月1500人が入社するリーマン・ブラザーズ、そのID管理とは

2006/7/12

 「先月は1500人の社員が入社した。当社のSLA(サービスレベル契約)では24時間以内に入社した社員をITシステムに登録し、アプリケーションを使えるようにすることが求められる。これはアイデンティティ管理を自動化していないと不可能だ」。大手投資銀行、米リーマン・ブラザーズのインフォメーション・セキュリティ担当バイスプレジデント ラミン・サファイ(Ramin Safai)氏は、自社が導入したアイデンティティ管理システムの事例を紹介した。

米リーマン・ブラザーズのインフォメーション・セキュリティ担当バイスプレジデント ラミン・サファイ氏
 リーマン・ブラザーズがアイデンティティ管理システムの導入を決め、プロジェクトをスタートさせたのは3年前。自社のトレーダーが起こした不正取引がきっかけだった。不正取引の実態を調べようとしたが、「その男が何にアクセスしていたかを調べるのに10人で6週間かかった」(サファイ氏)。リーマン・ブラザーズで使用されるアプリケーションは850種類に及び、1人の従業員が利用するアプリケーションの平均は25に上った。どの従業員がどのアプリケーションにアクセスして、どのような作業を行ったかなどがまったく管理できていなかった。プロジェクトは「リスク管理の目的で始めた」という。

 アイデンティティ管理システムの導入で重視したのは、従業員が退社した際にすべてのアプリケーションのアクセス権限が正しく削除されることや、誰がどのアプリケーションを使って、どのようなリソースにアクセスしているかが分かること、そして管理性の高さだった。この要件を満たすシステムとして選定したのが、当時、英Thor Technologiesが開発、販売していたアイデンティティ管理製品「Xellerate Identity Provisioning」だった。Thor Technologiesは米オラクルが2005年11月に買収し、現在は「Oracle Identity Manager」として販売している。

 導入プロジェクトは予算200万ドルでスタート。導入チームは「TAC」(トータル・アクセス・コントロール)と呼ばれた。TACが取り組んだのは社内にある850以上のアプリケーションをXellerateで構成する管理基盤上に統合すること。Xellerateが用意するアダプタを使ってシステムを接続した。アプリケーションのユーザー側にも開発協力を依頼し、これまでに120のアプリケーションを完全統合、600のアプリケーションを半自動で管理できるようにした。業務上重要なアプリケーションやSOX法にかかわるアプリケーションを優先し、開発した。

 リーマン・ブラザーズはアイデンティティの管理局面を3つに分けている。1つは社員が入社した当日にアカウントを新規作成する「Day 1」。新しい社員が入社すると人事部がユーザー情報を「PeopleSoft HR」に登録する。Xellerateがその登録を検知し、人事情報のLDAPサーバに自動登録する。

 「Day 2」では、ユーザーがアプリケーションを利用するためのアクセス権限を設定する。管理者もしくはユーザーのセルフサービスでリクエストがあると、Xellerateはユーザーが利用できるアプリケーションにアカウント情報を配布(プロビジョニング)する。同時にアプリケーションの管理者にアクセス権限の変更を求める通知を行い、管理者が許可すれば利用できるようになる。

 アクセス権限の設定は社員の役職、役割などのロールと、アプリケーションごとに設定されているルールを組み合わせている。当初はロールベースだけの運用を検討したが、「調べると社内に2万のロールがあり、過剰な負荷になると判断した」(サファイ氏)。

 Xellerateがリーマン・ブラザーズに評価されたのは、管理するアプリケーションを定期的にチェックし、Xellerateが設定したワークフロー以外で登録されたアカウントや、不正な方法でのアクセス権限などを見つけ出す「リコンシリエーション」(調停)の機能だ。リコンシリエーションをかけるタイミングは、アプリケーションの重要度に応じて決定できる。不正なアカウントやアクセス権限が見つけた場合は、即座にその修正を行ったり、管理者に電子メールで通知することが可能だ。

 管理局面の3番目は社員が退社する「Last Day」。人事担当者が社員の退社をPeopleSoft HRに登録すると人事LDAPに反映され、Xellerateがすべてのアプリケーションのアクセス権限を変更する。退社した社員のアカウントが残っていて、アプリケーションが不正利用されることを防ぐ。

 アイデンティティ管理を自動化した結果、リーマン・ブラザーズはわずか11人のスタッフで社員2万8000人のアイデンティティを管理できるようになった。今後はXellerateと購買システムとの連携などを進めるという。

(@IT 垣内郁栄)

情報をお寄せください:

[関連リンク]
日本オラクル

[関連記事]
SOX法対応のスタートポイントはID管理」、米オラクルVP (@ITNews)
内部統制強化にらむ、オラクルとネットマークスがID管理で協業 (@ITNews)
内部統制構築でオラクルがEMCと協業、ID管理の専任部隊も (@ITNews)
SOX法支援はパートナーが鍵、オラクルとプロティビティ協業の意味は (@ITNews)
SOX法はアーキテクチャで攻めろ、オラクルが製品体系化 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)