約3万2000人のID/アクセス管理業務効率化手法:社員の出入りが激しい企業では必須
離職率の高いBrookdaleでは、独自の“レシピ”作成と自動化ソフトの導入により、業務の効率化を図った。
新規採用の従業員にITアクセスを提供すること、退職する従業員とはデジタルな関係を早急にきっぱり絶つこと、そしてアクセス権限の変更に常に対応することは、SOX法(サーベンス・オクスリー法)とHIPAA(医療保険の相互運用性と説明責任に関する法律)への順守が義務付けられている高齢者向け住居の大手プロバイダーBrookdale Senior Living(以下、Brookdale)のような企業にとっては重要なことだ。しかしID/アクセス管理(IAM)は、フルタイムで勤務するセキュリティスタッフを7人も必要とするような仕事なのだろうか。
「高齢者介護業界では従業員の離職率が高い。業務によっては、1年間で離職率が100%を超えるものもある」と話すのは、急成長中のBrookdaleでCIOを務めるスコット・ランソン氏。同社は560カ所の事業所で約3万2000人の従業員を雇用しており、95人のスタッフで構成されるITチームが従業員の管理を行っている。
しかし従業員を把握・管理するというのは、IT部門だけに関係した問題ではない。ランソン氏がそのことに気付いたのは、同社の業務責任者を招集し、人事管理業務の一部を自動化する技術について話し合ったときだ。
「当社では離職率が高いこともあり、新たなプロビジョニングの承認に多くの時間を費やしているスタッフもいた。IT部門で“レシピ”を作成したことにより、彼らは余った時間をほかの仕事に振り向けられるようになった」とランソン氏は話す。同氏のレシピは、職務を規定して、それをアプリケーションとシステムに対応させるという骨の折れる作業の成果だ。
ユーザーアカウントのプロビジョニングと管理を自動化する手段を模索しているのはランソン氏だけではない。Forrester Research(以下、Forrester)のアナリスト、ロバート・ホワイトリー氏によると、そういった機能を提供するID/アクセス管理ツールに対するユーザーの需要が高まっており、魅力的な価格の新製品が次々と登場しているという。
「先行き不透明な経済状況も、この需要を後押ししている」と話すのは、ForresterでIAMとユーザーアカウントプロビジョニングを専門とするアナリストのアンドラス・チャー氏だ。「不安感を募らせる従業員たちは、重要な情報を調べたり、盗んだり、改ざんしたりしようという誘惑に駆られるかもしれない」とチャー氏は最近の報告書に記している。
また、人員削減の動きが広がる中、アプリケーションのメンテナンスとサポートを非正規従業員やSaaSプロバイダーに頼る企業が増えている。このような手段は経費の節約につながるものの、リスクの増大を招く恐れがある。非正規従業員がデータの不適切な利用に気付いたり、それを報告したりすることは少ない。加えて、「SaaSアプリケーションでは、ユーザーのプロビジョニング、修正、削除は手作業で行うことが多いため、作業が遅れたり、ミスが起きたりする可能性が高く、データ漏えいのリスクが増大する」とチャー氏は警告する。
実際、データ漏えいに伴う企業のイメージダウンと金銭的損害の可能性こそが、不況の中でセキュリティ予算を守っているのだ。Forresterは最近の報告書で、2008年にはIT支出でセキュリティが占める割合が増加し、2009年もこの傾向が続くと予想している。さらにForresterによると、現在、多くの大手企業のセキュリティ部門がIT以外の部門に対しても直接的あるいは間接的な指揮下に入るなど、ビジネス分野におけるセキュリティの重要性が一層高まっているという。
Brookdaleのランソン氏の場合、ID/アクセス管理を導入する主な目的は、顧客サービスを改善すると同時に、従業員が仕事に必要なアプリケーションに(そしてこれらのアプリケーションだけに)アクセスできるようにするのにITが費やす時間を減らすことであった。
成長企業でのアカウント管理
BrookdaleにおけるID管理の自動化ニーズの背景には、高い離職率に加えて同社の急激な事業拡大がある。Brookdaleは2005年以来、3件の大規模買収を経て、年商約3億ドルから20億ドル弱の企業へと成長した。同社のIT予算は売り上げの1.1%にすぎない。
同社のIT部門では、1日に50件のIAM関連の処理を要請されることもあり、それぞれの処理を複数のアプリケーションとシステムで作業する必要がある。手作業で処理を行っていたときは、50件の処理を完了するのに何日もかかることがあった。
「新規採用の従業員がシステムにログインして仕事を始めるまで3、4日、場合によっては5日も待たせるというのは、あまり良い“顧客サービス”とはいえない」とランソン氏は振り返る。
ID/アクセス管理の改善の必要性を感じたランソン氏は2008年1月、Courionのソフトウェアソリューションを選んだ。BrookdaleではOracle製品を利用していた。「当時、OracleのPeopleSoftをコントロールするのはOracleよりもCourionの方が優れていた」と同氏は語る。同氏の推定では、導入に掛かった経費は総額で約40万ドルだ。
ランソン氏によると、ID/アクセス管理技術の導入後、IAMリクエストの処理時間は、重要なアプリケーションでは24時間以下に短縮されたという。また、3人の正社員をその仕事から外すことができた。「Courionの製品が自動で処理してくれるからだ」と同氏は話す。この製品は毎晩、新規従業員に関する通知を受けるとプロビジョニングを行う。解雇に伴う処理は直ちに実行され、変更に伴う処理は“やや臨機応変”に行われるという。
同製品は、これまで業務責任者に任されていた個々の従業員の権限の処理を自動化するなど、SOX法へのコンプライアンスにも役立っている。
「当社のSOX法関連規定を書き直し、業務責任者があらゆる処理を承認しなくても、レシピを承認すれば済むようにした。コンピュータがプロビジョニングを行うので、プロビジョニングミスが発生する可能性は非常に低い」とランソン氏は説明する。
※ レシピまたはアプリケーションに変更がある場合は、アプリケーションをテストし、業務責任者はそれを本番用に移行する前に承認する必要があるという。
さらにCourionの製品は、Brookdaleが社内で開発した課金システムを含む異種アプリケーション間で従業員の職務と権限を管理できる。「これによりIT部門は、SOX法の職責分離規定に対応するのに必要なリポートを自動的に作成できるようになった」とランソン氏は語る。
業務担当者をIAMに参加させる
これらのメリットにはそれなりの苦労も伴ったようだ。例の便利な“レシピ”を作成するのには大変な労力を要したという。
「実際にプログラミングを始める前に、まずルールを確立しなければならず、これには膨大な作業が必要となる」とランソン氏は話す。
Courionの製品を立ち上げるまでの苦労について、ランソン氏はそれを汎用リモコンに例えた。「自分で何をしているのか分かっていれば難しくはない。だが自分でやっていることが分かっていなければ、操作はほとんど不可能だ」と同氏は話す。
「この取り組みで不可欠なのは、業務担当者を参加させることだ」とランソン氏は強調する。導入作業には共同で取り組む必要があり、セキュリティチーム、業務責任者およびCourionのコンサルタントが同席して、Brookdaleの約700職種についてすべての職務と権限を対応させる作業を行った。この作業には6カ月間を要したという。
Copyright © ITmedia, Inc. All Rights Reserved.