ID管理の導入は内部統制システム構築への第一歩：今、見直されるアイデンティティ管理（3/3 ページ）

[�ﾔ嶋秀規、岡本孝，ITmedia]

内部統制のファーストステップとしてのIDM

　これまでコンプライアンスや内部統制への対応という視点から、IDMの必要性や現状、構築時の問題点などを紹介したが、「アイデンティティ管理」という言葉を耳にするようになってからまだ4、5年しかたっていない。その間にIDMは、統合型ディレクトリからメタディレクトリによる管理へとシフトし、さらに最近ではワークフローや監査などの機能を備えた製品が提案されるようになっている。

　このように、「後回し」にされがちであったユーザーアカウントの管理が、企業におけるコンプライアンス意識の高まりから再び注目を集めていることは間違いなく、企業がコンプライアンスを永続的に維持する上でIDMが重要な役割を担っていることも事実である。

　IDMの構築に関しては、ユーザー環境の整理（現状把握）が必要となることを説明した。この現状把握は、内部統制を推進する上でも重要となるアカウントルールやワークフローに基づく社内プロセスをチェック、または財務データを扱うシステムへのアクセス権限などを調査・確認するものだ。IDMの実装よりもコンサルティング的な要素を含んでおり、要件定義についての経験が求められる。またIDMシステムは、単一システムとは異なり情報システム部門のみで導入できるわけではなく、社内の体制として、全社を横断してIDMを推進する組織とマネジメント能力を持った担当者が必要となる。

　ITシステムへのアクセスログの取得は、企業にとってコンプライアンス対応や情報漏えい対策として常識となりつつある。「誰が、いつ、どのシステムにアクセスして何をしたのか」「何が起きているのか」「どのように行動しなければならないか」を明確にすることが目的であるが、そのログ情報に残るアカウントが確実なものでなければ、ログ情報自体の意味がなくなってしまう。

　ERP（統合業務システム）などのアプリケーションを活用して内部統制システムを構築する場合も同じく、まずIDMの導入を検討すべきである。内部統制システムにおいては、IDMによる確実なアクセス権限の付与とはく奪の管理を行う認証基盤が重要であり、その意味でIDMの導入は内部統制システム構築のファーストステップだといえる。