 |
||||||||||||
|
||||||||||||
| 1 2 3 次のページ | ||||||||||||
|
||||||||||||
| はじめに | ||||||||||||
|
日々の業務遂行から重要な意思決定や戦略策定に至るすべての企業運営において、ITシステムは必須であるだけでなく、重要なデータを大量に保持する必要不可欠な構成要素となっています。 ITシステムの基盤がメインフレーム中心だった時代では、十分にスキルを有した信頼できる社員のみがシステムへのアクセスを行っていたため、認証されたユーザによる適切なアクセスが実現されていました。 しかし現在ではシステムのオープン化に伴い、Webアプリケーションを代表とする個別に最適化されたシステムの乱立と、誰もが簡単にPCクライアントからアクセスを行える環境が展開されています。そして企業活動を促進するために、すべての従業員に適切なユーザIDとアクセス権限を付与したため、ID管理は複雑かつ負担の大きい業務となっています。 その一方で、ここ数年の企業活動に対する新たな要請として、コンプライアンスや内部統制への対応が求められています。個人情報保護法や新会社法、金融商品取引法(日本版SOX法)など、企業の活動に対して厳格な統制を求める法規制が増えており、ルールに従った日々の業務運営を保証し、さらに業務運営結果に対する監査に耐えうる証跡を記録することが求められています。 こういった時代背景の中、システムセキュリティを確保する上で、統合されたID管理は最も重要なインフラ構成要素となっています。 |
||||||||||||
| ID管理の役割 | ||||||||||||
|
では改めてID管理における課題を整理していきましょう。 |
||||||||||||
| 一元管理の問題 | ||||||||||||
|
多くのシステムではアプリケーション単位でユーザIDが設定管理されており、各アプリケーションに独立して存在しています(例えばイントラネットやグループウェアごとなど)。結果として重複した膨大な数のユーザIDをIT担当者が管理しなければならず、複雑で負荷の大きい作業の実施を強いられている状況です。 |
||||||||||||
| コンプライアンス・内部統制の問題 | ||||||||||||
|
人事異動によって役割の異なる業務を担当しているにもかかわらず、異動前のアプリケーションを継続して使用していたり、また退職後も消されていないユーザIDを利用することができるといった環境も存在しているのではないでしょうか。 退職した元従業員が退職後も抹消されていなかった自分のユーザIDを利用し、情報を盗み出すという事件も発生していますが、これは「IDライフサイクル」に従ったID管理が実現できていれば防止できていたことです。 つまり従業員が入社してから退社する間の、IDの発行から抹消までの一連の管理サイクルとなるIDライフサイクルに対応し、ユーザIDを確実に管理する必要があるでしょう。 入社時にユーザIDを発行し、配属先や資格に応じたアプリケーションやコンテンツへのアクセス権を付与して、人事異動や昇格に伴ってアクセス権を変更し承認フローなどの権限を追加します。そして会社を退社したときにユーザIDを抹消し、すべてのアクセス権をなくす必要があるのです。 さらに内部統制を確立するためには、あらかじめ定められた承認プロセスやワークフローに基づいた正しいIDや権限の付与が行われたことの履歴の保持が必要です。これは監査や問題発生時の証跡となり、問題発生時に責任の所在を明確化するものとなります。 つまり内部統制確立に向けて、「いつ、誰の承認で該当ユーザにIDや権限を付与したのか」「それはどの承認プロセスに基づいて行われたのか」などを明確に証明できるようにしておくために、履歴を取得・保全し、簡単にレポートできるようにしておくことが必要なのです。 ID管理が担うべき項目をまとめると以下の通りとなります。
表1:ID管理における重要な項目
|
||||||||||||
|
1 2 3 次のページ |
||||||||||||
|
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
-
-
連載
