[技術解説]

2009年5月22日(金)山口 雅史（NRIセキュアテクノロジーズ セキュリティコンサルタント）

リスト

　社内に分散する複数のシステムを対象に、IDの作成-変更-削除といったライフサイクル全般を効率的に管理するのが統合ID管理ツールだ。ID管理の集中化によるコスト削減が見込めるほか、年度更新時など一斉に人事情報が変更される時期でも、迅速かつ適切にID付与業務を遂行できる（図4-1）。

図4-1　統合ID管理の概要と期待できる効果（図をクリックで拡大）

統合ID管理ツールが備える中核的な機能は「プロビジョニング」だ。ユーザーのIDやアクセス権限を一元的に管理し、その内容を社内に複数あるシステムに対して、しかるべきタイミングで自動的に反映させる。元となる人事情報システムのマスターデータを取り込めるのはもちろん、多くの製品は新規ID作成の申請/承認などを効率化するワークフロー機能も備える。パスワードのリセットなど上長の承認が不要な手続きについては、ユーザー自身で対処できる「セルフサービス」機能を用意。最近では、IDの作成-変更-削除の情報をログとして記録する監査対応の機能を強化する製品も増えている。

自社のID管理ポリシーにマッチした機能を備えているかどうかは、製品選択のポイントの1つだ。人事異動の際のアクセス権限の管理を例に、どういうことか説明しよう。

統合ID管理ツールでは、人事上の異動発令のタイミングで「新しい」職権に応じたアクセス権に一律に変更するものもあるが、日本企業の文化に応じて、2〜3週間など限られた期間で旧・新のアクセス権限を両方持てる期間を設けたり、ワークフローについても新旧の上長による複数承認ルートを設けられる製品もある。単なる機能要件だけでなく、このような業務要件にも照らして検討することが欠かせない。

導入を成功させる３つのポイント

統合ID管理ツール導入を成功させるために一番大切なのは、ツール導入前に、どのようなID管理体制を築きたいのかを明確にしておくことだ。具体的な目標を設定しないままツールを選択してしまうと、導入後に機能不足が発覚して運用にかかる手間や時間を減らせなかったり、後からカスタマイズに迫られて追加投資を余儀なくされたりといった問題に直面してしまう。

まず第1に、ID管理の現状と理想像をきちんと整理しておくことが重要となる。現状の業務の実態に照らして、正社員/派遣社員/取引先従業員といったユーザーカテゴリーを掌握するとともに、職務分掌に応じた権限を総ざらいする。併せて、入社/異動/退社や役職変動、出向、休職など、どのようなタイミングで、どのような設定変更をしているかを棚卸しする。

この現状認識に基づき、妥当性を検証しつつ、どのようなID管理・運用を行うべきかという明確な目標を立てる。これによって、自社に必要なID管理の機能を洗い出すことができるので、ツールを選択しやすくなる。

第2に、社内にどのようなシステムが存在するのかを見渡し、どれを優先的に統合ID管理の対象とするかを順位付けする。管理の対象となり得るのは、OSやDB、ミドルウェア、各種アプリケーションなど広範囲にわたる。欲張って最初からすべてに取り組むのは失敗が伴いやすい。各システムごとに、ID管理上の業務が発生するイベントがどの程度の頻度で起こるかを調べ、優先度を判断するとよい。

そして第3に、対象システムと統合ID管理ツールの接続方法を特定する。そのシステムがLDAP（Lightweight Directory Access Protcol）など外部連携を図る標準的なプロトコルを備えていれば、多くの場合、ツールが標準搭載する機能で接続できる。一方、手組みのシステムなどID/権限の管理が独自方式の場合は、接続のためのアダプタを個別に用意しなければならない。

大切なのは、現状で見えているシステムとの連携だけを考えるのでなく、将来的に連携の対象とする予定のシステムや、連携の範囲を拡大するための拡張性を考慮しておくことである。

●Next：主要な統合ID管理製品一覧