ID管理は、社内システム、クラウドサービス、どちらの運用においても必要不可欠なものです。近年、IDとパスワードだけでは信用できないとして、多要素認証などが広まっていますが、従業員の情報を管理するものはIDであることに変わりはありません。そのため、セキュリティ対策の重要性が増している現状、ID管理は全社運営の根幹とも言える部分になっています。
しかし、ID管理が具体的に何であるのかが分からないと、重要性を理解しにくいでしょう。今回は、ID管理の具体的な中身や重要性を多角的に見ていくとともに、ID管理システムを選ぶポイントについても解説していきます。
※2020年5月1日に投稿した記事を再編集しております。
目次
ID管理について簡単におさらい
まずはID管理について簡単におさらいしましょう。
IDとは?
ID管理におけるIDとはDigital Identityの略でその名の通り、本人確認(認証)のために使用される情報のことを指します。現実の世界では本人の確認に身分証明書を提示しますが、システムを利用する際には認証のために識別子(identifier)とクレデンシャル(パスワードなど)を使用します。他人と区別するために一意に決定される識別子を使用し、本人しか使用できないパスワードなどのクレデンシャルを利用することで入力者が本人であるという認証を行います。IDはこの識別子、クレデンシャル、そして、権限を付与する際に使われる情報である属性の3つの要素から成り立っています。
識別子
ユーザを識別するための情報で以下が主に使用されます。
- メールアドレス
- 社員番号
クレデンシャル
信用情報という意味で、ユーザーの認証において利用される情報で利用されるものとしては以下があります。
- パスワード
- 生体情報
- 社員証
属性
属性は営業部の人にはこの権限を付与したいといった際の「営業部」にあたる情報のことで、IDを特徴づけする部分です。 以下のような情報が利用されます
- 氏名
- 役職
- 所属部署
ID管理とは?
ID管理とは、システムを利用する適切な人にIDを発行して利用者の職務や職権に応じたシステム権限を付与し、現実とシステム内の情報に誤りがないように保つことです。
システム権限を適切に付与するというのは、例えば、営業部門の人にシステムを使える権限を割り当て、営業部の部長だけには営業部門に所属している人のデータを見られるようにすることを指します。
情報に誤りがないように保つというのは、人事異動や入退社などに応じてIDや権限を変更・削除し、適切な人に適切なIDが割り当てられている状態を維持することです。
近年注目を浴びているゼロトラストも、適切な人に適切なIDを配布しなければ、正確な認証やアクセス制御、デバイスの監視などもできません。以上の理由で、ID管理は重要と言えるでしょう。
ゼロトラストを導入する順番については、こちらの記事をご覧ください。
「ゼロトラストを導入する4つのステップについて詳しく解説」
ID管理の目的
ID管理の目的は「正しいユーザーに対して必要なシステムを正しく利用できる状態を与える」ことです。
当然ですが、自社のシステムと関係のない人に利用されては大きな問題になります。昨今では、企業統治やガバナンスが重視されるようになってきました。内部監査には情報セキュリティが含まれているため、適切なIDが割り振られているかどうかは重要です。
正しいユーザーであるかを識別し、必要な権限を与えて円滑な業務を行えるようにするとともに、サイバーセキュリティの観点も考えると、ID管理の重要性がよくわかるでしょう。
ID管理と内部統制については、こちらの記事をご覧ください。
「企業統治における内部統制、監査の重要性について」
ID管理の現状と問題点
当社セミナーに参加された方のアンケートによると、現在、Active Directory(AD)を利用してID管理を行っている企業が多く存在します。しかし、ADの利用ではドメイン外のネットワーク上にあるシステムとは連携ができません。つまり、SaaSなどのID情報と連携することができず、社内で使用する全システムのIDを一元的に管理できていないのです。
また、AD のクラウドサービス版であるAzure Active Directory(Azure AD)とADを併用している場合でも、自動でID情報を同期できないため、それぞれのシステムに手動でID情報を入力している企業も多く存在しています。しかし、手動で登録していると、必ずミスが発生します。そのような状況では、適切なID管理を実現しているとは言えません。
ID管理システムのメリット
以上のような現状と問題点を打破するために、ID管理システムの導入を検討すべきだと言えます。導入により改善される業務は多くありますが、特に以下の3点がメリットとして挙げられます。
情報漏洩のリスク回避
企業内のシステムごとにユーザーのIDが管理されていて煩雑になっていると、退職した人のIDなど、存在したらセキュリティリスクになるIDが削除されていないケースも多いです。これが情報漏洩につながってしまう可能性があります。このようなことを避けるために、IDの消し忘れがないことを確認するルールが内部監査などで設定されていることが重要になります。その際、ID管理システムの棚卸機能を使用することで、自動的に消し忘れの確認ができ、情報漏洩のリスクを減らすことができます。
