ID管理システムとは
ID管理システムとは、システムやアプリケーションを利用する際に必要なユーザー情報を管理者が属性に基づいて各システムに登録・変更・削除し、アクセス権限を管理する仕組みのことです。
企業によって、アプリケーションごとに別々に管理したり、独自のシステムを構築して管理したり、サービスプロバイダーの管理製品を導入して管理したり、と管理の方法は様々です。
ID管理システムの主な目的は、組織またはクラウド上のITリソースへの安全性を担保し、適切な人に適切なアクセスが付与されるよう、適切に制御することです。
企業のID管理システム導入
従業員、ビジネスパートナー、クライアントなど多くのステークホルダーは、それぞれの役割によって使用するアプリケーション、閲覧情報、編集可能なデータが異なります。
これらの各アクセス権限を個人単位で設定するのではなく、同様の役割(ロール)をもつユーザー群に対して共通の権限を定義して、効率よく適切な権限を付与する仕組みとして、ID管理システムは大企業を中心に導入されています。
ID管理システムはなぜ必要なのか?
急速なデジタル化に伴う情報漏洩の防止
効果的にIDを一元管理できるシステムは、企業や社会に強く求められています。
急速なテレワークの普及やデジタル化に伴い、管理するデバイス、ユーザー、データが急激に増え、管理すべきIDの数は膨大になっています。これらのIDとアクセス権限を適切に管理することは難しく、人の力ではもはや不可能です。
クラウドの普及によるID管理システムの需要拡大
企業が管理するアカウントが急速に増えている背景の一つに、クラウドの急速な普及が挙げられます。
クラウドには、低コストでのシステム導入、サードパーティ提供のアプリケーション利用、AI、ブロックチェーン、IoTに代表される最新技術の利用など様々なメリットがあり、近年はシステムを構築するインフラとしてオンプレミスよりもクラウドを選択する企業が増えています。
また、多様なニーズに合わせてマルチクラウド(AWS、Azure、GCPなど複数ベンダのクラウドを利用する方法)やハイブリッドクラウド(パブリッククラウド、プライベートクラウド、オンプレミスを使い分ける方法)を導入する企業もあり、社内システムのIDだけでなくクラウドサービスのIDを含めた一元管理が求められています。そして、今後も管理するユーザーやシステムは増え続けていくことが予想されます。このような背景から、有用なID管理のシステムは今後も需要拡大が見込まれます。
SailPoint Identity Security Cloudは企業の新しい働き方に対応
オフィス勤務からテレワークへ
オンプレミスからクラウドへ
会社支給端末からBYOD*へ
*BYOD:Bring Your Own Deviceの略。私物利用端末のこと。
SailPoint Identity Security Cloudについて詳しく見るID管理システムに関する課題
ID管理システムには様々な課題があります。特にシステムごとにアカウントを作成・管理している場合は、課題が多いです。
管理するアカウントが増えることによる管理者の負担増加だけでなく、必要なアカウントや権限が予め付与されておらずすぐにシステムが使えなかったり、その場合には都度アクセス申請が必要となったりするユーザーの負担、また、適切にアクセス権が付与されていない場合にはセキュリティリスクの発生に繋がります。
IT部門(管理者)の運用負荷
利用システムやIDが増えることで、IT部門が担当する管理が煩雑になるだけでなく、ヘルプデスクの運用負荷が増加します。ヘルプデスクにはログインに関する問い合わせ(新規の登録方法が知りたい、パスワードを忘れてしまった、アカウントがロックされてしまった、など)が数多く寄せられます。管理するIDが増えるだけでなく、人事異動や組織改編の際のIDの権限情報の更新も加わり煩雑になり、必然的に業務負荷も増えることになります。
利用者の負担
入社や異動の際、必要なシステムアカウントが初日から使えるようになっておらず、数日待たされるケースが少なくありません。また、利用システムとIDが増加することにより、ユーザーにとってはアカウント申請やパスワードを忘れてしまった時、アカウントロック時の解除依頼をヘルプデスクに依頼をする必要があり、すぐに対応してもらえないことが多いです。ユーザーの負担が増えるだけでなく、業務や生産性に影響を与えます。
セキュリティリスクと脆弱性
使用するサービスごとにIDを作成する場合、アカウントの数と権限の種類に比例して管理の工数が増加します。管理を手動で行うとヒューマンエラーのリスクが高まるだけでなく、ユーザーの部署異動後も以前の権限が残っていることが原因で必要以上の権限が付与されたオーバープロビジョニングが生じたり、退職後もIDが削除されず残ったまま放置されるといったリスクが高まります。昨今では、個々のIDが情報漏洩の入り口となる傾向があるため、万全な管理が求められます。
監査対応にかかる時間と労力
内部監査の際、ID管理が適切にできていない場合、煩雑な業務が発生します。企業はソフトウェアやデータ情報の意図せぬ使用や改ざんを未然に防ぐため、アクセス状況をモニタリングする必要がある上、アクセス権が適切であるようシステムの権限状況を常に管理する必要があります。監査の際、すべてのシステムのIDとアクセス情報を集めてレポートを作成しますが、多くの場合すべての情報を手作業で集めるため、時間と労力がかかります。管理するシステムやアカウントが多くなるとそれだけ監査業務が煩雑になるため、監査にも適切かつ効率的に対応できるID管理システムが求められます。
IT部門(管理者)の運用負荷
利用システムやIDが増えることで、IT部門が担当する管理が煩雑になるだけでなく、ヘルプデスクの運用負荷が増加します。ヘルプデスクにはログインに関する問い合わせ(新規の登録方法が知りたい、パスワードを忘れてしまった、アカウントがロックされてしまった、など)が数多く寄せられます。管理するIDが増えるだけでなく、人事異動や組織改編の際のIDの権限情報の更新も加わり煩雑になり、必然的に業務負荷も増えることになります。
