知らない間にさまざまなSaaSが使われてしまい、十分なID管理ができない――。こうした組織が取るべき対策とは何なのか。ID管理に不備が生まれやすい、そもそもの原因とは。「SaaSスプロール」時代のID管理を考える。
「Slack」などのビジネスチャットツールや、「Zoom」などのWeb会議サービス、「Microsoft 365」などのオフィススイート、「Notion」などの情報共有ツール、さらには「ChatGPT」などのAI(人工知能)チャットbot――。現業部門がこうしたSaaS(Software as a Service)を次々と導入した結果、IT部門が膨大な管理作業に追われる状況を「SaaSスプロール」と呼ぶ。IT部門が把握していない“野良SaaS”が乱立することで、監査のたびに「このSaaSの管理者は誰なのか」といった確認作業を繰り返す組織もある。
SaaSスプロールによって生じる深刻な問題が、ID管理の不備だ。SaaSの無秩序な増加はID管理の煩雑化を招き、結果として退職者IDの削除漏れ、部署異動時の権限変更忘れといった不備につながる可能性がある。ID管理の不備は、情報漏えいや不正アクセスといった重大なインシデントに直結しかねない。SaaS導入が加速する中、手作業かつ属人化した従来のID管理からの脱却が急務だ。
ID管理が難しくなる原因は1つではない。背景には複数の厄介な問題が横たわっている。
従業員の入社時のID作成、異動時の権限変更、退職時のID削除といったIDのライフサイクル管理が、「Microsoft Excel」などの表計算ソフトウェアによる手作業かつ属人的な業務になっている組織は珍しくない。こうした状況を放置していると、IDライフサイクル管理の抜け漏れが発生しやすくなる。特に退職者IDの放置は、実際の情報漏えい事件でも原因として頻繁に指摘されており、注意が必要だ。
現業部門が自らの判断で導入したITツールは、IT部門の管理対象から漏れ、利用実態が不透明になることがある。こうしたITツールを「シャドーIT」と呼び、特に導入が比較的容易なSaaSはシャドーITになりやすい。IT部門から“見えないSaaS”がID管理の不徹底を招き、セキュリティリスクの温床となる。
SaaSスプロールに直面するIT部門が、ID管理の不備を解消するには「手作業による属人化したID管理を前提にしない」ことが前提条件となる。その実現のためには、適切な機能を備えたITツールの導入が役立つ。単一のITツールで済ませることを優先するよりも、必要な機能を備えた適切なITツールを選定し、必要に応じて組み合わせて運用するとよい。SaaSスプロールに伴うID管理の課題を解消する上で役立つ、主なITツールの機能を整理しよう。
さまざまなシステムにおけるIDのライフサイクルを包括的に管理する、伝統的なITツールが「統合ID管理」ツールだ。統合ID管理の中核機能であるIDライフサイクル管理機能は、認証・認可の管理機能も含めた、より包括的な「IDおよびアクセス管理」(IAM)ツールの機能として含まれることがある。IDライフサイクル管理機能を備えるITツールの中には、管理対象IDの棚卸し(現状把握)機能を備えるものもある。
IDの発行や削除、権限変更の自動化には、人事システムとの連携が重要だ。人事システムには、入社や異動、退職といった従業員の現状を示すデータがいち早く登録される。そのため従業員の状況変化に即応したID管理を実現できるかどうかは、人事システムとの連携が鍵になる。IDライフサイクル管理を実現するITツールの選定時には、連携可能な人事システムや、連携に用いるAPI(アプリケーションプログラミングインタフェース)関連の仕様を確認するとよい。
普及しつつあるID管理クラウドサービス「IDaaS」(Identity as a Service)のうち、「Okta」「OneLogin」「JumpCloud」といった主要サービスも、IDライフサイクル管理機能を持つ。これらのIDaaSは人事システムとの連携により、入退社に伴うIDライフサイクル管理を自動化可能だ。「HENNGE One」などの国産IDaaSは、日本語によるユーザーインタフェース(UI)やサポート体制を用意していることが一般的であり、英語が苦手なIT担当者でも扱いやすい。
「SSPM」(SaaSセキュリティポスチャ管理)や「SMP」(SaaS管理プラットフォーム)といった主要なSaaSセキュリティツールには、組織内でのSaaSの利用状況を網羅的に可視化する機能を持つものがある。例えばSSPMの「Wing Security」「DoControl」やSMPの「BetterCloud」は、ネットワーク経由でSaaS利用を自動検出し、管理できていなかったSaaSを可視化する。共有ファイルのアクセス権監視やSaaS間データ転送の可視化により、セキュリティポリシー違反や情報漏えいの兆候を早期発見できる。
SaaSセキュリティ製品の種類は幅広い。SaaS利用状況の可視化機能を目的にSaaSセキュリティツールを導入する場合は、SaaSに関するどのような設定や行動を検出できるのか、危険な設定や行動に対してアラートを発したり、自動的にブロックしたりできるのかどうかを、自社のセキュリティポリシーに照らして評価する必要がある。
ITツール選定では、IT部門は機能の充実度だけではなく、実際の運用継続性を重視すべきだ。選定時に確認すべきポイントを整理する。
SaaSスプロールが悪化させるID管理の不備は、セキュリティや内部統制、業務継続性に影響する。現業部門でのSaaS導入が加速する中、IT部門が十分に管理できないほどに、IDが増大してしまう可能性がある。対策として、IDライフサイクル管理やSaaS利用状況可視化といった機能を備えたITツールを導入することは、有力な選択肢となる。ITツール導入の際には、組織の規模や運用体制に合った適切なITツールを選定することが重要だ。
ITツール導入だけではなく、ID管理にまつわる業務プロセスの見直しも欠かせない。ID管理の現場では「特定の人にしか分からない運用」や「毎回手作業で処理する仕組み」が依然として残っている。こうした属人化と手作業の組み合わせは、管理の抜け漏れといった不備を引き起こすだけではなく、ライフサイクルに即応したID管理の実現が難しくなり、ID管理に隙を生んでしまう。
手作業かつ属人化したID管理から抜け出すには、ID管理そのものを自動化できる仕組みの整備が不可欠だ。例えばIDの発行・削除のワークフローを人事システムと連携させるだけでも、手作業がかなり削減できる。適切なITツールを導入することは、ID管理の属人化を解消し、結果としてコンプライアンス(法令・規定順守)の強化につながる。
目標にすべきなのは「誰が担当しても、ミスなくIDを管理できる仕組み」の構築だ。適切なITツール選定と運用設計により、SaaSの利便性とセキュリティを両立する環境を構築しよう。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
