ID管理とは? 重要性やメリット、ID管理システム導入のポイントについて解説
近年、クラウドサービスは、社内にサーバー等の固定資産を持つ必要がなく、インターネット環境があれば導入から利用開始まで迅速に行える、といったメリットから普及が急速に進みました。その一方、利用するクラウドサービスごとにID管理の負担も増し、ID管理システムを導入して「ID管理の負担を減らしたい」「セキュリティを強化したい」という声も大きくなっております。今回は、ユーザーのアカウント情報を一元管理し、ID管理業務の効率化とセキュリティ向上を同時に実現できる「ID管理システム」について解説いたします。
ID管理とは?
「ID管理」とは、企業の社員が業務を行うにあたって利用するPCや社内システム、サービスのIDやパスワードといったアカウント情報を管理することを指します。「ID管理」の対象となるアカウント情報は、利用する社員の社員番号やメールアドレス、所属部署や役職、内線番号、アカウントの作成日など多岐にわたります。アカウント情報には、利用するシステムやサービスのログイン時の認証に使用されるID・パスワードの情報や、利用権限の制御に使用される役職などの情報が含まれます。これらのアカウント情報を「ID管理」で適切に管理することにより、システムやサービスへの認証やアクセス制限に利用できるようになります。
ID管理の重要性
業務利用するシステムが単一ではなく複数存在し、業務の変化に伴ってシステムが追加されるような環境の場合では、社員のアカウント情報を個々のシステムで分散管理することになります。そのため、すべてのシステムで正しく「ID管理」を行えることが重要となります。もし、不適切なアクセス制限を設定してしまった場合には、ユーザーの権限範囲を超えたアクセスによってシステム誤操作や閲覧すべきでない情報にアクセスして情報漏えいを起こす可能性があります。
また、クラウドサービスの業務利用が進んだ現在、オンプレミスで構築された社内システムだけでなくインターネットからアクセスできるクラウドサービスの「ID管理」の重要性は、より高いものとなっています。
ID管理の課題
管理するIDが多く管理者の負担が大きい
クラウドサービスの普及が進んだ現在、社内システムだけでなく複数のクラウドサービスのID、パスワードも同時に管理しなければならないケースは多く、ID管理の対象となるID数は増加する傾向にあります。利用者視点と管理者視点のどちらにおいても、ID管理の負担はID数に比例して大きくなります。特に管理者は、人事異動や退職、社員入社などのタイミングで一斉に大量のアカウント情報の更新が発生すると、利用するシステム・サービスごとにIDのメンテナンス作業を行う必要があるため、その負担は膨大になります。そして、それらの作業を管理者が手作業で行っている場合、その負担が高負荷になるほど、ヒューマンエラーを引き起こす可能性が高くなります。
内部監査により管理者の負担が大きい
会社内で定期的にシステムの内部監査が行われる場合、システムの利用状況を監査するためには、利用されているシステムごとにアカウント情報やログイン履歴を出力し、照合する必要があります。これらの棚卸し作業を手作業で行うと、管理者が内部監査対応にかける負担は大きなものとなります。
パスワード忘れやパスワードロックなどの対応の負担が大きい
パスワード忘れや、複数回のパスワード入力ミスによるパスワードロックなど、ユーザーからの問い合わせ数は、利用しているシステムの数に比例して増加します。そして、問い合わせの数が多くなるほど、その対応にかかる管理者の負担も増加します。
ID管理システムとは
ID管理システムとは、ユーザーがシステムやサービスにログインする際のID、パスワードや、役職などシステムのアクセス制御に使用されるアカウント情報を一元管理し、他のシステムやサービスに連携するシステムです。ID管理システムを導入することにより、ID管理の課題を解消し、管理者の運用負荷を軽減することができます。
ID管理システム導入のメリット
ID管理システムの導入によるメリットを具体的に解説します。
IDを一元管理できる
システムごとに管理していたアカウント情報をID管理システムに集約して一元管理することができます。アカウント情報の一元管理のメリットは多岐にわたります。
まず、管理者はID管理業務をID管理システムに対してのみ行えばよくなり、管理者の運用負荷を軽減できます。更に、ID管理業務の効率化は管理者のヒューマンエラーの防止にもつながり、不適切なアクセス制御につながるアカウント情報を設定してしまう危険性を低減させることにより、セキュリティ強化を行うことができます。ユーザーも同様で、自身のアカウント情報の変更をID管理システムに対して行うことで、各システムに横断的に反映させることが可能となり、設定作業に関しての利便性が向上します。
次に、システムごとのID体系を統一することも可能になります。ID体系を統一することにより、ユーザーはシステムごとにIDを使い分ける必要がなくなり利便性が向上するほか、内部統制面でも1ユーザーを単一のIDで効率的に監査することが可能となります。
