特集記事 04 •同姓同名の取り扱いがまちまち •組織変更など人事情報が直ちに反映されない ID 統合管理システムの実現には，これらの問題点を一つひとつ解決していくことが必要になります。内部統制に必要な ID 統合管理とそのシステム導入のポイント鈴木宏明／新藤清史 3 “内部統制” は，企業経営のキーワードとなってい重要な課題と位置づけられています。そのため，利用者に対応した ID 情報の厳密な管理が不可欠となります。ます。企業は様々な業務システムを活用して事業を行っていますが，内部統制の観点から，それらの共通基盤として，人事異動や職掌の変更に追随した適 2 切な管理を考慮した ID 統合管理システムが求めら IT 全般統制における ID 管理は，様々な業務システムに対して一貫した共通基盤として，矛盾やあいまいさをできる限り排除したものでなくてはなりません。例えば，社員が退職したとき，その ID が削除される時期がシステムによってまちまちでは，ある時点で誰にも割り当てられていない ID，いわゆるゴースト ID が存在することになります。したがって，IT 全般統制としてふさわしい ID 管理は，様々れます。しかし，各業務システムに散在する ID情報を適切に管理し，それに基づいて利用者を認証し権限を付与するのは決して容易ではありません。 ID統合管理システムを実現するためのポイントは，その導入の上流工程で行う準備作業にあります。 1 ID 管理の統合と現実的な問題点な業務プロセスに関わるすべての業務システムに対して統合された基盤システムでなくてはなりません。こうした ID 統合管理システムの導入を進めるためには，まず，現行の情報システムの棚卸しが必要となります。棚卸しにより，多種多様な情報システムと様々な ID 管理の仕組みが企業内に存在していることが明確になります。そして例えば，以下に挙げる問題点が洗い出されてきます。 ①運用面の問題点 •事業ごとに異なるシステムの導入維持管理 •独自開発のシステムやアプリケーション •ユーザ管理データベースの分散 •Windows® ワークグループ，ドメインの散在 ②管理面の問題点 •運用管理が特定の人にしかわからない・ ID の申請から有効化までの手順が不明確 •ゴースト ID の散見 •非正社員のアクセス権が不明確 •システムごとに職務権限が異なる内部統制に不可欠な ID 管理企業の経営環境は，様々な法律の整備，各種規程などにより，自ら適切な事業活動であることを証明することで，社会の信頼や安心を得なければならない状況へと変わってきています。内部統制対応はその一環であり，真っ先に取り組むべき課題になっています。内部統制のなかで，情報システムに関する“IT 統制” は，業務プロセスに関わる“IT 業務処理統制”とインフラに関わる“IT 全般統制”に分けることができます。特に IT 全般統制は様々な業務プロセスに共通した信頼性の基盤であり，これが有効に機能しないと業務プロセス自体の信頼が揺らぐことになりかねません。そして，IT 全般統制のなかでも，特に，業務処理に利用される情報システム（プログラム / アプリケーション，データ）に対して，“特定の権限を持つ人”が，“決められた権限の範囲”でのみ，アクセスできる仕組みの実現は，非常にライフサイクル管理機能メンテナンス機能セルフサービス削除プロビジョニング機能アカウント登録・変更・削除登録ユーザ ID 割当ワークフロー • 利用者自らパスワードなど変更 • 上長承認などのワークフロー設定ほか権限割当変更 • IDの登録から削除までのライフサイクルを管理パスワード同期 • 業務アプリケーションへの ID情報配信図 1． ID統合管理システムの基本機能 ID 統合管理システムでは，ユーザ ID の登録・変更・割当・削除というライフサイクルを一元的に管理し， ID 情報のメンテナンスを行い， ID 情報を様々な業務アプリケーションへ配信します。基本は一人のユーザに一つだけ ID を割り当てることから ID 管理の基本は，一人のユーザに一つの ID を割り当てることです。これにより，初めて一つの ID が特定の人を意味することになります。したがって，IT 全般統制における ID 統合管理システムの最初の一歩として初めに手をつけなければいけないことは，各システムに散在している ID の体系を整備し，一人のユーザに一つだけ ID を割り当てることができるようにすることです。次に，体系整備した ID に対して，対応する利用者の実際の職掌に応じた権限を割り当てます。これによって，ID をキーとして“認証”，“アクセス制御”，“管理”を集約できる共通基盤を作ることができます。 