SaaSアカウント管理の効率化
クラウドファーストの時代になり、企業でも使用するシステム数、特にSaaSが増加しています。このような状況では、入退社時のアカウント追加/削除作業や人事異動時の全システムの権限洗い替え作業がかなりの工数となります。そこでID管理ツールのプロビジョニング機能を使用し、自動化を図ることで業務効率化が見込めます。
ガバナンスの強化
企業統治の観点でもID管理システムはメリットがあります。近年、J-SOX法でIT統制が重視されるようになっています。全社、業務処理など全般的にIT統制が要求されるため、ID情報とその変更に関する情報を適切に管理できるID管理システムは非常に重要です。また、監査の際にはログの確認も実施されます。ログが残っていないと、監査への対応、工数も大きく負担になります。そのため、ID管理システムを導入することで、適切なID管理の実施がされているかなど、IT統制を推進することができます。
IT統制について詳しく知りたい方はこちらの記事もご覧ください。
「内部統制におけるアクセス管理とは?その概要と対策について」
ID管理システムを選ぶポイント
ID管理システムは多くの企業から提供されており、どれも同じように思えるかもしれません。しかし、同じように見えるID管理システムでも機能には差があります。そこで、ID管理システムを選ぶポイントを解説します。
実際のID管理システムを比較したい方はこちらをご覧ください。
「ID管理システム4選の機能・特徴を比較!」
ユーザー情報が一元管理されている
上述のADのように、ID管理システムを利用してもクラウドサービスとオンプレの両方を一元的に管理することができない場合があります。また、企業がM&Aなどで他の企業と合併をした際にはそれぞれの企業で使っていたADが存在し、一元管理ができていない場合もあります。このような状況においても、ID管理システムの導入によってID情報を一元的に管理できるかを確認しましょう。
SaaSとの連携
近年は多くの企業でSaaSが導入されており、数多くの業務において利用されています。しかし、ID管理システムの中にはSaaSとの連携が難しいものがあります。特にプロビジョニングに関して、最近のSaaSはSCIMというプロトコルにしか対応していないことがあります(逆にSCIM対応していないクラウドサービスも少なくありません)。自社がMicrosoft 365やSalesforceなどのクラウドサービスを利用している場合には、それらのサービスとの連携ができるID管理システムを選びましょう。
SCIMとは?という方はこちらの記事をご覧ください。
「ID管理に必要なSCIMとは?」
オンプレシステムとの連携
最近はクラウドへの移行が進んでいますが、移行が難しいシステムはまだ存在するため、オンプレとSaaSの併用はしばらく続くと言われています。したがってID管理ツールもSaaSだけではなく、オンプレのシステムとも連携が取れる必要があります。特に自社開発など独自に開発したオンプレシステムは連携ができないことがあるので注意が必要です。
コスト
将来導入するシステムをID管理するためには、導入する時の機能要求に連携ができることを追加するだけなので難しくありません。その一方で、既存システムがID管理ツールと連携できない場合、システムをカスタマイズする必要がありコストがかさんでしまいます。 また、ライセンス体系は大きく分けて1ユーザー月額○○円のようなものと、パッケージ料金+保守費用で○○円といったものがあります。導入検討の際には自社にあったライセンス形態を選びましょう。
人事制度との相性
人事制度との相性も、ID管理システム選定には重要でしょう。「異動後も一定期間は以前の権限を保持したい」や「人事異動発令日前後の日程でデータ同期したい」といったニーズがある企業では、一般的なID管理システムの導入では負担の重さが変わらない可能性があります。自社の人事制度をしっかりと把握し、ID管理システム選定に生かすべきでしょう。
Keyspiderパンフレットをダウンロードする
まとめ
ID管理の重要性と、ID管理システムの選定ポイントについて解説してきました。ID管理は、近年重要度が増しているサイバーセキュリティの基礎となる部分にあたります。認証基盤やアクセス制御のために必要な情報を管轄しているのがID管理です。抜け漏れのない、正確なID管理を実現するためには、自社で使用する全システムと連携できるID管理システムを導入し、対策を講じるのが近道です。もし、手動でID管理を行っていたり、過去に何度も抜け漏れが発生していたりする場合は、直ちにID管理システムの導入を検討することをおすすめします。
かもめエンジニアリングは、ADなどにあるID情報をSaaSや既存の社内システムに同期させるID管理クラウドサービスKeyspiderを提供しております。SCIMに対応していないSaaSとの連携も実現しており、IDの一元管理を推進します。ユースケースも是非ご覧ください。ログインIDやパスワードを一元的に管理したいという方は、下記フォームよりぜひお問い合わせください。
事業・商品・サービスに関するお問い合わせ
製品に関するお問い合わせはこちら
※フリーメールでのお問い合わせは受け付けておりません。