最小負担で実現するID管理基盤の段階的導入術

NEC 第一システムソフトウェア事業部 （セキュリティグループ） エンジニアリング マネージャー 桑田雅彦氏

　先進国のSOX法実施時を振り返ってみると、ID管理の不備を指摘され、監査後に改めて対応を行ったケースが多く見られた。日本でもその傾向はすでに見え始めており、ID管理基盤の構築はこれから多くの企業にとって真剣に取り組むべき課題として急浮上しそうだ。

　ID（identifier）というと、システムへログインする際に使用するユーザーIDを思い浮かべると思うが、広義では、個人の名前や職権、所属情報など、個人と属性情報を紐づけ、個人を識別するための情報という意味を持つ。有効な内部統制を実現するには、セキュリティ管理基準の範囲内で、このIDを管理するルールを定めて文書化し、作成や変更の際には承認が必要とされる仕組みが求められる。また、定期的にIDの棚卸を行うことで、正しく登録されているか、不要なIDが残っていないかをチェックする仕組みも必要だ。さらに、それらすべてのルールが適正に機能していることを証明できなくてはならない。

　これを、ITシステムに置き換えてより具体的にしてみよう。（1）IDの管理規定を作り、（2）個人を特定できない共用IDを廃止、さらに（3）それぞれのIDに適正なアクセス権限を付与すること、が求められる。このとき、（4）すべてを行える特権IDは制限され、特別なことを行う場合はすべて上長などの承認を得るフローを作らなければならない。また、（5）おろそかにされがちな退職者のIDも速やかに削除し、（6）異動者に対しても直ちに職務権限に見合うアカウント設定を行う。（7）定期的な棚卸でそれを確認し、最後に（8）すべての手続きを証明能力のあるログとして残していく。

　こうしたID管理を正常に、そして効果的・効率的に実現するには、本来、人事データをはじめ、すべてのID基盤を統合、一元化する必要があるだろう。しかし、NEC 第一システムソフトウェア事業部 （セキュリティグループ）エンジニアリングマネージャーの桑田雅彦氏はID管理導入の困難さを指摘する。

「ユーザーの利便性低下を防ぐため、シングルサインオンまで構築できれば万全だと思います。しかし、ID管理の導入は、部門間調整に手間取ることも多く、時間と根気のいる作業になります。社内調整の負担を考えて、二の足を踏んでいる企業もあると思います。」

　中にはActive DirectoryでIDの一元管理を行っているという企業もあるだろう。しかし、実はそこにはいくつかの課題が残っている。まず、Active Directoryはパスワードを出力する機能を持たず、ID情報を自動配信できない。また、ID管理のログも記録されず、ID登録の申請・承認フローのインターフェイス も備わっていない。管理の一元化はできるが、内部統制の要件は満たされていないのだ。


　だが、何も一度にすべてのシステムと連携する必要はない。NECのWebSAM SECUREMASTERを中心としたID管理基盤ソリューションなら、そうした段階的な導入も負担なく進められる。まず人事データと連動するID管理基盤だけを構築し、その後に順次各システムと連携していくという段階的な導入を実現できるのである。各段階で連携対象のシステムを特定し、影響範囲を小さくすることで、作業負担も大幅に削減できる。

図1 WebSAM SECUREMASTERの概要
※クリックで拡大

　WebSAM SECUREMASTERの最大の特長は、ユーザー自身でもカスタマイズできる連携コネクタを備えている点だ。従来のID管理製品では、連携システムごとにコネクタを開発する必要があった。それに対しWebSAM SECUREMASTERではユーザー自身がGUIを使って手軽にコネクタをカスタマイズし、連携システムを拡張できるのだ。連携のたびに開発コストは発生せず、自社内で連携対象システムを拡張していける。コネクタで扱うデータがCSVなので、ほとんどのシステムでインポート可能なうえ、加工も手軽だ。

　WebSAM SECUREMASTERが日本純正の製品であることも、導入後の負担軽減に大きく寄与するポイントだ。海外製品では日本独特の事情に対応できない部分が多いのだと桑田氏は言う。

