大規模組織のID管理をどうする？ 25年の実績が導いた理想形

PR／ITmedia

PR

　4月1日の人事異動に伴う新システムへのアクセス不可や前部署の権限残存といった混乱は、IT部門にとって毎年繰り返される難題だ。異動初日は「システムにログインできない」といった問い合わせが相次ぎ、通常業務が圧迫される。

　こうした問題の根底にあるのは、日本企業特有の複雑な人事制度やオンプレミスとクラウドが混在する環境でのID管理の難しさだ。汎用（はんよう）的なID管理サービスだけでは多岐にわたる兼務や細かな権限制御をカバーし切れないこともある。25年の蓄積を基に、日本企業特有の複雑な組織構造や大規模環境に対応する国産ID管理ソリューションを紹介する。

日本企業の人事制度の複雑さがID管理を難しくする

　従業員数万人規模の企業では、入社・退社時の操作にとどまらず、兼務や出向、休職、復帰といった多様なイベントへの対応が日常的に発生する。NTTデータ先端技術の福田秀紀氏は実態をこう語る。

　「企業によっては1人で5つも兼務する従業員もいます。『前の部署の権限は1カ月残してほしい』『休職中は停止するが復帰時に戻せるようにしてほしい』といった例外要件が重なり、IDライフサイクルの処理パターンが40種類に達するケースもあります」

　こうした複雑な要件に対して、汎用的なクラウド型ID管理サービス単体で制御を完結させるのは難しい。人事制度に根差したルールはIT部門の裁量だけで変更できるものではなく、各部署の要件を拒めず例外対応が積み重なるという問題がある。

　大企業のほとんどは「Active Directory」と「Microsoft Entra ID」を併用している。社内ネットワークのファイルサーバや古い基幹システムの認証などには依然としてActive Directoryが使用されることが多く、オンプレミスとクラウドを横断して統合管理する仕組みが不可欠だ。

NTTデータ先端技術の福田秀紀氏（セキュリティ＆テクノロジーコンサルティング事業本部 セキュリティイノベーション事業部 DXセキュリティソリューション担当 担当部長）

国産25年の蓄積と2023年に大改修の意味

　こうした課題を解決するため、NTTデータ先端技術は「VANADIS Identity Manager」を提供している。25年以上の運用実績を持つ国産パッケージで、2023年にフルリニューアルした。クラウドネイティブな設計でIGA（IDガバナンス管理）機能を強化し、人事システムや申請システムとも自動連携できる。

　製品の核にあるのは「箱」という概念による直感的な管理だ。箱に権限ラベルを設定して部署や個人を割り当てるだけで権限が付与される。財務部という箱に会計システムの権限をひも付けておけば、財務部に配属された人には自動で権限が付き、異動すれば自動で外れる。

　この仕組みは人事異動の時期に力を発揮する。事前にデータを登録しておけば4月1日にIDの付与、変更が自動で実行される。当日に慌ただしく作業をする必要がなくなり、IT部門の作業負荷を軽減できる。

　NTTデータ先端技術にはセキュリティやミドルウェアの専門家が集まっており、ID管理を基盤技術の一種と位置付けて注力している。リニューアル時には、データベースの専門家が数カ月かけてコードを解析して製品の処理性能を大幅に引き上げた。

　こうした開発の成果が、三菱重工業のPoC（概念実証）でのパフォーマンスにつながった。グループ会社260社、連結従業員約8万人（※2025年8月時点）を擁する同社の検証では、既存システムで5時間を要していたID一括処理を2時間で完了させた。大規模で複雑な要件を持つ同社にとって、処理速度と安定性が採用の決め手の一つとなった。

境界型ネットワークやゼロトラストネットワーク、ハイブリッド構成に対応

AIと自動化で進化するID管理の次のステップ

　VANADIS Identity Managerは延べ45万ユーザーを管理するという実績を持ち、官公庁や金融、製造、通信など幅広い業種で稼働している。オフラインでの運用が求められるミッションクリティカルな業務に対応できるのも強みだ。

　現在は「自動処理の標準化」と「AI活用」を軸に新たな機能を開発している。権限付与に関する異常をAIが検知して担当者に通知する仕組みの実装を目指す。ITDR（ID脅威の検知と対応）ツールとの連携によって、IDの漏えい検知やクラウドでの不審な動作を監視する機能も予定している。「一括停止はできるが、その後の削除処理は手動」といった運用の隙間を埋めるため自動化範囲を標準機能として順次拡大し、パッケージとしての使い勝手をさらに高める方針だ。

　福田氏は、ID管理の刷新を検討する担当者にこう呼びかける。

　「ID管理の刷新に頭を悩ませて運用の限界に直面している担当者は数多く存在しています。VANADISを導入することで『こんなに便利になるのか』と効果を実感できるでしょう」

任意の組織、役職、個人の組み合わせで箱（グループ）を作成できる