【コラム】アカウント管理システムの導入事例と将来的に果たすべき役割 <テレワーク時代のアカウント管理(第2回)>

 コラム「テレワーク時代のアカウント管理(第2回)」では、アカウント管理システムによって実現できることを、具体的な事例をもとにその効果や役割をご紹介します。さらに、クラウド利用が注目される昨今、アカウント管理システムが果たす役割が変化しつつある点についてご説明いたします。

アカウント管理システムとは

 アカウント管理システムとは、複数のアプリケーションのアカウントを一元管理するシステムです。手動運用で起こりがちなアカウントの更新漏れや権限設定誤りなどの不備を解消し、各アカウントの情報を常に最新かつ過不足のない権限を設定し、適切な状態に維持することを可能にします。更に、同システム上で管理するアカウントをアプリケーションに即時反映できる、予約処理ができる、また更新のタイミングを要件に合わせてスケジューリングできるなどのメリットがあります。
 アカウント管理システムの主要な機能として、IDをまとめて複数の源泉情報を集約するID統合機能と、アプリケーションへIDを配るIDプロビジョニング機能(ID同期処理機能)がありますが、これらを組み合わせることによって、アカウントの維持管理の自動化を実現できます。
 アプリケーションへのIDプロビジョニング機能では、アカウント管理システムと既存のアプリケーションを連携可能であるかという点が特に懸念されますが、アカウント管理システムはデータベースやディレクトリサービスとの親和性が高く、MySQLやPostgreSQLの他、LDAPやActive Directory、あるいはCSVファイル形式での入出力も可能なため、スクラッチ開発などの既存アプリケーションとも容易に連携できます。管理できる情報はアカウント情報のみならず、組織などのグループ情報を管理できる点も利点の一つです。
 また、アカウント管理システムがもたらすメリットは、上述のような処理の自動化ができる点にとどまりません。取り込みからアプリケーションの同期までアカウント管理システムを通じて行われた処理は、全て監査ログに記録されます。この監査ログを参照・エクスポートできるため、監査ポリシーが定められている企業の監査対応の効率化にも寄与します。

具体的な導入事例について

 アカウント管理システムを導入した場合の効果や運用イメージをより具体的に感じていただくため、ここで導入事例をご紹介します。ユーザーリポジトリとして多くの企業が採用しているActive Directoryと、複数のアプリケーションを利用しているケースを例に取り、アカウント管理システム導入のメリットをご説明いたします。

 まず、導入前の運用イメージが図1です。

図1 アカウント管理システム導入前の運用事例

6243_Image1_02.png

 アカウントを一元管理する基盤がないため、システム管理者が手動でメンテナンス作業を行う運用を表しています。この場合、アカウントのメンテナンス作業がシステム管理者に集中し、その負担は企業規模、つまりはユーザー数に比例する傾向にあります。
 システム管理者は人事異動の都度、アカウントのメンテナンスに必要な情報の収集から行います。人事担当者に異動情報の問合せを行い、異動者に関連する全てのアプリケーションに対してアカウントのメンテナンスが必要となり、手間のかかる作業となることが容易に想像できます。
 また、Active Directory上の変更も行わなければなりません。具体的には、アカウントの作成、更新、削除、無効化、有効化といったユーザー単位の変更や、セキュリティグループ、共有フォルダーや組織ツリーへのメンバー追加、削除などグループ単位での変更も必要になります。これに加えて、一般利用者から依頼されるパスワード初期化申請などにも対応しなければなりません。
 このような運用では、システム管理者の運用負担が増大することは言うまでもなく、すべてのシステムにメンテナンス内容が反映されるまでに一般利用者の待ち時間が発生するなど、利便性の低下に繋がる要因にもなり得ます。

 これらの問題をアカウント管理システムの導入によって解決した例が図2に示す運用例となります。

図2 アカウント管理システム導入後の運用事例

6243_Image2_01.png

 図1との最大の違いは、源泉となる情報を取得し、Active Directoryやアプリケーションに反映するまでの一連の流れを、自動化しているという点です。人事情報の連携やワークフローシステムで承認された承認済み申請情報は、一度アカウント管理システムに取り込まれ、アカウント管理システムによって後続のActive DirectoryやLDAPなどのディレクトリサービスに同期処理されます。
 アカウント管理システムからアプリケーションへの連携では、アカウント管理システムが取り込んだ情報を、アプリケーションのデータベースに同期します。あるいはアカウント情報を一度CSVファイルに出力し、これを取り込むバッチ処理をアプリケーションサーバ上のタスクスケジューラで定期実行することにより、一連の取り込み処理の自動化を実現することができます。

