第1回 “ID管理システム化プロジェクト”のその後
小澤 浩一
京セラコミュニケーションシステム株式会社
グリーンオフィス事業部長
徳毛 博幸
京セラコミュニケーションシステム株式会社
グリーンオフィス事業部 ソリューション部長
2009/2/26
いまだからこそ問いたいID管理のあるべき姿
これらの事例から学ぶべき内容については、次回以降でもう少し触れていきたいと考えるが、本記事は第1回でもあるため、ID管理のそもそも論についても述べておきたい。
すでに触れたとおり、ID管理に対する注目や期待が集められた背景には、J-SOXなど、企業に対するコンプライアンスの社会的な要請による部分が大きい。企業のコンプライアンスに、ID管理のシステム化は必要なのだろうか。
ID管理と並列で語られる言葉にアクセス管理がある。それぞれ、下表のように認識されているのではないだろうか。
| ID管理 | IDそのものの管理: |
| アクセス管理 |
アクセス権限の管理: |
たしかに、企業のコンプライアンスや情報セキュリティにおいて、直接的に求められるのは、アクセス管理である。この点ではID管理よりもむしろアクセス管理を徹底すべきではないかという話にも思える。
しかし、上表の定義は、狭義の定義といわざるを得ない。
現実には、上表のID管理、アクセス管理の境界に「特定の人物に(あるIDに)、その情報へのアクセス権を与える」「アクセス権を剥奪する」といった行為や、そもそも「誰が(どのIDが)どの情報にアクセスできるのか」といったポリシーの管理が存在する。
また、パスワードについても定期的に更新を行うことで、本当にその人なのかを判断する「認証」を厳格にする必要もあるが、これもID管理とアクセス管理の境界にあるものといえるかもしれない。
これらなくして「アクセス管理ができている」ということは難しい。もう少し例を挙げると、幽霊IDや必要以上の権限付与の問題などが、境界の好例といえるだろう。
●幽霊ID IDとパスワードは適切であり、システムへのログインも認められていたが、すでに退職している従業員のIDは、本来は速やかに停止(あるいは削除)されているべきである。 退職者が、退職後、自宅から会社のメールサーバにアクセスし、これまでの取引先などに退職のあいさつをしていた。このようなある種ほのぼのとするような事件であればまだ悪影響は少ないかもしれないが、このシステムが、財務にかかわるシステムの場合であれば不正や改ざんの、機密情報にかかわるシステムの場合であれば情報漏えいの温床となり得る。これは上の定義では、アクセス管理なのかID管理なのか微妙なところである。 |
●必要以上の権限付与 業務遂行上必要となる以上の権限が与えられている状態も避けなければならない。例えば、経理課長が人事課長に異動になった場合、人事システムへのアクセス権限が必要となり、経理システムでの承認権限は不要になる。人事システムへのアクセス権は、異動した当人からの要請(場合によってはクレーム)などにより、比較的速やかに権限付与がなされるが、経理システムの承認権限はいつまでも残ったままになってしまうというケースがある。これも場合によっては不正やミスの温床になる。 加えて、監査という点では、特権付与について、しかるべき人間の承認を経た後に、権限の付与がなされているという証跡も必要となるだろう。 |
ID管理をシステム化しなくてはならない理由
狭義のID管理・アクセス管理を包含し、またその運用も含めたシステム管理行為として、ID管理をとらえる必要があり、この点においてコンプライアンスの推進、セキュリティの強化にID管理は必要不可欠といえる。
もちろん、ID管理業務自体はシステム化を行わずとも、手作業でも遂行可能ではある。しかし、企業にとって不変のテーマである「売り上げ拡大」「コスト削減」の命題の前で、ID管理の業務自体は新たな売り上げを生むものではない。そしてコストを削減するものでもない。残念ながら、ID管理はIT部門にとってやらなければならない業務ではあるが、企業活動に新たな価値を生む業務ではないのである。
このような業務に少ないIT部門の人材を投入するのは、企業の成長発展の機会を阻害するものだと考える。コストの観点では、派遣社員、契約社員を雇用し、安い単価で手作業でやればよいではないかという考えもあるかもしれない。しかし「右のものを左に流す作業」に、ヒトをあてがうのももったいない。このような単純作業はコンピュータに任せてしまえばよいことだ。
このように感傷的にならずとも、企業が発展し規模が大きくなれば、従業員数が増えるだけでなく、組織変更や人事異動など内部体制の変更の機会も増えるだろう。また、マーケットの変化は加速する一方で、マーケットに応じた形になるためにあなたの会社でも、分社・統合、あるいはM&Aなどを行うかもしれない。つまりID管理の作業機会も増える。
さらに、企業規模によらず、現在、正社員のみで業務を遂行している企業は少ない。派遣社員やシニア社員など多様化する一方の雇用形態の中で、今後も増え続けていくであろうITの管理、多様化するであろうIDの管理を、この先も人海作業で取り組んでいくのも考えものである。
トップマネジメントが、セキュリティへの関心やコンプライアンスの推進を考えているうちに、ID管理などの“作業”をシステム化し、企業の発展につながるシステム化に取り組みたいものである。
次回以降で、そのID管理のシステム化のポイントについて、述べてみたい。
 |
3/3 |
| Index | |
| “ID管理システム化プロジェクト”のその後 | |
| Page1 ID管理を実現した企業の現実 |
|
| Page2 名前が付いていなかった“ID管理”という業務 ID管理とは全社を巻き込むもの、それができないと…… |
|
 |
Page3 いまだからこそ問いたいID管理のあるべき姿 ID管理をシステム化しなくてはならない理由 |
| Profile |
 小澤 浩一(おざわ こういち)京セラコミュニケーションシステム株式会社 グリーンオフィス事業部長 1996年京セラコミュニケーションシステム入社以来、ID管理、ファイル管理、プロセス管理などのパッケージソフトウェア 「GreenOffice」シリーズの開発企画に携わり、2007年10月グリーンオフィス事業部長に就任。 GreenOffice製品群の企画・開発業務に従事し、マーケットニーズを分析し適合した製品・サービスの提供に携わる。 |
| Profile |
 徳毛 博幸(とくも ひろゆき)京セラコミュニケーションシステム株式会社 グリーンオフィス事業部 ソリューション部長 1998年京セラコミュニケーションシステム入社以来、ID管理、ファイル管理、プロセス管理などのパッケージソフトウェア「GreenOffice」シリーズの構築に携わり、2005年10月ソリューション部長に就任。 数十社のJ-SOX対応を目的としたID管理ソリューション、ファイル管理ソリューションの構築、コンサルティングに携わる。 |
 |
実践・アフターJ-SOX時代のID管理 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
