[ThinkIT] 第3回：ID管理基盤によるセキュリティ強化 (1/3)

TOP＞業務システム＞はじめに

Oracle Fusion Middleware

徹底解剖!!Oracle Fusion Middleware

第３回：ID管理基盤によるセキュリティ強化
著者：新日鉄ソリューションズ白杉武志 2006/10/27

1 2 3 次のページ

はじめに

   日々の業務遂行から重要な意思決定や戦略策定に至るすべての企業運営において、ITシステムは必須であるだけでなく、重要なデータを大量に保持する必要不可欠な構成要素となっています。

   ITシステムの基盤がメインフレーム中心だった時代では、十分にスキルを有した信頼できる社員のみがシステムへのアクセスを行っていたため、認証されたユーザによる適切なアクセスが実現されていました。

   しかし現在ではシステムのオープン化に伴い、Webアプリケーションを代表とする個別に最適化されたシステムの乱立と、誰もが簡単にPCクライアントからアクセスを行える環境が展開されています。そして企業活動を促進するために、すべての従業員に適切なユーザIDとアクセス権限を付与したため、ID管理は複雑かつ負担の大きい業務となっています。

   その一方で、ここ数年の企業活動に対する新たな要請として、コンプライアンスや内部統制への対応が求められています。個人情報保護法や新会社法、金融商品取引法（日本版SOX法）など、企業の活動に対して厳格な統制を求める法規制が増えており、ルールに従った日々の業務運営を保証し、さらに業務運営結果に対する監査に耐えうる証跡を記録することが求められています。

   こういった時代背景の中、システムセキュリティを確保する上で、統合されたID管理は最も重要なインフラ構成要素となっています。

ID管理の役割

では改めてID管理における課題を整理していきましょう。

一元管理の問題

多くのシステムではアプリケーション単位でユーザIDが設定管理されており、各アプリケーションに独立して存在しています（例えばイントラネットやグループウェアごとなど）。結果として重複した膨大な数のユーザIDをIT担当者が管理しなければならず、複雑で負荷の大きい作業の実施を強いられている状況です。

コンプライアンス・内部統制の問題

   人事異動によって役割の異なる業務を担当しているにもかかわらず、異動前のアプリケーションを継続して使用していたり、また退職後も消されていないユーザIDを利用することができるといった環境も存在しているのではないでしょうか。

   退職した元従業員が退職後も抹消されていなかった自分のユーザIDを利用し、情報を盗み出すという事件も発生していますが、これは「IDライフサイクル」に従ったID管理が実現できていれば防止できていたことです。

   つまり従業員が入社してから退社する間の、IDの発行から抹消までの一連の管理サイクルとなるIDライフサイクルに対応し、ユーザIDを確実に管理する必要があるでしょう。

   入社時にユーザIDを発行し、配属先や資格に応じたアプリケーションやコンテンツへのアクセス権を付与して、人事異動や昇格に伴ってアクセス権を変更し承認フローなどの権限を追加します。そして会社を退社したときにユーザIDを抹消し、すべてのアクセス権をなくす必要があるのです。

   さらに内部統制を確立するためには、あらかじめ定められた承認プロセスやワークフローに基づいた正しいIDや権限の付与が行われたことの履歴の保持が必要です。これは監査や問題発生時の証跡となり、問題発生時に責任の所在を明確化するものとなります。

   つまり内部統制確立に向けて、「いつ、誰の承認で該当ユーザにIDや権限を付与したのか」「それはどの承認プロセスに基づいて行われたのか」などを明確に証明できるようにしておくために、履歴を取得・保全し、簡単にレポートできるようにしておくことが必要なのです。

   ID管理が担うべき項目をまとめると以下の通りとなります。

業務対応力の向上: アプリケーションごとにばらばらに管理されていたユーザIDを統一管理し、システムやアプリケーションへのアクセス権限の付与をタイムリーに行い、業務対応力を向上する。
ID管理業務の効率化: ユーザIDの管理タスクを自動化して管理者およびユーザへのサービスレベルを向上する。
セキュリティの向上: IDライフサイクルに対して、セキュリティポリシーに基づく管理の実施と、なりすましや期限切れ、不正アクセスなどの潜在的なセキュリティの脅威からシステムを保護する。
規制遵守への対応: 重要なデータにアクセスできるIDに関連する規制要件の遵守と確認を効率的に実現し、監査に向けたレポート作成を行う。
コスト削減: 以上を実現することにより、管理スタッフの効率的な活用とセキュリティ基盤の共通化により、コスト削減を実現する。

表1：ID管理における重要な項目

1 2 3 次のページ

新日鉄ソリューションズ株式会社　白杉武志

著者プロフィール
新日鉄ソリューションズ株式会社白杉武志
ITインフラソリューション事業部マーケティング部
セキュリティソリューショングループリーダー
AP開発基盤整備の一環としてソフトウェア開発支援ツールの開発・販売・顧客適用を経験した後、オープン系IT基盤に於けるセキュリティ担当として顧客への製品導入適用に従事する。現在は基盤系セキュリティソリューションに対する製品選定・ソリューション策定・販売計画策定などの事業推進に携わっている。

INDEX
第3回：ID管理基盤によるセキュリティ強化
	はじめに
	Oracle Identity and Access Management Suite
	2. IDライフサイクル管理の自動化