第1回 “ID管理システム化プロジェクト”のその後
小澤 浩一
京セラコミュニケーションシステム株式会社
グリーンオフィス事業部長
徳毛 博幸
京セラコミュニケーションシステム株式会社
グリーンオフィス事業部 ソリューション部長
2009/2/26
名前が付いていなかった“ID管理”という業務
J-SOXでにわかに注目を集めたID管理であるが、もちろん、J-SOXと同時に提唱された概念ではない。
“ID管理”とは、IDとパスワードを使用してログインを行い、権限によって実行可能な操作が変えられるシステムが登場したころから存在した作業である。社員が入社し、申請が行われればIDを発行し、パスワードを設定する。退職者が出ればIDを抹消し、特権が必要と申請があれば権限を追加し、という作業が日常的に行われているだろう。
しかし、当時は“ID管理”という言葉は存在しなかった。業務として名前の付いていない作業の手順やルールが明確にされていたとは考えにくい。おそらくどの企業でも、システム運用担当者の頭の中に、日々のシステム運用業務の一環として、また、ノウハウや経験として、さまざまな手順やルールが蓄積されていったのではないだろうか。ここでも実例として、C社の事例を見てみよう。
●サービス業C社: セキュリティレベル向上のため、まず、ID管理のシステム化に取り組んだ。ID発行、アクセス権付与の業務プロセスを再び整理したことで、それまではあいまいに存在し、またあちこちに分散していた業務が明確化され、責任も明確になった。 一方、責任部門となった部署では、かえって業務負荷がこれまでよりも高まったように感じている。しかしながら、監査会社からはシステムを含めたID管理・アクセス管理の運用についてお墨付きをもらえてほっとしている。業務負荷をどう下げるかが今後の課題である。 |
多くの企業では、ID管理のシステム化を考えた時点でまず業務の整理が始まる。それまで社内のさまざまな部門に散在していた業務・手順がこの整理によってようやく明確になる。あるいは、手順やルールが作業担当者の頭の中にしかないことや、前述のように手順のみが存在しルールが明文化されていないことが明確になる。そして、それにかかるコストやリスク、本来の責任が明確になる。
例えば従業員の数、氏名、属性、組織構成などに関する責任はどの部門にあるのだろうか。Aさんに購買システムの承認権限を与えることは、誰の責任・権限でできるのか。Bさんが産休で長期に休む場合、その間、メールシステムにはログインできてよいのか。他社出向の場合はどうなのか。などである。
加えて、経理システムは経理部門が、販売管理システムは営業部門が、それぞれ運用ルールの取り決めやID・アクセス権の変更作業を行っていたというような場合がある。その場合、ID管理をシステム化することで、そのポリシーや権限変更に関する責任がIT部門に移管されることになる。すべての責任を負わされたのでは、IT部門もたまったものではなく、ID・アクセス権の付与・削除に関して、細心の注意を払って、厳重なチェックをしなければならなくなってしまったということもあるだろう。
ID管理とは全社を巻き込むもの、それができないと……
そしてID管理のシステム化においては、さまざまな部門との調整が必要だといわれている。
まず、インプットとなるユーザー、従業員の情報の入手についてだが、正社員については人事システムから入社、退職の情報を入手できるだろう。一方、派遣社員は、現場で契約、採用、契約終了処理を行っており、人事システムには登録されていないという企業が一般的だろう。こういった人事システムで管理していない従業員の情報も、その派遣社員がシステム利用者であるならば、ID管理システムを運用するIT部門で収集していかなければならない。
この情報を正確かつタイムリーにシステムに反映し、運用をスムーズに効率的に行っていくには、現場との調整・現場の協力が必要不可欠である。この調整に掛かるコストは、IT部門と現場の力関係や、トップマネジメントのID管理・アクセス管理のシステム化へのコミットメントによっても、大きく変わってくるだろう。
これについて事例を見てみよう。
●製造業D社: 全社情報システム基盤の再構築プロジェクトの中で、メールシステムの刷新、グループウェアのリプレイス、ID管理およびアクセス管理のシステム化を行った。さらに、セキュリティへの取り組みを強化するという会社方針のもと、社員に貸与するPC、社屋・業務スペースへの入館・入室についても社員証のICカードを使った物理セキュリティのシステムが導入され、そのID管理も必要となった。 対象となるユーザーをカウントしたところ、これまでの情報システムを対象としたID管理とは異なり、パートやアルバイト・設備工事を行う業者・関連子会社からの出張者など、対象が膨大になり、従来比で2.5倍のIDを管理する必要があることが分かった。 さらに、ID管理・アクセス管理システムのインプットとなるヒトの情報を従来の人事部門ルートだけでは入手できないことも分かった。さまざまな部門との調整が必要になり、厳格に整備した既存のID管理・アクセス管理システムには載せられないと判断し、別途、入退館システムとの連携のためのマスタを開発することにした。 |
理想的には、全体コストという点で集中管理されてこそセキュリティ面、コスト面で効果のあるID管理・アクセス管理ではあるが、現実には、調整が難航したり、そもそも調整ができなかったり(最初からあきらめていたり)といった理由で、システムも二重化、運用も二重化されてしまうというケースが起こりがちである。
 |
2/3 |
 |
| Index | |
| “ID管理システム化プロジェクト”のその後 | |
| Page1 ID管理を実現した企業の現実 |
|
 |
Page2 名前が付いていなかった“ID管理”という業務 ID管理とは全社を巻き込むもの、それができないと…… |
| Page3 いまだからこそ問いたいID管理のあるべき姿 ID管理をシステム化しなくてはならない理由 |
|
 |
実践・アフターJ-SOX時代のID管理 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
