ID管理はコンプライアンス対策度の試金石今こそ見直すID管理の効用

ID管理はセキュリティやコンプライアンスの観点で対策が必要視されているものの、導入する企業は大企業が中心。そこで多くの企業が得られるID管理の真のメリットを理解するとともに導入ポイントについて解説する。

2009年04月24日 08時00分 公開
[雪嶋貴大,アイ・ティ・アール]

ID管理を取り巻く現状と課題

 アイデンティティー管理(以下、ID管理)とは、情報システムを利用するユーザーのアカウントやそれに含まれる属性情報の管理を示す。ここでいうアカウントとは、一般的にはユーザーIDとそれにひも付くパスワードであり、属性情報とは各アカウントを用いるユーザーの所属組織、職位、担当業務などの情報となる。

 情報システムを利用するユーザーの情報はシステムごとに管理され、ユーザーのアカウントもシステムごとに存在する。情報システムの構築は現在も進み続けており、企業におけるシステムの数は年々増加する傾向にある。システムが増加することで、ユーザー1人当たりのアカウントの数も増加し、複数のパスワードの取り扱いがユーザーの負担となる。また、システムごとのID情報の管理も煩雑化し、IT部門における運用業務の工数が増大する一方だ。

 一方システムのユーザーは、正社員だけでなく、外部からの契約社員や社外の業務委託先など多様な雇用形態から成り立っている。加えて、企業では従業員の配置転換や離職などの組織上の変更が日常茶飯事に発生する。特に昨今の不況ではリストラから大規模な人員整理が実施されるようになっており、組織構成の変化が頻繁かつ大規模となりつつある。

 ユーザーのID情報は適切に維持され必要に応じて変更されるべきものであるが、こうした昨今の状況によりユーザー属性が多様化し、ID情報の変更頻度が高まることで運用業務がさらに煩雑化し、その工数がIT部門に重くのしかかってきている。まして国内では、ID管理を専任で担当する要員が存在することはまれで、他業務と兼任で行っていることが一般的だ。こうした状況では他業務に忙殺されID情報の更新作業が滞ることで、ユーザー側での生産性に影響が及ぶことも危惧(きぐ)される。

ID管理におけるリスク

 もしID情報の管理が行き届かなくなると、以下のようなリスクが生じる。

 個人情報保護法の施行、セキュリティインシデントに関する日々の報道などもあり、情報セキュリティの重要性は市場において広く認識されているといえるが、現在の状況を見ると情報セキュリティリスクの中でも内部からの情報漏えいに対する懸念が大きくなっていることが考えられる。図1は、アイ・ティ・アール(ITR)がユーザー企業のIT導入に関する意思決定層を主対象として実施した調査の結果だ。「情報資産の自宅への持ち出し」「情報セキュリティに対する従業員の意識が希薄」といった項目に多くの回答が集まっている。

図1 図1●自社の情報セキュリティに関する懸念事項(出典:ITR/Computerworld TR 2008年6月)《クリックで拡大》

 内部からの情報漏えいでは、機密対象となる情報自体の保護を行わないことやUSBポートなど情報を持ち出す経路を遮断しないことが原因となるが、ユーザーのアカウントに対して不必要なアクセス権限を付与していることや不要なアカウントを放置しておくといったID情報の管理不備も大きな原因となり得る(※)。

※ 三菱UFJ証券の元システム部社員が148万6651人分の顧客情報を外部に持ち出し、うち約5万人の情報を意図的に漏えいさせた事件(2009年4月8日公表)では、社員の機密データへの参照権限を管理するアクセスコントロールが不十分だった。社員に不必要な権限を与え、IDの不正利用を防止できなかったことが原因の1つとされている。

 加えて、今日では法令順守も無視できないリスク要因となる。日本版SOX法など内部統制の整備や強化が求められる法令が増えているが、こうした法令に対する違反や内部統制監査での是正勧告がそれである。法令違反では罰金などのペナルティーが考えられるほか、監査では是正対応から別途コストが発生する可能性もある。また、結果として社会的な信用を失うことにもつながりかねない。特に、米国では内部統制監査における指摘事項や主要な欠陥として、ID管理に関連する問題が全問題の6、7割に上っているとする調査リポートもあることから、監査への対応は慎重に行うことが望ましいだろう。

ID管理の本当のメリットとは何か

 こうしたリスクへの対策としてID管理を強化していく上では、関連するITツールを導入することも1つの選択肢となる。今日の市場ではベンダーから多様な製品が提供されているが、主流となっているのは、シングルサインオン(SSO)プロビジョニングを提供する製品。SSOは、ユーザーがシステム単位で有するアカウントを単一のアカウントにひも付け、その単一アカウントにより複数システムへのアクセス(ロギング)を提供する。

画像 日本CA「CA Access Control」のグループ別ユーザーリポート画面《クリックで拡大》

 一方のプロビジョニングは、アカウントの作成や属性情報の登録、属性情報の変更、アカウントの失効ないしは削除といったアカウントのライフサイクル管理とアカウント管理作業のワークフローなどの機能を提供している。なお市場では、プロビジョニング製品をID管理製品と呼ぶことが多い。

主なID管理製品
日本CA 日本ヒューレット・パッカード 日本アイ・ビー・エム マイクロソフト ノベル サン・マイクロシステムズ
ディレクトリサービス CA Directory RHDS(Red Hat Directory Server) Tivoli Directory Server Active Directory Novell eDirectory Sun Java System Directory Server
プロビジョニング CA Identity Manager HP IceWall Identity Manager Tivoli Identity Manager Microsoft Identity Lifecycle Manager Novell Identity Manager Sun Java System Identity Manager
監査 CA Access Control HP Compliance Log Warehouse(※) Tivoli Security Compliance Manager(※) - Sentinel(※)
シングルサインオン CA SiteMinder SSO/CA Single Sign-On HP IceWall SSO Tivoli Access Manager - Novell Access Manager Novell SecureLogin Sun Java Access Manager
フェデレーション CA SiteMinder Web Access Manager Tivoli Federated Identity Manager - Sun Java Federation Manager
※:ID管理製品のラインアップとしてだけではなくログ管理製品としても提供されている

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news132.jpg

ハロウィーンの口コミ数はエイプリルフールやバレンタインを超える マーケ視点で押さえておくべきことは?
ホットリンクは、SNSの投稿データから、ハロウィーンに関する口コミを調査した。

news103.jpg

なぜ料理の失敗写真がパッケージに? クノールが展開する「ジレニアル世代」向けキャンペーンの真意
調味料ブランドのKnorr(クノール)は季節限定のホリデーマーケティングキャンペーン「#E...

news160.jpg

業界トップランナーが語る「イベントDX」 リアルもオンラインも、もっと変われる
コロナ禍を経て、イベントの在り方は大きく変わった。データを駆使してイベントの体験価...