内部統制に必要な ID 統合管理と そのシステム導入のポイント

特集記事
04
•同姓同名の取り扱いがまちまち
•組織変更など人事情報が直ちに反映されない
ID 統合管理システムの実現には,これらの問題点を一
つひとつ解決していくことが必要になります。
内部統制に必要な ID 統合管理と
そのシステム導入のポイント
鈴木 宏明/新藤 清史
3
“内部統制” は, 企業経営のキーワードとなってい
重要な課題と位置づけられています。そのため,利用者に
対応した ID 情報の厳密な管理が不可欠となります。
ます。 企業は様々な業務システムを活用して事業を
行っていますが,内部統制の観点から,それらの 共
通基盤として,人事異動や職掌の変更に追随した適
2
切な管理を考慮した ID 統合管理システムが求めら
IT 全般統制における ID 管理は,様々な業務システ
ムに対して一貫した共通基盤として,矛盾やあいまいさを
できる限り排除したものでなくてはなりません。例えば,社
員が退職したとき,その ID が削除される時期がシステムに
よってまちまちでは,ある時点で誰にも割り当てられていな
い ID,いわゆるゴースト ID が存在することになります。し
たがって,IT 全般統制としてふさわしい ID 管理は,様々
れます。 しかし, 各業務システムに散在する ID情報
を適切に管理し, それに基づいて利用者を認証し権
限を付与するのは決して容易ではありません。 ID統
合管理システムを実現するためのポイントは, その
導入の上流工程で行う準備作業にあります。
1
ID 管理の統合と現実的な問題点
な業務プロセスに関わるすべての業務システムに対して統
合された基盤システムでなくてはなりません。
こうした ID 統合管理システムの導入を進めるためには,
まず,現行の情報システムの棚卸しが必要となります。棚
卸しにより,多種多様な情報システムと様々な ID 管理の
仕組みが企業内に存在していることが明確になります。そ
して例えば,以下に挙げる問題点が洗い出されてきます。
①運用面の問題点
•事業ごとに異なるシステムの導入維持管理
•独自開発のシステムやアプリケーション
•ユーザ管理データベースの分散
•Windows® ワークグループ,ドメインの散在
②管理面の問題点
•運用管理が特定の人にしかわからない
・ ID の申請から有効化までの手順が不明確
•ゴースト ID の散見
•非正社員のアクセス権が不明確
•システムごとに職務権限が異なる
内部統制に不可欠な ID 管理
企業の経営環境は,様々な法律の整備,各種規程な
どにより,自ら適切な事業活動であることを証明すること
で,社会の信頼や安心を得なければならない状況へと変
わってきています。内部統制対応はその一環であり,真っ
先に取り組むべき課題になっています。
内部統制のなかで,情報システムに関する“IT 統制”
は,業務プロセスに関わる“IT 業務処理統制”とインフラに
関わる“IT 全般統制”に分けることができます。特に IT 全
般統制は様々な業務プロセスに共通した信頼性の基盤で
あり,これが有効に機能しないと業務プロセス自体の信頼
が揺らぐことになりかねません。
そして,IT 全般統制のなかでも,特に,業務処理に利
用される情報システム(プログラム / アプリケーション,デー
タ)に対して,“特定の権限を持つ人”が,“決められた権限
の範囲”でのみ,アクセスできる仕組みの実現は,非常に
ライフサイクル管理機能
メンテナンス機能
セルフ
サービス
削除
プロビジョニング機能
アカウント
登録・変更・
削除
登録
ユーザ
ID
割当
ワーク
フロー
• 利用者自らパスワード
など変更
• 上長承認などのワーク
フロー設定
ほか
権限割当
変更
• IDの登録から削除まで
のライフサイクルを管理
パスワード
同期
• 業務アプリケーションへの
ID情報配信
図 1. ID統合管理システムの基本機能
ID 統合管理システムでは, ユーザ ID の登録 ・ 変更 ・ 割当 ・ 削除というライフサイクルを一元的に管理し,
ID 情報のメンテナンスを行い, ID 情報を様々な業務アプリケーションへ配信します。
基本は一人のユーザに
一つだけ ID を割り当てることから
ID 管理の基本は,一人のユーザに一つの ID を割り当
てることです。これにより,初めて一つの ID が特定の人を
意味することになります。
したがって,IT 全般統制における ID 統合管理システ
ムの最初の一歩として初めに手をつけなければいけないこ
とは,各システムに散在している ID の体系を整備し,一人
のユーザに一つだけ ID を割り当てることができるようにす
ることです。
次に,体系整備した ID に対して,対応する利用者の実
際の職掌に応じた権限を割り当てます。これによって,ID
をキーとして“認証”,“アクセス制御”,“管理”を集約できる
