ID管理はコンプライアンス対策度の試金石：今こそ見直すID管理の効用

ID管理はセキュリティやコンプライアンスの観点で対策が必要視されているものの、導入する企業は大企業が中心。そこで多くの企業が得られるID管理の真のメリットを理解するとともに導入ポイントについて解説する。

[雪嶋貴大，アイ・ティ・アール]

ID管理を取り巻く現状と課題

　アイデンティティー管理（以下、ID管理）とは、情報システムを利用するユーザーのアカウントやそれに含まれる属性情報の管理を示す。ここでいうアカウントとは、一般的にはユーザーIDとそれにひも付くパスワードであり、属性情報とは各アカウントを用いるユーザーの所属組織、職位、担当業務などの情報となる。

　情報システムを利用するユーザーの情報はシステムごとに管理され、ユーザーのアカウントもシステムごとに存在する。情報システムの構築は現在も進み続けており、企業におけるシステムの数は年々増加する傾向にある。システムが増加することで、ユーザー1人当たりのアカウントの数も増加し、複数のパスワードの取り扱いがユーザーの負担となる。また、システムごとのID情報の管理も煩雑化し、IT部門における運用業務の工数が増大する一方だ。

　一方システムのユーザーは、正社員だけでなく、外部からの契約社員や社外の業務委託先など多様な雇用形態から成り立っている。加えて、企業では従業員の配置転換や離職などの組織上の変更が日常茶飯事に発生する。特に昨今の不況ではリストラから大規模な人員整理が実施されるようになっており、組織構成の変化が頻繁かつ大規模となりつつある。

　ユーザーのID情報は適切に維持され必要に応じて変更されるべきものであるが、こうした昨今の状況によりユーザー属性が多様化し、ID情報の変更頻度が高まることで運用業務がさらに煩雑化し、その工数がIT部門に重くのしかかってきている。まして国内では、ID管理を専任で担当する要員が存在することはまれで、他業務と兼任で行っていることが一般的だ。こうした状況では他業務に忙殺されID情報の更新作業が滞ることで、ユーザー側での生産性に影響が及ぶことも危惧（きぐ）される。

ID管理におけるリスク

　もしID情報の管理が行き届かなくなると、以下のようなリスクが生じる。

• 情報セキュリティリスク
• コンプライアンスリスク

　個人情報保護法の施行、セキュリティインシデントに関する日々の報道などもあり、情報セキュリティの重要性は市場において広く認識されているといえるが、現在の状況を見ると情報セキュリティリスクの中でも内部からの情報漏えいに対する懸念が大きくなっていることが考えられる。図1は、アイ・ティ・アール（ITR）がユーザー企業のIT導入に関する意思決定層を主対象として実施した調査の結果だ。「情報資産の自宅への持ち出し」「情報セキュリティに対する従業員の意識が希薄」といった項目に多くの回答が集まっている。

図1●自社の情報セキュリティに関する懸念事項（出典：ITR／Computerworld TR　2008年6月）《クリックで拡大》

　内部からの情報漏えいでは、機密対象となる情報自体の保護を行わないことやUSBポートなど情報を持ち出す経路を遮断しないことが原因となるが、ユーザーのアカウントに対して不必要なアクセス権限を付与していることや不要なアカウントを放置しておくといったID情報の管理不備も大きな原因となり得る（※）。

※　三菱UFJ証券の元システム部社員が148万6651人分の顧客情報を外部に持ち出し、うち約5万人の情報を意図的に漏えいさせた事件（2009年4月8日公表）では、社員の機密データへの参照権限を管理するアクセスコントロールが不十分だった。社員に不必要な権限を与え、IDの不正利用を防止できなかったことが原因の1つとされている。

　加えて、今日では法令順守も無視できないリスク要因となる。日本版SOX法など内部統制の整備や強化が求められる法令が増えているが、こうした法令に対する違反や内部統制監査での是正勧告がそれである。法令違反では罰金などのペナルティーが考えられるほか、監査では是正対応から別途コストが発生する可能性もある。また、結果として社会的な信用を失うことにもつながりかねない。特に、米国では内部統制監査における指摘事項や主要な欠陥として、ID管理に関連する問題が全問題の6、7割に上っているとする調査リポートもあることから、監査への対応は慎重に行うことが望ましいだろう。

ID管理の本当のメリットとは何か

　こうしたリスクへの対策としてID管理を強化していく上では、関連するITツールを導入することも1つの選択肢となる。今日の市場ではベンダーから多様な製品が提供されているが、主流となっているのは、シングルサインオン（SSO）やプロビジョニングを提供する製品。SSOは、ユーザーがシステム単位で有するアカウントを単一のアカウントにひも付け、その単一アカウントにより複数システムへのアクセス（ロギング）を提供する。

日本CA「CA Access Control」のグループ別ユーザーリポート画面《クリックで拡大》

　一方のプロビジョニングは、アカウントの作成や属性情報の登録、属性情報の変更、アカウントの失効ないしは削除といったアカウントのライフサイクル管理とアカウント管理作業のワークフローなどの機能を提供している。なお市場では、プロビジョニング製品をID管理製品と呼ぶことが多い。

主なID管理製品

	日本CA	日本ヒューレット・パッカード	日本アイ・ビー・エム	マイクロソフト	ノベル	サン・マイクロシステムズ
ディレクトリサービス	CA Directory	RHDS（Red Hat Directory Server）	Tivoli Directory Server	Active Directory	Novell eDirectory	Sun Java System Directory Server
プロビジョニング	CA Identity Manager	HP IceWall Identity Manager	Tivoli Identity Manager	Microsoft Identity Lifecycle Manager	Novell Identity Manager	Sun Java System Identity Manager
監査	CA Access Control	HP Compliance Log Warehouse（※）	Tivoli Security Compliance Manager（※）	-	Sentinel（※）
シングルサインオン	CA SiteMinder SSO／CA Single Sign-On	HP IceWall SSO	Tivoli Access Manager	-	Novell Access Manager Novell SecureLogin	Sun Java Access Manager
フェデレーション	CA SiteMinder Web Access Manager		Tivoli Federated Identity Manager	-		Sun Java Federation Manager
※：ID管理製品のラインアップとしてだけではなくログ管理製品としても提供されている

関連ホワイトペーパー

ID管理 | アクセス制御 | プロビジョニング | 内部統制 | シングルサインオン | コンプライアンス | 情報漏洩 | RDBMS | ログ管理 | SOX法