ID管理システムはクラウド利用が進む企業に最適
ID管理システムの機能
ID管理システムやサービスには、多様な機能がありますが、主な機能として以下が挙げられます。
アクセス制御
複数のアプリケーションを一元管理することで、ユーザーごとに各システムでの権限を設定することができます。ユーザーや役割ごとに、参照のみ、データの編集が可能、新規ユーザーの作成が可能、など、詳細な権限設定が可能です。
権限申請のワークフローの構築
使用予定のID管理システムに対するアクセス申請・承認のプロセスをサポートすることができます。事前に申請のプロセスを設定しておくことで、プロセスの簡略化や申請時の不備防止に役立ちます。また、権限の変更履歴をログとして残すことでインシデント発生時の調査をサポートします。
各アカウントのプロビジョニング
複数のアプリケーションのプロビジョニング(アカウント作成や権限の設定などユーザーがシステムを利用できるようにするまでのプロセス)をまとめて行うことができます。クラウド上のアプリケーションだけでなくオンプレミスのアプリケーションも一括して管理することも可能です。
職務分掌
職務の分離とも呼ばれ、1人の担当者が2つ以上の職務を重複して持つことで不正を行う機会が発生してしまうことを未然に防止、内部統制およびコンプライアンスを実現します。例えば、ある担当者に「会社の口座の参照権限」と「その口座から送金を行う権限」を同時に持たせることができないようにすることができます。このような設定を行うことで、個人の不正やヒューマンエラーを防止することができます。
操作記録の管理
ユーザーが行ったIDの操作を記録することができます。例えば、申請フローでは誰がいつどのような権限を申請または承認したか、などを操作履歴で残します。セキュリティ施策の改善や、監査業務の軽減に役立ちます。
ID管理システムを選ぶ3つのポイント
企業規模と組織拡大に対応できるか
ID管理システムは、パスワード管理に代表される個人向けのツールからガバナンス機能が搭載された大企業向けのシステムまで様々な製品が存在します。企業規模が異なれば、社内のIT環境に合わせた管理機能が必要になります。
現在の企業規模と今後のビジネスの展望を考慮したうえで、従業員だけでなく、契約社員、協力会社、ボットに付与される膨大な数のIDを管理する場合、高度な管理機能が求められます。
自社の業種とシステムの親和性があるか
ID管理システムを選択するうえで、自社の業種の要件をシステムが満たしているかという点は重要な選択基準の1つです。例えば、製造業は自社の従業員だけでなくサプライチェーン全体を考慮してID管理システムを構築し、セキュリティ対策を講じ、防御する必要があり、金融業界は顧客の決済情報など機密性の高い情報を扱うことから、厳格なID管理が求められます。ベンダーの導入実績と自社の業界を照らし合わせながら親和性の高いID管理システムを選定しましょう。
優先したい機能が搭載されているか
多要素認証(MFA)やシングルサインオン(SSO)などアクセス管理に代表される利便性を追求したいのか、ライフサイクル管理や自動化、ガバナンス機能を搭載した一括管理システムを必要としているのか、自社の優先事項を整理し、ニーズに合致しているか判断しましょう。
また、ID管理システムのサービス形態がオンプレミス型かクラウド型かによって、導入コストやシステムの拡張性が左右されますので自社に合った利用方法を選択しましょう。
IDaaSとアイデンティティ・ガバナンス管理
ID管理システムを導入する際、先に挙げた機能に基づくクラウド型のID管理サービスをIDaaS(アイダース)と呼ぶ一方で、ユーザーのライフサイクル管理を含めたIDの可視化と制御を行うアイデンティティ・ガバナンス管理もID管理を運用するうえで重要な概念になります。
IDaaSとは
IDaaSとは、Identity as a Serviceの略称で、「アイダース」と読みます。一般的にはクラウド型の複数システムのログインを一括で管理する、アクセス管理サービスを指します。
IDaaSについて詳しく知るアイデンティティ・ガバナンス管理とは
アイデンティティ・ガバナンス管理とは、認可のためのID情報を管理し、IDの可視化と制御を行うことです。IGA(Identity Governance and Administration)とも呼ばれ、大きく分けて2つの役割を担います。
アイデンティティ・ガバナンス管理について詳しく知るまとめ
今日のID管理システムは、企業のセキュリティとコンプライアンスを確保しながら、システムの運用効率を向上させるために中心的な役割を担っています。ID管理システムの効果的な導入により、監査の精度と業務向上も期待できます。結果として、システムの維持管理費や人件費の削減にもつながります。
ID管理システムの関連コンテンツ
SailPointのID管理システムを導入した企業
よくある質問
システムやアプリケーションを利用する際に必要なユーザー情報を管理者が属性に基づいて各システムに登録・変更・削除し、アクセス権限を管理する仕組みのことです。
ID管理システムの導入にはポイントが3つあります。1つ目に、企業規模と組織拡大に対応できるかという点。2つ目に自社の業種とシステムの親和性があるか。3つ目に優先したい機能が搭載されているかという点です。
管理するアカウントが増えると管理者の負担増加します。また必要なアカウントや権限が予め付与されておらずすぐにシステムが使えなかったり、適切にアクセス権が付与されていない場合にはセキュリティリスクの発生に繋がります。
複数のアプリケーションを一元管理するアクセス制御、アカウント作成や権限の設定などユーザーがシステムを利用できるようにするプロビジョニング、1人の担当者が2つ以上の職務を兼務することを防止する職務分掌などの機能があります。
SailPointのID管理システムについてお問い合わせ
*必須フィールド