アクセス管理という言葉を誤解していませんか?M&A時代のビジネスガバナンス(2)(1/2 ページ)

前回は企業のダイナミズムを支えつつ、有効なガバナンスを作る方法として、米国での失敗の経験と生かし方などを紹介した。今回は、ITガバナンスの中でも特に「アイデンティティ管理(ID管理)」について説明する。

» 2007年07月26日 12時00分 公開
[工藤 達雄,サン・マイクロシステムズ]

ミスリーディングな「アクセス管理」

 情報システムにおける職務分掌の徹底を実現するうえで、アクセス管理は必要不可欠である、という認識がここ数年の内部統制システム整備の要請を受けて、急速に広まっている。また情報セキュリティの分野でも、従来からアクセス管理の重要性が語られてきたことはご存じのとおりだ。

 しかし、「アクセス管理」という表現は誤解を招きやすい。

 この言葉からは「利用者の確認と提供するサービスの決定」、典型的にはユーザー認証・認可処理を連想するが、本当はそれだけではない。

 アクセス管理とは、むしろ「Who has access to what(誰がどこへのアクセス権限を持っているか)」という文脈の「access」の管理、すなわち“アクセス権限の管理”として理解するべきである。利用者へのアクセス権限の付与・はく奪を適切に行い、そのうえで利用者の認証・認可を行うことこそが、本当のアクセス管理なのだ。

 利用者の認証・認可に関しては、従来より「認証基盤」と呼ばれるシステムがその役割を果たしている。しかし、認証基盤に格納されたアカウント情報、そしてアクセス権限情報をどうやって管理するかは、これまで比較的軽視されていた。その結果、以下の問題点が近年明らかになっている。

散在するアカウントとアクセス権限

 技術的・業務的な理由からさまざまなアプリケーションが乱立しており、それらに格納されているアカウント情報とアクセス権限情報をすべて認証基盤に統合することが事実上不可能になっている。

休眠アカウントの放置

 すでに退職した社員や、契約の終了した外部要員、あるいは休職や出向中など……、「現在システムを利用しないはずの人員のアカウント」が、いつまでも削除されずに残ってしまっている。

過剰なアクセス権限の付与

 ユーザーの職責の変化に伴い、新たな業務システムへのアクセス権限が付与される一方で、すでに付与されていたアクセス権限が見直されず、いつの間にかユーザーに必要以上の権限が与えられてしまっている。あるいは運用管理者に対して、担当範囲を超える閲覧・変更権限を与えてしまっている。

権限に関する責任の所在が不明確

 「いつ」「誰が」「どのような理由で」利用者に対するアクセス権限の付与を承認したのかが、分からなくなってしまっている。また現在利用者に付与されているアクセス権限をオーソライズするのはどのような立場の者が行うべきなのか、判断できない。

 これらは従来の企業情報システムに特有の課題ではなく、むしろ逆に、昨今のM&Aや事業再編の活発化に伴う、「人員・組織の流動化」と「経営資源の再編成・再構築」の流れの中で、大きな懸念材料の1つとなってきている。

 これまでのアカウント/アクセス権限管理は、マニュアル作業による設定と、手組みの情報システム連携に依存してきた。このようなやり方を今後も続けていては、ダイナミックに変化する企業形態に追随していくことは到底できない。また同時に、情報システムへのアクセスに関してガバナンスを確立することもままならなくなってしまう。

 このような状況を適正化するのが「アイデンティティ管理(ID管理)」である。

そもそもアイデンティティ管理の役割とは?

ID管理には、次の2つの役割がある。

アイデンティティ管理の役割(クリックで拡大)

アクセス権限の適切な設定:アイデンティティ・プロビジョニング

 あるユーザーのためのアカウントをどのシステムに作成するか、そしてそのアカウントにどのようなアクセス権限を割り振るかの最終的な根拠は、職責、役職、あるいは所属といった、ユーザーの「立場」である。

 この「立場」とは、決して一定不変ではなく、常に変化し続ける。つまり、あるアクセス権限を付与した当初は、それがユーザーにとって適切であったとしても、ユーザーの立場が変われば、もはやそのアクセス権限が適切であるとは保証できなくなるのだ。例えば、あるメーカーの工場で働いているAさんが、異動で本社人事部に配属されれば、当然閲覧できる情報の範囲や権限が変更される。

 ユーザーに対して与えられたアクセス権限を常に適切な状態に統制するためには、ユーザーの立場が変化するたびに、アカウントとアクセス権限を適切に付与・はく奪することが必要となる。そしてそれを効率化するのが、アイデンティティ・プロビジョニングシステムである。

 アイデンティティ・プロビジョニングシステムとは、「ユーザーの立場」を管理するシステム、典型的には人事システムからユーザーの入社、異動、昇進、出向、休職、プロジェクト配置、長期離脱、退社などの情報を取得し、その状態の変化に応じてアカウントとアクセス権限を対象システムに設定する。

 またワークフロー機能によって、ユーザーからの申請や業務責任者の承認、そして設定タイミングの制御(スケジューリング)といった、これまで担当者の経験と手作業によって実施されてきたアクセス権限設定のプロセスを自動化することが可能となる。

 さらに、アクセス権限の設定活動、言い換えれば、「いつ」「誰が」「どのような理由で」「どのようなアクセス権限を」「どのシステムに対して設定し」「その結果どうなったか」を逐一記録することで、アクセス権限管理の適正性を適時・的確に報告することができるようになるのだ。

設定されているアクセス権限の検証:アイデンティティ監査

 一度アイデンティティ・プロビジョニングシステムが導入されたとしても、そのシステムが意図したとおりに運用されていることを確認するためには、そのシステムによってなされた「結果」を検証することが求められる。

 通常、ここで検証する対象は「プロビジョニングシステムの処理ログ」ではなく、「実際のシステムに設定されているアクセス権限」でなくてはならないことに留意いただきたい。なぜなら、ほとんどの場合、システムに設定されているアカウントやアクセス権限のすべてを、プロビジョニングシステムによって管理しているということは必ずしも保証できないからである。

 システムには、運用管理者によって勝手に追加された保守用(という名目のバックドア)アカウントや、過剰に与えられたアクセス権限、さらにはプロビジョニングシステムを導入する以前から設定されていた(つまり、プロビジョニングシステムの管理範囲外にある)アカウントやアクセス権限が存在する。これらをあるべき姿に修正するには、対象となるシステムを直接確かめる必要がある。

 一言に「アクセス権限の検証作業」というと、それほど大したことではないように聞こえるかもしれないが、実際はまったくそうではない。例えば、多くの企業が以下のような検証プロセスをコンプライアンス担当者に強いているが、その結果、彼らの負担は非常に膨大なものになっている。

  1. 業務システムからのアカウントとアクセス権限の取得を、各システム管理者に依頼
  2. 得られたアカウントのリストを基に、「利用者に付与されているアクセス権限が妥当かどうか」を責任者(例:利用者の上長や部門長)に確認
  3. その回答に応じて是正(アクセス権限の修正)や期限付き容認(異動直後など)などの処置を実施
  4. 1-3の作業を定期的に実施

 これらの作業を完全に自動化するのが、アイデンティティ監査である。アイデンティティ監査では、まずシステムに対して自動的にスキャンを行い、取得したアカウントとアクセス権限が妥当かどうかをチェックする。

 次に必要に応じて責任者にWebベースの確認を依頼し、その確認結果を基にアクセス権限の自動是正やスケジューリングによる期限付き容認を実施する。そして、これらすべての活動を記録することで、監査人の求めに応じて証拠を提出することができるようになるのだ。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