ID 統合管理システムは，このような体系的に統合された ID の登録，変更，割り当て，削除といったライフサイクル管理機能に加え，パスワードの変更や承認ワークフローなどを含むメンテナンス機能と，様々な業務アプリケーションシステムへ ID 情報を配信するプロビジョニング機能から成ります（図 1）。これらが連携することで，内部統制に求められる ID 管理を実現できる ID 統合管理システムとなります。 4 ⑤申請・承認ルーチン（例：　運用管理ワークフローの有無） ⑥監査，レポーティング（例：　ログ取得） ⑦初期稼動時（例：　システム移行の検討）これらの運用管理は，ID 統合管理システム導入後は統合されることになります。それによる，個々の業務システムへの影響を見積もり，適切な対策を実施する計画を作り，将来の拡張性を見据えた準備を整えることも，ID 統合管理システム導入における上流工程の重要なポイントとなります。 5 新しいビジネスを切り開く ID 管理近年，企業の業務アプリケーションが Web2.0 や SaaS などの技術を用いてインターネットを通して提供されるなど，ビジネスの形態は新たな段階に入ってきています。ID 管理情報や認証情報を交換する SAML，ID-FF， ADFS などの新技術により，インターネット上の様々なサービスが企業間をまたがり連携する ID フェデレーションも始まりつつあります。 ID フェデレーションによる企業間連携が本格化しますと，もはや ID は一つの企業や組織だけのものではありません。取引先企業や顧客，関連する様々な人が事前の登録などなしに一つの ID を使って，様々なシステムに入り連携したサービスを受けることができ，またこうした人々すべてを対象としたビジネスが展開できるようになります。このように，ID 統合管理システムは，次世代の新たなビジネスを切り開く手段としても注目されています。東芝ソリューショングループは，お客様企業の ID 統合管理システムの実現に向けて，上流工程からシステムの設計・構築まで一貫したソリューションを提供していきます。 ID 統合管理システム導入の成否を分ける上流工程でのモデル設定一人に一つだけ ID を割り当てること，そしてその ID に適切な権限を設定すること，それは決して簡単なことではありません。その過程で，前述の ID 統合に向けた様々な問題を解決していかなくてはならないからです。これには， ID 統合管理システム向けに用いられる専用のツールを導入する前に十分に要件を検討しつくす必要があります。十分な知識と経験を持ったエンジニアがお客様と協議を重ねながら，様々な問題について一つひとつ現実的な解を見つけていく工程が必要です。 ID 統合管理システムの導入では，上流工程で行う要件洗い出しによる現状把握・分析と，対象システム，対象者，対象アプリケーションなどの実現範囲を決定することが重要です。上流工程での目指すべき ID 統合管理システムのモデルの導き出し方が，システム導入の成否を分けることになります。また ID 統合管理システムは，その性格上，連携するシステムの運用管理にも大きく影響を与えます。ID 統合管理システム導入の上流工程では，連携対象となる業務システムの運用管理について調査が必要となります。この現状把握・分析に必要な七つの視点は次のとおりです。 ①源泉情報（例：　ユーザのデータソース） ②組織・役職（例：　組織体制，役職による職務権限） ③人事イベント，非イベント（例：　組織変更，引き継ぎ） ④システムルール（例：　ID 発番ルール，パスワードルール）【参考文献】［1］金融庁企業会計審議会 .　“第 14 回内部統制部会配付資料”． 2006 年 11 月， ( オンライン ), 入手先 <http://www.fsa.go.jp/singi/singi_kigyou/siryou/naibu/200611 06.html>，（参照 2007-11-30） Profile 鈴木宏明 Suzuki Hiroaki 東芝情報システム（株）第三 SI ソリューション事業部ビジネスコンティニュイティセンター情報セキュリティコンプライアンスグループ　エキスパートシングルサインオン， ID 管理システム構築などセキュリティソリューションの提案，システム構築に従事。新藤清史 Shindo Kiyoshi プラットフォームソリューション事業部プラットフォームソリューション第三部　ネットワーク・セキュリティソリューション第二担当　主任情報セキュリティシステムの提案，設計，構築に従事。 10 11 「東芝ソリューションテクニカルニュース」2007年（冬季号）「東芝ソリューションテクニカルニュース」2007年（冬季号）