近年クラウドサービスが普及してきており、世の中には便利なSaaSシステムが多く存在します。しかし、クラウドサービスは便利ではありますが、インターネット上に情報を置いており、実質"誰でも""どこからでも"使えてしまうため、情報漏洩のリスクがあります。情報システム部門などでID管理を担当されている方がリスクを回避するために必要なことは何でしょうか。
本シリーズではID管理の観点から「これからの日本企業に必要なIT統制」と題して、IDaaSの基本知識から日本企業に必要なID管理の要件、IT部門から企業の生産性をあげるための方法などについて3回に分けてご紹介します。
目次
ーIDaaSとは?
ー現代におけるID管理のあるべき姿
ーID管理の現状
ーIDaaSを入れるメリット
ーIDaaSを導入する際の注意点
ー最後に
IDaaSとは?
IDaaS(アイダース)とは、Identity as a Serviceの略称で、SaaSやIaaSなどと同じく、アイデンティティ (以下、ID)の管理をクラウドにて管理するサービスです。認証・ID管理をクラウド上で行える仕組みとなっています。従来、各企業内で認証やID管理用のサーバーを設置する運用が主流でしたが、IDaaSを利用することで、自社での管理・維持コストを抑えることができます。
現代におけるID管理のあるべき姿
IDaaSの出現により改めて注目を浴びているID管理ですが、ID管理を行う目的は以下の3点です。
【ID管理を行う目的】
情報システム部門の負荷軽減・業務効率化はもちろん、ユーザー部門においてもパスワードリセットやID発行までの時間短縮などの利便性向上を目的に、ID管理に力を入れる企業が増えています。また、不要なIDやパスワードの適切な管理、セキュリティやコンプライアンスの強化もID管理を行う大きな理由です。
このような目的を確実に遂行するためには、人事システムで管理している入社・退社などの発令情報や部署情報などの人事データとIDを連携し、適切に管理する必要があります。
逆に適切に管理できないとどのような事態になってしまうのでしょうか。
日本企業のID管理の現状とそこに潜むリスクを見ていきましょう。
ID管理の現状
企業で利用されているシステムは数多くありますが、それらの統制がとれておらず、思わぬリスクが潜んでいることを課題に感じている方も多いのではないでしょうか。
一般にID管理をする上では以下のような事象が散見され、リスクとなりうるケースが多いです。
【ID管理のリスク】
・一時的に付与した権限がそのままになっている
・退職者のアカウントが残っている
・異動したのに一定期間前組織の情報が見れてしまう
・会社として管理していないシステムを勝手に使っている
きちんと管理しようとは思うものの、システムの数が多ければ多いほどアカウントの管理は煩雑な作業となり、その結果、管理に穴が発生してしまう、ということに頭を悩ませている担当者の方が増えています。特に最近はクラウドシステムとオンプレミスのシステムが混在しているほか、手軽なクラウドサービスが増加しているため利用するシステムも増えており、より管理に手間がかかってきていることと思います。
さらに、最近は私物のPCで作業をしたり、企業として導入していないツールを勝手に使用したりと、企業の管理の範疇を超えてシステムを利用しているケースも多くなっています。そのような範囲まで把握するとなると管理はより煩雑になってしまい、担当の方の負荷が増えるほか、情報漏洩のリスクも非常に高くなってしまいます。
そこで、強固な認証・アクセス制限によってセキュリティをきちんと担保するために、SaaSシステムに対してのID管理サービスとしてIDaaSが誕生しました。
IDaaSを入れるメリット
IDaaSを入れることで以下のメリットが得られます。
接続検証済のアプリケーションはIDの自動連携が可能なため、ID管理の工数・コストの削減が可能です。各システムの利用状況やパスワード変更などの履歴をログで取ることができるので監査レポート作成に活用できるほか、機械学習との組み合わせによる不正アクセスの検知なども可能です。 また、すでに認証されているため安全性が確保されており、セキュリティ面も安心です。
近年クラウドが主流となり、多くの企業でクラウドサービスの利用が増加しています。そのため、従来のID管理システムと併せて強固な認証基盤であるIDaaSを導入するケースは今後さらに増えていくと思われます。
IDaaSを導入する際の注意点
IDaaSは便利なサービスではありますが、いくつか注意点があります。
【IDaaS導入の注意点】
・自動連携は予め決められたシステムとしかできない
・IDaaS上でアカウントを無効にしても大元のアカウントはなくならないこともある
・退職者や異動者のアカウントが完全に無効にならないこともある
ID管理という観点において、IDaaSで管理/自動連携が可能なのは接続検証済みのアプリケーション/システムのみとなっています。あくまでもクラウドシステムのログイン管理を行うものなので、自社開発のシステムと繋げることは可能ですが、自動連携は難しいようです。
また、IDaaS上でアカウントを無効にしてもそれぞれのシステム上ではアカウントが存在したままになるケースがあるので注意が必要です(※サービスによって異なります)。仮にアカウントが残っていた場合、ITリテラシーの高い方がいれば大元のシステムに直接入られてしまう可能性もあるので、アカウントごと削除するという作業がIDaaS外で必要となります。IDaaSは、認証/アクセス制限はきちんと行えますが、それだけではセキュリティ対策は万全ではありません。人事情報を柔軟に活用し、アカウントや権限のライフサイクルを適切に管理できるような仕組みを併せて利用することで、より強固なセキュリティの実現が可能です。
最後に
SaaS製品の利用が広がる中、シャドーIT※などの問題もあり、以前にも増してアカウント・ID管理への細心の注意が必要となってきています。以下、ID管理で陥りやすいポイントを再掲しますので、自社のID管理は適切か、チェックしてみてください。
※シャドーITとは…
企業・組織側が把握せずに従業員または部門が業務に利用しているデバイスやクラウドサービスなどのITのこと
ID管理におけるチェックポイント
☑一時的に付与した権限がそのままになっていないか?
☑退職者のアカウントが残ったままになっていないか?
☑異動しても前組織の情報が見れてしまわないか?
☑会社として管理していないシステムを勝手に使っている社員がいないか?
併せて、周辺システムとの連携に支障がなく、アカウント管理も人事情報に基づいて自動で行えるシステムを選ぶことで情報システム部門の負荷削減や、情報漏洩のリスクの低減が期待できます。
管理しているシステムが多い場合は特に、企業全体のリスクを回避するため、今一度自社のID管理を顧みてはいかがでしょうか。