共通基盤を作ることができます。
ID 統合管理システムは,このような体系的に統合された
ID の登録,変更,割り当て,削除といったライフサイクル管
理機能に加え,パスワードの変更や承認ワークフローなど
を含むメンテナンス機能と,様々な業務アプリケーションシ
ステムへ ID 情報を配信するプロビジョニング機能から成り
ます(図 1)。これらが連携することで,内部統制に求められ
る ID 管理を実現できる ID 統合管理システムとなります。
4
⑤申請・承認ルーチン(例: 運用管理ワークフローの有無)
⑥監査,レポーティング(例 : ログ取得)
⑦初期稼動時(例 : システム移行の検討)
これらの運用管理は,ID 統合管理システム導入後は統
合されることになります。それによる,個々の業務システムへ
の影響を見積もり,適切な対策を実施する計画を作り,将
来の拡張性を見据えた準備を整えることも,ID 統合管理シ
ステム導入における上流工程の重要なポイントとなります。
5
新しいビジネスを切り開く ID 管理
近 年,企 業 の 業 務 ア プ リ ケ ー シ ョ ン が Web2.0 や
SaaS などの技術を用いてインターネットを通して提供され
るなど,ビジネスの形態は新たな段階に入ってきていま
す。ID 管理情報や認証情報を交換する SAML,ID-FF,
ADFS などの新技術により,インターネット上の様々なサー
ビスが企業間をまたがり連携する ID フェデレーションも始
まりつつあります。
ID フェデレーションによる企業間連携が本格化します
と,もはや ID は一つの企業や組織だけのものではありま
せん。取引先企業や顧客,関連する様々な人が事前の登
録などなしに一つの ID を使って,様々なシステムに入り
連携したサービスを受けることができ,またこうした人々す
べてを対象としたビジネスが展開できるようになります。この
ように,ID 統合管理システムは,次世代の新たなビジネス
を切り開く手段としても注目されています。
東芝ソリューショングループは,お客様企業の ID 統合
管理システムの実現に向けて,上流工程からシステムの設
計 ・ 構築まで一貫したソリューションを提供していきます。
ID 統合管理システム導入の成否を分ける
上流工程でのモデル設定
一人に一つだけ ID を割り当てること,そしてその ID に
適切な権限を設定すること,それは決して簡単なことでは
ありません。その過程で,前述の ID 統合に向けた様々な
問題を解決していかなくてはならないからです。これには,
ID 統合管理システム向けに用いられる専用のツールを導
入する前に十分に要件を検討しつくす必要があります。十
分な知識と経験を持ったエンジニアがお客様と協議を重ね
ながら,様々な問題について一つひとつ現実的な解を見
つけていく工程が必要です。
ID 統合管理システムの導入では,上流工程で行う要件
洗い出しによる現状把握 ・ 分析と,対象システム,対象者,
対象アプリケーションなどの実現範囲を決定することが重
要です。上流工程での目指すべき ID 統合管理システム
のモデルの導き出し方が,システム導入の成否を分けるこ
とになります。
また ID 統合管理システムは,その性格上,連携するシ
ステムの運用管理にも大きく影響を与えます。ID 統合管
理システム導入の上流工程では,連携対象となる業務シス
テムの運用管理について調査が必要となります。この現状
把握 ・ 分析に必要な七つの視点は次のとおりです。
①源泉情報(例 : ユーザのデータソース)
②組織 ・ 役職(例 : 組織体制,役職による職務権限)
③人事イベント,非イベント(例 : 組織変更,引き継ぎ)
④システムルール(例: ID 発番ルール,パスワードルール)
【参考文献】
[1] 金融庁企業会計審議会 . “第 14 回内部統制部会配付資料”.
2006 年 11 月, ( オンライン ), 入手先
<http://www.fsa.go.jp/singi/singi_kigyou/siryou/naibu/200611
06.html>, (参照 2007-11-30)
Profile
鈴木 宏明 Suzuki Hiroaki
東芝情報システム (株)
第三 SI ソリューション事業部
ビジネスコンティニュイティセンター
情報セキュリティコンプライアンスグループ エキスパート
シングルサインオン, ID 管理システム構築などセキュ
リティソリューションの提案, システム構築に従事。
新藤 清史 Shindo Kiyoshi
プラットフォームソリューション事業部
プラットフォームソリューション第三部 ネットワーク ・ セキュリティソリューション第二担当 主任
情報セキュリティシステムの提案, 設計, 構築に従事。
10
11
「東芝ソリューション テクニカルニュース」2007年(冬季号)
「東芝ソリューション テクニカルニュース」2007年(冬季号)