「 私たちには当たり前の習慣となっている季節ごとの一斉異動は、実は日本独特の習慣です。ですから、海外製のID管理ソリューションは一斉異動に配慮された設計にはなっていません。また組織構造が深かったり、兼務が多いのも日本の職場の特徴と言えます。こうした日本独特の組織特性に対応できるのは、やはり日本の製品しかないと思います。」

　WebSAM SECUREMASTERでは事前に登録したID情報を、配信スケジュールに従って遅延配信することで、一斉異動時の管理負担を軽減できる。異動直後には、一定期間だけ旧部署のシステムにもアクセスできるように設定できる機能もあり、現場でのスムーズな引き継ぎを支援できる。

　導入後のことを考えると、NECが自社開発し、保守している製品だということにも注目したい。国内に開発部隊がいるので、いざというときには迅速で柔軟なサポートも期待できる。


　WebSAM SECUREMASTERの実際の導入プロセスを、ステップを追ってみてみよう。まず第1のステップとして、WebSAM SECUREMASTERを人事データと連携する。ここはID管理基盤として最も重要なポイントなので慎重に進める必要がある。続いてユーザー情報登録の際の申請・承認フローを確立する。人事データにないような期間従業員や派遣社員も、必要なシステムを利用できるようにID登録しなければならない。ここ ではそうしたユーザーを登録するためのルールとインターフェイスを決定する。最後に、定期的な棚卸によるデータの確認と不要な権限の削除をルール化する。

「まずは人事データと連携するID管理基盤をきっちりと作り上げることが重要です。この時点では、社内のシステムへのID配信はされなくても構いません。CSVで出力したID情報を手動で各システムに読み込ませれば、システムごとの不整合だけは是正できるので、そこまでを第1ステップと考えればいいでしょう。」（桑田氏）

　続く第2ステップでは、いよいよ社内のシステムにID情報を自動配信する。このときのポイントとして、内部統制の評価対象システムから優先して連携していくといいだろう。企業にとって内部統制への対応は急務であり、ID管理においても自動化による効果を得ることができる。内部統制対応で先に連携実績を積み、効果を上げれば、その後に控える他のシステムとの連携においても協力を得やすくなるだろう。ここでも連携対象となるシステムを管理する部署との調整が発生する。

　第3ステップでは、ID自動配信の対象システムを増やし、一元管理できる範囲を拡張していくことになる。影響範囲の大きい主要なシステムとの連携が確立されたら、第4ステップへと進む。

　最後の第4ステップは、構築されたID管理基盤をより使いこなしていくフェーズとなる。アクセス権管理をより細かく設定し、個人単位で許可されたシステムにのみアクセスが可能な状態を作り上げていく。一方で、ID管理の厳密化に伴う利便性低下を避けるために、ID管理基盤を拡張してシングルサインオンの環境を構築する。ひと組のID・パスワードを入力するだけで全システムを利用できる環境を整え、そのひと組だけを厳格に管理してもらうことで、セキュリティと利便性が両立する。

「4つのステップを目安に、段階的に導入していけば、それぞれ小さな負担でID管理基盤構築に乗り出すことができます。実際、製造業のあるお客様の例では、WebSAM SECUREMASTERを導入すると決定してから約半年で、第1ステップの基盤構築を終了しました。このときは、人事データだけでなく、新規に導入されたグループウェアとも連携しました。このように、新規システムの導入に合わせてID管理基盤を構築するのも、効率的なやり方だと思います。」（桑田氏）

　全社にわたるID管理基盤を段階的に導入していくというNECの提案は、企業規模を問わず有効だろう。内部統制への対応のためID管理基盤の整備を検討中の企業は、ぜひ自社にあてはめて各ステップを考えてみてもらいたい。少ない負担でID管理基盤を導入できる具体的な道筋が見えてくるはずだ。

お問い合わせ先

NEC 第一システムソフトウェア事業部 東京都港区芝浦四丁目14番22号（大東田町ビル） E-Mail：info@mid.jp.nec.com URL：http://www.nec.co.jp/securemaster/