ID 管理未対応の企業様にありがちな課題・リスク・対応方針を解説
ID 管理について、自社内の対応はお済みでしょうか。
自社内にはさまざまな業務利用サービスがあるかと思います。
業務利用サービスごとにそれぞれ社員のアカウントが払い出されており、そのアカウントを使って日々業務をされているのではないでしょうか。
業務利用サービスそれぞれのアカウントを管理することを「ID 管理」と言います。
本記事では ID 管理未対応の企業様にありがちな課題やリスク、対応方針について解説します。
ID 管理を検討している企業様は、ぜひ参考にしてください。
株式会社フライトソリューションズでは、ID 管理のご支援や運用サポートなど、ご支援可能なサービスを提供しています。何かお困りごとがございましたら、ぜひ、弊社にお問い合わせください。
【ID 管理の重要性】
ゼロトラスト導入指南書では「導入する準備として ”現状把握” が大事」と定義している
IPA が提示している「ゼロトラスト導入指南書」がございます。
参考情報:ゼロトラスト導入指南書
該当資料では、導入する準備として「システム棚卸やユーザ棚卸、ビジネスプロセス見直しといった ”現状把握” が大事」と定義されています。
現在の運用状況を把握しなければ、どのような新しいプロセスやシステムを導入する必要があるのかを判断することができないからです。
アカウントが正しく管理されていないことにより発生しうるセキュリティリスクを減らすためにも、ID 管理を一番最初に進める必要があります。
ID 管理をしないことでどんな問題が発生するのか
過去、支援した企業様では、ID 管理がされていない場合、以下のような問題が発生しているケースがありました。
・社員が入社した際、複数の部署が複数のサービスのアカウント作成をするため、作業が煩雑化している。(後述:課題2)
・アカウント作成の際、全体像を誰も把握できていないため、利用サービスに対して正しくアカウントが作成されていない。また、適切な権限が割り振られていない。(後述:課題4, 5)
・社員が退職した際、すべてのサービスからアカウントが削除されているか誰も確認できない。(後述:課題3)
・既存アカウントの定期的な棚卸し作業がなく、利用サービス上に存在しているアクティブなアカウントがどのような使用状況なのかわからない。(後述:課題4)
・複数サービスにまたがってアカウント作成や削除処理を行わなければならず、運用担当者の負担が大きい。(後述:課題2)
実施すべきことは5つ
IPA が提示している「ゼロトラスト移行のすゝめ」がございます。
参考情報:ゼロトラスト移行のすゝめ
該当資料ではゼロトラスト移行の進め方として5つの Phase を踏む必要があると定義しています。
Phase1:As-is 分析(ありたい姿の検討)
Phase2:グランドデザイン設計
Phase3:投資判断
Phase4:環境構築
Phase5:検証・改善
※Phase4 と Phase5 は繰り返し行う
詳細は割愛しますが、Phase1 の As-is 分析では ID 管理についてセキュリティ観点や IT 環境の運用効率化観点で現時点の課題を洗い出し、ありたい姿を描くべきとしています。
以上から、自社内のセキュリティを高めるためには、複数のクラウドサービスやオンプレサービスが混在する中で、誰がどんなサービスのアカウントを持っていて、どのような状況になっているかを正確に把握する必要があります。
多くのサービス・システムでそれぞれアカウントが作成されてしまうと管理しきれなくなります。
正確に ID を管理するため、IDaaS(クラウド上で提供される ID 管理のサービス) で一元管理するのがおすすめです。
ID 管理・IDaaS 導入が検討できるよう、準備(ID 運用の整理)を進めましょう。
【ID 管理未対応の企業様にありがちな課題やリスク、対応方針】
ここからは ID 管理未対応の企業様にありがちな課題・リスク・対応方針をご紹介します。
前段でご紹介した Phase1 の As-is 分析時の整理(ID 運用の整理)にもお役に立てる観点かと思いますので、ぜひご参考ください。
課題1. ID 管理に使っているマスタ情報がまとまっていない
考えられるリスク:
・ID 管理製品を未導入の場合、製品選定時にデグレーションが発生する可能性が高い
・海外に管理下のグループ会社や子会社がある場合、ID 管理製品導入プロジェクトの進行速度が遅くなる or 止まる
対応方針:
・業務利用サービスにアカウント登録をする際にどのような情報がそろっていればいいのか、マスタの整理が必要です
・人事マスタの整理を行いましょう
課題2. ID 管理が煩雑化している
考えられるリスク:
・運用担当者の業務負荷が高い
・業務に必要なデータにエンドユーザがアクセスできないなどの設定漏れ(ヒューマンエラー)のリスク
・本人が知る必要のない(会社側からすると知ってほしくない)情報にアクセスできる
対応方針:
・人事マスタの整理を行なったうえで、自動化の検討を実施しましょう
・ID 管理の製品を導入して、一元管理するでもありですし、ID 管理製品で網羅できない場合は、ツール開発も視野に入れるケースがあります
課題3. 退職者(派遣社員・パート・アルバイト等一部)の処理・運用が決まっていない
考えられるリスク:
・退職者の ID 管理、運用が定まっていないことによる情報漏洩の危険性(退職した後も社内システムにアクセスできてしまう等)
対応方針:
・要件整理の段階で運用方法を確立させるチェックリスト等で「退職者に対する処理」を明文化しましょう
課題4. システム間のアカウント情報が一元管理されていない
考えられるリスク:
・企業内の異なるシステム間でユーザ情報が統一されておらず、重複するデータや不整合が発生する
・管理が困難になりセキュリティリスクが増加する
対応方針:
・人事マスタの整理を行なったうえで、一貫性の検討・整理を実施しましょう
課題5. ID 連携システムおよび周辺システムの整理がされていない
考えられるリスク:
・現状どんなID連携システムが存在していて、どんなID連携ポリシーで動いているかの整理が済んでいないことにより、セキュリティポリシー制定時に一から考えることになる(工数の増加)
・各種ID連携ポリシーが統一されていない場合、片方の製品はセキュリティが高いが片方の製品はセキュリティが低いなど格差が生じている可能性
対応方針:
・現状の ID 連携システムの整理を行いましょう
課題6. 利用端末種別の整理および現在の運用内容が確立されていない
考えられるリスク:
・「現状」と「本来あるべき姿」の整理まとめができていない場合、新しい製品を入れる際に自社に沿った製品か判断ができない
対応方針:
・運用内容の整理を行いましょう
課題7. 通信要件が整理されていない
考えられるリスク:
・サービスを入れるとなった際に、守らなければいけない通信要件を整理していないとクリアした製品かどうかの判断ができない
対応方針:
・通信要件の整理を行いましょう
いかがだったでしょうか。
今回は ID 管理未対応の企業様にありがちな課題やリスク、対応方針について解説をいたしました。
今回ご紹介したような課題を抱えている、または ID 管理製品や IDaaS 製品を導入検討されている企業様は、製品選定より先に ID 運用を整理することをおすすめいたします。
もちろん、運用整理の部分から弊社でお手伝いすることも可能です。
本記事が少しでも皆様のお力になれば幸いです。
株式会社フライトソリューションズでは、ID 管理のご支援から運用のサポートなど、お客様の要望に合わせた様々なサービスを提供しています。何かお困りごとがある方は、ぜひ問い合わせフォームよりお気軽にご連絡ください。