 この事例で得られるメリットは、システム管理者の作業量を削減できる点は勿論、人事情報や承認済み申請情報の取得からActive Directoryやアプリケーションへの反映処理に至るまで、人の手を介さずに処理することで、人為的なミスの発生の防止や、処理完了までの時間を短縮できる効果もあります。
 またこの事例では、同期処理のタイミングをアカウント管理システムで制御し、ユースケースに応じたタイミングでディレクトリサービスやアプリケーションへの反映処理を行っています。
 例えばパスワードのような属性情報は、変更と同時に連携先のディレクトリサービスに同期する必要があります。仮に同期が完了するまでに何日もかかるようでは、連携先によってパスワードが異なる状態が発生し、利用者に対して混乱を招き利便性の低下に繋がる恐れがあります。一方で、人事発令に基づく変更処理では、着任日に合わせてディレクトリサービスやアプリケーションに同期しなければなりません。

 着任日より前に人事システムに登録した場合では、即時にディレクトリサービスに同期されてしまうと、付与されるべきではない権限が付与されたり、あるべき権限がはく奪されたりと、適切なアカウント管理とはかけ離れてしまいます。具体的には、現時点では属していないセキュリティグループに追加されることで、本来付与してはいけない権限が付与されたり、逆に属するべきセキュリティグループから削除され本来あるべき権限がはく奪されたりなどの問題が発生します。しかし、常に着任日当日に人事システムに登録するといった運用で回避するのでは、人事担当者の大きな負担になります。他方で、着任後に業務の引継ぎのために、異動前の権限のはく奪を一定期間猶予したいケースもあるでしょう。

 これらの問題を解決するために、アカウント管理システムは同期のタイミングの制御を担います。
 パスワードのように即時反映が求められる属性は変更されるのと同時にディレクトリサービスに同期し、人事発令に基づく変更のような場合では、反映日時を着任日に指定することで、更新内容をアカウント管理システムに予約登録し、ディレクトリサービスやアプリケーションへの同期処理を着任日に実施することが可能になります。
 このようにアカウント管理システムでは、作業の効率化とセキュリティの向上の両面で効果が得られます。

テレワーク時代の昨今、アカウント管理システムの役割は拡がっている

 以上の事例で挙げた通り、これまでアカウント管理システムは社内の閉じられた世界を前提に、主に社内にあるディレクトリサービスやオンプレミスアプリケーションのアカウント管理の有効な手段としてその役割を果たしてきました。これまでは、会社に出勤して社内で仕事をするという働き方がスタンダードであったため、社内に限定された環境を考慮するだけで、十分に役割を果たすことができていました。しかし今後は、従来の役割を超えて新たな考慮が必要です。

 かねてより働き方改革やクラウドサービスの利用拡大に多数の企業が注目し、私たちの業務環境は変化しつつありましたが、テレワークの導入が急速に進んだこの1年で状況は一変しました。
この転換期を乗り越え企業が生き残っていくためには、ロケーションを問わない、より多様かつ効率的な働き方が求められ、この実現にSaaSなどのクラウド利用は必要不可欠です。近い将来、多数の企業でクラウド利用が一般的となる日が訪れるでしょう。

 このような中で、アカウント管理業務として対応すべき内容やその重要性は益々広がりを見せており、システムが果たしていくべき役割もまた変化していく必要があります。すなわち、これまでのように社内に閉じられた世界に限定するものではなく、クラウド利用を前提とした全てのアプリケーションのアカウントのトータル管理が今後アカウント管理システムに求められます。

 では具体的には、クラウド利用を前提とした場合のアカウント管理は、社内に限定された場合と比べて果たすべき役割はどのような点が異なるでしょうか。また、どのような機能が必要となるでしょうか。
 次回は、テレワークを後押しするためのクラウド利用推進において、アカウント管理システムに求められる将来的な要件や必要となる重要機能についてご紹介し、クラウドを念頭においたアカウント管理の今後の展望についてお話しいたします。

2021年6月25日
執筆者:株式会社オージス総研
    事業開発本部 ID/IAMソリューション部
    亀村 美佳

 

関連サービス