り組んでいくのかを皆さんもご検討いただきたい。

3/3

Index
ID管理システム導入の総仕上げ、移行と運用
	Page1 移行――最後の山場 システム仕様の整理
	Page2 運用あってこそのID管理システム 事故防止のためにできること 事故の例1：ミスによるデータの全削除 事故の例2：想定外のID付与
	Page3 ID管理システムに必須の機能、それは「運用の支援」 ID管理システムの力を確認できる「レポーティング」 ID管理システム導入のプロジェクトスケジュール ID管理システムの今後

Profile

徳毛　博幸（とくも　ひろゆき） 京セラコミュニケーションシステム株式会社 BPO事業部　副事業部長 1998年京セラコミュニケーションシステム入社以来、ID管理、ファイル管理、プロセス管理などのパッケージソフトウェア「GreenOffice」シリーズの構築に携わり、2005年10月ソリューション部長に就任。 数十社のJ-SOX対応を目的としたID管理ソリューション、ファイル管理ソリューションの構築、コンサルティングに携わる。

実践・アフターJ-SOX時代のID管理 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）