前回の記事「第1回:IDaaSとは?SaaS時代に気を付けるべきID管理」では、IDaaSの基礎知識、導入の際のポイントについてご紹介しました。しかし、日本企業のIDのライフサイクル管理は独特であるため、IDaaSだけでは機能不足であるのが現状です。では、どうすれば日本企業に沿ったID/権限管理ができるのでしょうか。
本記事では、日本企業に必要なID管理の要件を中心にご紹介した上で、日本企業にふさわしいID管理のあり方をご紹介します。
目次
ー日本の人事制度はどれくらい特殊なのか?
ーID管理の思わぬ落とし穴
ーなぜ日本企業はこれほど特殊な人事制度なのか?
ーご提案:IDaaSと統合ID管理システムのハイブリッド利用
ー最後に
日本の人事制度はどれくらい特殊なのか?
日本の人事制度は、海外と比べてかなり特殊です。
どれほど特殊なのか、ID/権限管理の観点から見ていきましょう。
①出向・転籍・兼務が多い
日本は基本的に職務や職責を限定して採用しないため、大企業では出向や転籍、兼務などの発令が少なくありません。特に出向や転籍となると社員番号が変わるため、出向先/転籍先の会社でシステム等を利用する際にID/権限を新しく発行する作業が発生します。また、派遣社員から正社員へ登用される際や役員に登用される際なども、身分が変わるため新しい社員番号を払い出すこととなり、同様の作業が発生します。しかしこのように新しくID/権限を発行するとグループ共通で利用しているシステムに別人格として認識されるため、過去のデータが引き継げません(図1)。仮に引き継ぐ場合、1人ずつ手作業でデータやログイン権限を紐づけなければならず、非常に膨大な手間がかかってしまうだけでなく、手作業による人為的ミスが発生するというリスクもあります。
(図1) 新しいIDでは別人格と認識されてしまい情報が引き継げない
②異動に伴う引き継ぎ期間がある
また、異動が頻繁にあるのも日本ならではの慣習です。海外では仕事に個人が紐づくため、ジョブローテーションや異動という考え方は滅多にありません。異動をして部署が変われば閲覧可能な情報も変わるため、権限の付け替えが発生しますが、発令日までに引継ぎが完了しないケースが多く、実際には異動発令後も前所属の権限が必要となる場合があります(図2)。そのため、ただ権限を付け替えるだけでなく、引き継ぎの期間も考慮した上で付け替え作業を行わなければなりません。会社によっては、異動日で権限を剥奪するのではなく、最初から一定期間引き継ぎ期間を設け、その間は異動前・異動後両方の権限を持たせる企業もあります。しかしながら、その期間内に引き継ぎが終わらなければ従業員側から延長申請を受けることもあるため、ただ時間軸をずらすだけでは終わらないことが多く、個別の対応が必要です。
このように、権限の付与・剥奪だけでも負荷のかかる作業となっています。
(図2)引き継ぎが完了せずに異動後も権限を延長する場合がある
③新卒一括採用
最近でこそ通年採用が増えてきましたが、まだまだ一括採用・一括入社を行っている企業がほとんどです。情報システム部門としては、アカウント発行後にPCキッティングなどの作業があるため、例えば4月1日入社の場合には前倒しをして、少なくとも10日前までにアカウントを発行し、後続業務を行う期間を確保したいというニーズがあります。そのためには先日付の雇用情報をID管理システムが取り込める必要がありますが、先日付の雇用情報が取り込めるID管理システムは少ないのが現状です(図3)。また、新卒が入社するタイミングでは同時に組織改編が行われることも多いため、業務負荷が高まりミスの発生などのリスクが大きい状態になります。特に大企業ではお悩みのところではないでしょうか。
(図3)後続業務を行う期間を確保しておきたいが現実はあまりうまくいかない
ID管理の思わぬ落とし穴
上記のような特殊な人事制度であることにより、日本企業のID/権限管理はとても複雑です。IDや権限を付与するだけでなく、不要な権限の管理も適切に行う必要があります。権限が職責と比べて多くついていると監査で指摘を受ける可能性があるため、権限の付与だけでなく剥奪も抜かりなく行うことが大切です。
システム化はできていないけれど手作業で十分できているから大丈夫、という場合もあるかもしれません。しかし手作業でやっていること自体が抜け漏れの一番のリスクとなるため、今問題がないからといって油断することはできません。また、監査の際に提出が求められるIDリストやログ一覧なども、すぐに出せなければ信憑性に欠けるため、整理された状態でいつでも取り出せるようにしておくことが必要になります。
そもそも、なぜ日本企業はこれほど複雑な人事制度になってしまったのでしょうか。
なぜ日本企業はこれほど特殊な人事制度なのか?
日本企業の人事制度がこれほど複雑な理由としては、日本企業で働く多くの正社員は「無限定社員」であることによります。「無限定社員」は、職種や職務に縛られていないため人材配置がしやすい、ビジネスの都合に合わせやすいため、今の不確実かつ複雑な時代においてメリットがあることも事実です。しかし、職務分掌が構築できていないことが多いため、人事情報だけではどのような権限を付与してよいか決められないことも多くあるというデメリットもあります。ある程度大まかに、最低限業務上利用するであろう権限を決めてデフォルトで付与することは可能ですが、それ以上の権限が必要になる場合は申請を受けてから付与するという方法をとっていることがほとんどです。また、異動が発生した場合は申請によって付与した権限を剥奪したうえで、デフォルトで付与した権限はルールに沿って更新したいというニーズもあります。
海外では、これほど複雑なID/権限管理を必要としないため、海外製のIDaaS製品だと日本企業独特の人事制度への対応が難しく、別途カスタマイズなどが必要になります(図4)。結局は別建てで作りこみが発生することが多いため、よりシステム構築の手間が掛かってきてしまいます。また、海外製のIDaaS製品だけでなく日本製のIDaaS製品であっても、その特徴的な日本企業の人事制度への対応度合いは製品によって異なるため、やはり構築の手間が必要になることも往々にしてあります。
(図4)日本企業独特の人事制度への完全な対応は難しく、別途カスタマイズなどが必要になることが多い
この状況はどのように解決していけばよいのでしょうか。
ご提案:IDaaSと統合ID管理システムのハイブリッド利用
もちろんIDaaSも前回の記事で述べた通りメリットはあります。しかし、それだけだとこれまで述べてきた日本企業の特徴についていけないため、きちんと理解したうえでシステムを作り上げていく必要があります。
そこで1つの方法として、IDaaSと統合ID管理製品を併せて利用することをお勧めします。業務システムの多くはIDaaSからだと「アカウント」及び「割り当てた権限情報」をプロビジョニング※することが難しいことが多いです。そのため、業務システムも含めてプロビジョニングは統合ID管理システムから行い、認証機能やSSOにおいては、強みとして持っているIDaaSを活用するという方法を取ります(図5)。こうすることで従業員側の利便性が向上されるのはもちろん、システム部門としても日本企業の複雑なIDのライフサイクルに対応でき、手作業によるリスクを低減することができるようになります。
※プロビジョニングとは…
設備やサービスに新たな利用申請や需要が生じた際に、資源の割り当てや設定などを行い、利用や運用が可能な状態にすること
(図5)IDaaSと統合ID管理システムのハイブリッド利用
最後に
きちんと日本企業の特徴を押さえてシステムを利用できれば、監査対策が万全になり業務効率化に役立つほか、これから次々と出てくるSaaS製品の利用を促進でき、従業員の利便性向上にも繋がります。
いま一度、あなたの会社内でのIT統制について振り返ってみてはいかがでしょうか。
