アクセス管理という言葉を誤解していませんか?:M&A時代のビジネスガバナンス(2)(2/2 ページ)
前回は企業のダイナミズムを支えつつ、有効なガバナンスを作る方法として、米国での失敗の経験と生かし方などを紹介した。今回は、ITガバナンスの中でも特に「アイデンティティ管理(ID管理)」について説明する。
導入事例:サン・マイクロシステムズにおけるID管理システム構築
サン・マイクロシステムズ(以下、サン)は米国NASDAQ上場企業であり、米国SOX法に基づく、財務報告にかかる内部統制監査の対象企業の1社である。
サンでの適用初年度は2005年6月期であったが、そこでIT統制における課題の1つに挙げられたのが、「財務アプリケーション内に存在するアクセス権限の検証・是正に多大なコストを費やしてしまう」点だった。この費用増大は、アクセス権限の棚卸しを外部コンサルタントがマニュアル作業(紙ベースの突き合わせと人手に頼った是正プロセス)によって行うことに起因していた。
また、ほかの多くの企業と同様に、財務アプリケーションを含むサン社内の業務システムが当時はまだ統一されておらず(Oracle E-Business Suiteの10.7と11iという、新旧のシステムが併存していた)、このこともまた作業の複雑化を引き起こしていた。加えてエンドユーザーからのアクセス権限の申請、および責任者による承認のプロセスは独自に開発したWebアプリケーションによって運用されていたが、職務分掌のチェック機能は存在しておらず、承認者の経験に基づく判断に依存してしまっていた。
そこでサンは、適用2年目に自社のアイデンティティ管理ソリューションである「Sun Java System Identity Manager」(IDM)を採用し、アイデンティティ監査を導入した。具体的には、それぞれのOracleアプリケーション(11i/10.7)に格納されているユーザー情報とアクセス権限情報を定期的にスキャンし、過剰な権限の集中の検知・報告・是正を自動化したのだ(発見的統制)。
同時にアイデンティティ・プロビジョニング機能を活用することにより、財務アプリケーションへのアクセス権限を、申請・承認プロセスの過程において職務分掌をチェックし、不適切なアクセス権限の付与を未然に防止することが可能となった(予防的統制)。
これらをスムーズに進めることができた理由の1つは、外部システム連携アーキテクチャにある。IDMでは、既存のシステムに特別なモジュールをインストールするのではなく、そのシステムが提供している外部APIやプロトコルを用いる、いわゆる「エージェントレス・アダプタ」によって非侵入的に連携を行う。これにより、基幹アプリケーションであるOracle11i/10.7の側に改修やカスタマイズを加えることなく、アイデンティティ監査とアイデンティティ・プロビジョニングを「外付け」することが可能となったのだ。
この結果、サンは財務アプリケーションのアクセス権限チェックに要していた年間約4800万円(40万ドル)の人的費用を削減することができた。さらにアクセス権限の申請段階での職務分掌の徹底、離職者や一定期間以上アクセスしなかった者のアカウントの自動削除によって、IT統制を強化することにも成功した。
また一方で、社内LDAPディレクトリへのアイデンティティ・プロビジョニングも、同一の基盤に統合することによって、160カ国、5万人のユーザーのアクセス権限設定を迅速化することが可能となり、非SOXアプリケーションにおける利便性とセキュリティの改善にも役立つ結果となった。
まとめ
ユーザーのアカウントとアクセス権限、すなわちアイデンティティ情報は、いうまでもなく、すべての情報システムにおいて最も欠かせない要素の1つである。
このアイデンティティ情報を適切に設定・検証・是正することこそが、情報システムの確実な統制の第一歩であり、それを効率的に強化するのがアイデンティティ管理なのだ。
次回は、業務プロセスの統制強化と継続的な改善に不可欠のBPM(ビジネス・プロセス・マネジメント)を紹介する。
著者プロフィール
工藤 達雄(くどう たつお)
ソフトウェア・ビジネス統括本部
アイデンティティ・マネージメント・ビジネス担当
1998年サンに入社以来、ミドルウェアのプリセールスエンジニアとしてWebアプリケーションサーバ、LDAP、PKI、XMLメッセージング、アイデンティティ管理に関する営業支援・構築に従事。2006年4月より現職。
ブログ:http://blogs.sun.com/tkudo/
Copyright © ITmedia, Inc. All Rights Reserved.