杉本 龍彦
ID管理とは、社内システムやサービスを利用するアカウント情報(IDやパスワードの情報、所属、役職などの属性情報)を管理することです。
ID管理の必要性
業務用PCへのログインや勤怠管理、ファイル共有など、企業において日常的に利用するサービス・システムには、ユーザーを識別する情報(ID)が必要になります。
IDにも、例えば社員が入社した際にIDを「登録」し、組織変更や人事異動などで権限を「変更」し、社員の転職や退職に伴って「削除」するといった「IDライフサイクル」があります。
IDライフサイクルに合わせて適切な管理が行われていないと、前任者や退職者がアクセスできてしまい、会社の重要情報が漏えいするということも発生しかねません。また、社内システムや利用するサービスが増えた場合、管理対象となるIDが増えてしまい、管理者の棚卸にかかる作業量が増えてしまい、作業量増加に伴う作業ミスが誘発される危険性もあります。
以上の理由から、IDを一元管理するシステムの導入が現代では一般的になっています。
ID管理システムの導入により得られるメリット
ID管理システムの導入により、以下のメリットが得られます。
- 業務効率化
組織変更や人事異動などに伴うアカウント管理(登録・更新・削除)を効率化できる。 - セキュリティ強化
IDの一元管理と操作ログの確認により、不正アクセスや退職した社員のIDが残っている状況を防ぎ、セキュリティレベルを大幅に向上できる。 - コスト削減
現状の人事システムと連携を図ることで、大規模変更時の反映処理を大幅に短縮できる。
ここまでは「ゼロトラストセキュリティの5つのポイント」でもご紹介しました。
ここからは、ID管理システムについて具体的に見ていきましょう。
ID管理システムの主な機能
ID管理システムはさまざまなものが提供されていますが、主要な機能は次のようなものです。
① アカウント情報の管理
所属する社員を示すユーザーIDと、システムにログインするためのパスワードを管理します。また、ユーザーIDに紐づく属性情報(姓名、メールアドレス、住所、電話番号等)も保持することが可能です。
② 役割とアクセス権の管理
ユーザーが企業で持つ役割について管理します。また、役割に応じて企業内のどのリソースに対してアクセスを許可/拒否するかを設定することができます。
これにより、情報漏えいのリスクを軽減することができます。
③ ライフサイクルの管理
ユーザーの入社から退職までのライフサイクルを管理します。退職したユーザーのアカウントを確実に停止することで、情報漏えいのリスクを軽減することができます。
後述のプロビジョニング機能と組み合わせると、連携するシステムやサービスのアカウントも一括して停止させることができます。
④ 他サービスとの連携
ID管理システムで管理するユーザーIDと、他のシステムやサービスのIDとを連携させることができます。複数システム・サービスのID管理を統合して管理することが可能になり、管理部門の負担の大きな削減を見込めます。
⑤ プロビジョニング
連携するシステムやサービスのユーザーIDを自動的に生成、管理できます。前述の通り、退職したユーザーのIDも一括で停止することができます。また、スケジューラー機能により年次の人事異動の際の自動化も図ることができます。
⑥ シングルサインオン(SSO)
SAML 2.0 などのプロトコルにより、ID管理システムのユーザーID・パスワードを使用して別のシステムやサービスにログインすることができます。
新しいシステムを導入した場合も、社員にわざわざユーザーIDとパスワードを頒布する必要がなくなります。
⑦ 多要素認証
システムによっては、パスワードに代わる認証要素を使ってログインができるものがあります。ICカードや生体認証、ワンタイムパスワードトークンなどが利用できます。
複数の認証要素を使用することで、不正ログインなどのリスクを低減することができます。
クラウド上でのID管理
クラウドサービスの普及に伴い、ID管理もクラウドサービスとして提供される、「IDaaS(Identity as a Service)」が増加しています。
社内でID管理システムの構築・運用を行う必要が無いこと、クラウドサービス間のシングルサインオン連携が効率的に行えるといった特徴があります。
まとめ
近年、利用するシステムやサービスが多くなり、それに伴い情報システム管理者の業務負担が増大しています。また、セキュリティ面では、退職したユーザーの情報が削除がされていないなど、情報漏えいの懸念も多くあります。
ID管理は、これまで以上に重要なミッションとなっていますが、効率的なID管理を行うためにも、ID管理システムの導入を検討してみてはいかがでしょうか。
