IT全般統制におけるアイデンティティ管理企業ID管理システム確立への道(3/4 ページ)

» 2007年11月16日 08時00分 公開
[北野晴人(日本オラクル),ITmedia]

アイデンティティ管理では何をしなければならないか?

 IT統制の基盤としてアイデンティティ管理を構築する際に実現しなければならない要素は、以下の通り。

1.ID情報のライフサイクルを自動化する

 情報漏洩事件などでよく取りざたされる問題に「退職者のIDが残っていて悪用された」というものがある。また社内で異動した場合などに以前の部署で使っていた(そして今は不要な)システムのIDや権限がずっと残っているといった話もよく聞かれる。これらの問題の多くは、システムごとにIDをメールで申請、システム部門などで作成、変更、削除するといった典型的なマニュアル(手作業)による統制であることに起因している。人手を介していると、時間的なロスや操作ミス、処理漏れなどが起こりやすくなる。

 これらを一元的に自動化するのがアイデンティティ管理における「ユーザー・プロビジョニング(単にプロビジョニングともいう)」である。ユーザー・プロビジョニング機能を使うと、社員が入社した時には人事情報などの情報ソース(トラステッド・ソース)から情報を入手し、あらかじめ決められたポリシーとルールに基づいて必要なシステムにIDを自動配信することができる。また人事異動の情報を入手して不要なIDの削除、新たに必要になるIDの配信を行い、退職の処理が行われれば即座にすべてのIDをシステム上から削除し、退職後も残る「幽霊ID」などを防げる。

ユーザー・プロビジョニング

2.職務分掌とアクセスコントロールの整合性を維持する

 ユーザー・プロビジョニングを行う場合、所属部門、職位、職責などユーザーが持つ属性と、業務処理統制であらかじめ決められた職務分掌に基づいて必要最低限のシステムに対してアクセス権とIDを配信するためのアクセス・ポリシーが定義されている必要がある。そのためプロビジョニング製品には通常、アクセス・ポリシーに基づいてユーザー属性とID・権限の配信を対応づけ、制御する機能がある。当然、1人のユーザーが複数のシステムに対して権限を持つことになる。

 この職務分掌と権限のかたまりを「ロール」、それに基づいたアクセスコントロールの手法を「RBAC(Role Based Access Control)」と呼ぶことがある。多くの権限を個別にユーザーに対応させると管理が非常に複雑になるため、複数の権限を「束ねた」ロールという概念を定義し、これをユーザーに対応させることでアクセスコントロールの管理を単純化できる。

 ただし大きな組織でRBACを実施しようとすると、ユーザー属性の多様さと職務分掌の複雑さから膨大な数のロールが必要になり、プロビジョニング製品が持つ機能だけでは管理しきれなくなる可能性がある。その場合は別途「ロール・マネジメント」と呼ばれる製品も開発・販売されているので、これを利用して機能を補完できる。

3.承認プロセスを自動化する

 通常IDや権限を付与する場合、所属部門長やIT部門など複数の承認を得るような業務プロセスが存在する。内部統制の観点からはID・権限について社内のどのようなルールに基づいて、だれが承認して付与したのか、というプロセスを明らかにし、その責任の所在を明確にすることが求められる。これらはメールや申請書と捺印などのマニュアル統制でも管理できるが、監査に対応できる厳密な運用を行うと人的コストが非常に高くなるため、ワークフローなどのシステムで自動化するのが望ましい。

 またシステムで自動化すると人為的なミスも防ぐことができる。一般的なプロビジョニング製品では、IDの発行要求をユーザー(従業員など)が自らセルフサービスでプロビジョニング用のシステムに登録すると、あらかじめ決められた承認プロセスに基づいて承認者にメールで通知され、承認者の承認操作がすべて終了すると自動的にID・権限が付与されるといった機能を持つものが多い。

4.履歴を管理し、定期的な見直しと監査に対応する

 上述の「1」から「3」で行われる操作については「いつ・だれが承認して、だれに・どのシステムにおける、どんなIDと権限を付与したのか?」「退職処理が行われた日にすべてのIDが削除されたか?」「半年前にあるユーザーが保有していたアクセス権はどのようなものであったか?」などのアイデンティティ管理における履歴(ログ)を生成し、保管しておく必要がある。

 この履歴は内部統制についての監査を行う場合に監査証跡として必要になり、万一不正や事故などが起きた場合には原因の究明のために必要になる。また統制の状態を定期的に確認(モニタリング)し、不要な権限を持ったユーザーがいないか、現状のIDやアクセス・ポリシーは妥当なものであるか、などの見直しを定期的に行うことも求められる。

 プロビジョニング製品では上記のような履歴を生成・保管する機能や、監査などのためにリポートとして出力する機能などを備えており、効率良く監査やID付与のチェック、アクセス・ポリシーの見直しに対応できるようになる。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