ID管理はコンプライアンス対策度の試金石:今こそ見直すID管理の効用
ID管理はセキュリティやコンプライアンスの観点で対策が必要視されているものの、導入する企業は大企業が中心。そこで多くの企業が得られるID管理の真のメリットを理解するとともに導入ポイントについて解説する。
ID管理を取り巻く現状と課題
アイデンティティー管理(以下、ID管理)とは、情報システムを利用するユーザーのアカウントやそれに含まれる属性情報の管理を示す。ここでいうアカウントとは、一般的にはユーザーIDとそれにひも付くパスワードであり、属性情報とは各アカウントを用いるユーザーの所属組織、職位、担当業務などの情報となる。
情報システムを利用するユーザーの情報はシステムごとに管理され、ユーザーのアカウントもシステムごとに存在する。情報システムの構築は現在も進み続けており、企業におけるシステムの数は年々増加する傾向にある。システムが増加することで、ユーザー1人当たりのアカウントの数も増加し、複数のパスワードの取り扱いがユーザーの負担となる。また、システムごとのID情報の管理も煩雑化し、IT部門における運用業務の工数が増大する一方だ。
一方システムのユーザーは、正社員だけでなく、外部からの契約社員や社外の業務委託先など多様な雇用形態から成り立っている。加えて、企業では従業員の配置転換や離職などの組織上の変更が日常茶飯事に発生する。特に昨今の不況ではリストラから大規模な人員整理が実施されるようになっており、組織構成の変化が頻繁かつ大規模となりつつある。
ユーザーのID情報は適切に維持され必要に応じて変更されるべきものであるが、こうした昨今の状況によりユーザー属性が多様化し、ID情報の変更頻度が高まることで運用業務がさらに煩雑化し、その工数がIT部門に重くのしかかってきている。まして国内では、ID管理を専任で担当する要員が存在することはまれで、他業務と兼任で行っていることが一般的だ。こうした状況では他業務に忙殺されID情報の更新作業が滞ることで、ユーザー側での生産性に影響が及ぶことも危惧(きぐ)される。
ID管理におけるリスク
もしID情報の管理が行き届かなくなると、以下のようなリスクが生じる。
- 情報セキュリティリスク
- コンプライアンスリスク
個人情報保護法の施行、セキュリティインシデントに関する日々の報道などもあり、情報セキュリティの重要性は市場において広く認識されているといえるが、現在の状況を見ると情報セキュリティリスクの中でも内部からの情報漏えいに対する懸念が大きくなっていることが考えられる。図1は、アイ・ティ・アール(ITR)がユーザー企業のIT導入に関する意思決定層を主対象として実施した調査の結果だ。「情報資産の自宅への持ち出し」「情報セキュリティに対する従業員の意識が希薄」といった項目に多くの回答が集まっている。
内部からの情報漏えいでは、機密対象となる情報自体の保護を行わないことやUSBポートなど情報を持ち出す経路を遮断しないことが原因となるが、ユーザーのアカウントに対して不必要なアクセス権限を付与していることや不要なアカウントを放置しておくといったID情報の管理不備も大きな原因となり得る(※)。
※ 三菱UFJ証券の元システム部社員が148万6651人分の顧客情報を外部に持ち出し、うち約5万人の情報を意図的に漏えいさせた事件(2009年4月8日公表)では、社員の機密データへの参照権限を管理するアクセスコントロールが不十分だった。社員に不必要な権限を与え、IDの不正利用を防止できなかったことが原因の1つとされている。
加えて、今日では法令順守も無視できないリスク要因となる。日本版SOX法など内部統制の整備や強化が求められる法令が増えているが、こうした法令に対する違反や内部統制監査での是正勧告がそれである。法令違反では罰金などのペナルティーが考えられるほか、監査では是正対応から別途コストが発生する可能性もある。また、結果として社会的な信用を失うことにもつながりかねない。特に、米国では内部統制監査における指摘事項や主要な欠陥として、ID管理に関連する問題が全問題の6、7割に上っているとする調査リポートもあることから、監査への対応は慎重に行うことが望ましいだろう。
ID管理の本当のメリットとは何か
こうしたリスクへの対策としてID管理を強化していく上では、関連するITツールを導入することも1つの選択肢となる。今日の市場ではベンダーから多様な製品が提供されているが、主流となっているのは、シングルサインオン(SSO)やプロビジョニングを提供する製品。SSOは、ユーザーがシステム単位で有するアカウントを単一のアカウントにひも付け、その単一アカウントにより複数システムへのアクセス(ロギング)を提供する。
一方のプロビジョニングは、アカウントの作成や属性情報の登録、属性情報の変更、アカウントの失効ないしは削除といったアカウントのライフサイクル管理とアカウント管理作業のワークフローなどの機能を提供している。なお市場では、プロビジョニング製品をID管理製品と呼ぶことが多い。
| 日本CA | 日本ヒューレット・パッカード | 日本アイ・ビー・エム | マイクロソフト | ノベル | サン・マイクロシステムズ | |
|---|---|---|---|---|---|---|
| ディレクトリサービス | CA Directory | RHDS(Red Hat Directory Server) | Tivoli Directory Server | Active Directory | Novell eDirectory | Sun Java System Directory Server |
| プロビジョニング | CA Identity Manager | HP IceWall Identity Manager | Tivoli Identity Manager | Microsoft Identity Lifecycle Manager | Novell Identity Manager | Sun Java System Identity Manager |
| 監査 | CA Access Control | HP Compliance Log Warehouse(※) | Tivoli Security Compliance Manager(※) | - | Sentinel(※) | |
| シングルサインオン | CA SiteMinder SSO/CA Single Sign-On | HP IceWall SSO | Tivoli Access Manager | - | Novell Access Manager Novell SecureLogin | Sun Java Access Manager |
| フェデレーション | CA SiteMinder Web Access Manager | Tivoli Federated Identity Manager | - | Sun Java Federation Manager | ||
| ※:ID管理製品のラインアップとしてだけではなくログ管理製品としても提供されている | ||||||
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 約3万2000人のID/アクセス管理業務効率化手法
- シングルサインオン導入への助言――メリットと注意点
- “外部監査対応時間を55%削減”したオラクルのアプリケーション職務分掌管理製品
- 日本CA、特権ユーザーの不正使用防ぐサーバアクセス管理ツールの新版
- 特権ユーザーを管理しなければならないこれだけの理由
- ノベルが提供するアイデンティティ管理の起案支援サービス
- 導入事例:TBSが選んだアイデンティティ管理ソリューション
- クラウドコンピューティング時代に求められるアイデンティティー管理とは?
- ID管理システムの導入ハードルは高い? 今から考える適切なID管理
- アイデンティティ管理ソリューション選定・導入のためのガイド
- 今、見直されるアイデンティティ管理
- 退職社員が148万人の顧客情報を持ち出し――三菱UFJ証券が発表(ITmediaエンタープライズ)
- 三菱UFJ証券の顧客データ不正売却:アクセス管理に問題(ITmediaエンタープライズ)
- 性善説のセキュリティ管理に限界――三菱UFJ証券の顧客情報流出(ITmediaエンタープライズ)