その他にも、アカウント情報に使用できる文字種や文字数といったセキュリティポリシーをID管理システムで一元管理することも可能となります。例えばパスワードにセキュリティポリシーを適用すると、外部から不正ログインされる可能性が高い危険なパスワードの設定を防止することができ、システム環境全体のセキュリティを強化できます。
アカウント管理を自動化できる
ID管理システムは、ID管理対象のシステムにどのようなアカウント情報を連携するかを設定することで、当該システムのアカウント管理を自動化してくれる「プロビジョニング機能」を持ちます。「プロビジョニング機能」では、人事システムやワークフローといったID源泉データを取り込み、取り込んだデータをもとにID管理対象のシステムに適切にアカウント情報を連携します。アカウント作成、削除などの手間がかかるID管理業務を自動化することができますので、管理者の運用負荷を軽減できます。
また、この機能により、退職者や契約終了者といった元々は正規のユーザーだったIDの削除・無効化忘れのリスクを減らすこともできるため、これらのユーザーによる不正アクセスを防止することもできます。
図:ID管理システムのメリット
ID管理システムを選ぶポイント
ID管理システムを導入するにあたり、どのような製品を選定すれば良いか、そのポイントを解説します。
オンプレミス・クラウドサービスの両方を管理できるか
テレワークが常態化し、クラウドサービスの業務利用が進んだ現在において企業がID管理システムを選ぶ際は、オンプレミスとクラウドが混在したシステム環境でも適切にアカウント情報を管理できるID管理システムであるかどうかが選定ポイントとなります。
履歴のレポート機能があるかどうか
アカウント情報の追加や削除等の変更履歴を管理し、その履歴情報をファイル等に出力するレポート機能を備えているかどうかも、ID管理システムの選定ポイントの一つとなります。レポート機能があれば、内部監査の対応における管理者の負担を軽減できるでしょう。
また、他システムの監査情報との突き合わせも行いやすくなります。例えば、ID管理システムから認証基盤へアカウント情報を連携していれば、認証基盤のログイン履歴とID管理システムの情報を突き合わることで、より詳細なIDの使用状況の監査を行うことができるでしょう。
サポート体制が充実しているか
導入時や導入初期に製品を熟知したベンダーの支援が受けられるか、運用していく中で発生するトラブルに対し影響を最小限にするために迅速にサポートしてくれるかどうかを確認します。
海外製品の場合は、サポートが日本語対応か、サポート時間が日本時間に対応しているか、という点も重要となります。
まとめ
クラウドサービスの普及により、企業が管理するIDとそのID管理の業務負荷は増加する一方です。ID管理システムは、業務利用しているオンプレミスのシステムやクラウドサービスに対するID管理業務を一元管理、自動化することで、運用負荷の軽減とセキュリティの強化を同時に実現します。そのためには、自社のシステム環境や運用形態に適した機能やサポート体制を持つ製品を選定することが重要です。
ThemiStruct-IDMは、多彩な連携方式でID統合や一元管理が可能
オージス総研が提供するThemiStruct-IDMは、企業における従業員などのユーザー個人と紐づくアカウントを入社、異動、退職、といったIDライフサイクルのイベントごとに自動でタイムリーにIDメンテナンスを行うことができるID管理ソリューションです。
プロビジョニング機能ではさまざまな連携方式に対応しており、オンプレミスのActive Directoryや業務システムだけでなく、クラウドサービス(SaaS)まで横断して連携が可能で、ワンストップで企業内の業務アカウントのライフサイクル管理や運用を実現できます。
オージス総研ではID管理システムの導入~移行・リリースまでのすべての開発フェーズのフルサポートや、特定フェーズのみに限定した部分サポートなど、お客様のニーズやご予算に応じた導入支援が可能です。
十数年にわたりオージス総研が積み上げてきたID管理システムの開発・構築・運用の実績とノウハウをもとに、導入段階から本稼働後の運用段階にいたるまでお客様が抱える課題に対して、安心・確実・迅速なサポートを提供できます。
企業に求められる認証基盤とID管理に関する資料をダウンロードできます!
2022年8月4日
※この記事に掲載されている内容、および製品仕様、所属情報(会社名・部署名)は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。
関連サービス
-
ThemiStruct(テミストラクト)-IDM
クラウドサービスとオンプレミスのID統合/プロビジョニングを実現するOSSを活用したID管理ソリューション
-
ThemiStruct(テミストラクト)総合サイト
いつでもどこでも、安心に、快適にアイデンティティ管理 と認証・認可を実現する統合認証ソリューション「ThemiStruct」をご紹介する総合サイトです。
関連記事一覧
- IdP(IDプロバイダー)とは?SP(サービスプロバイダー)との役割と違いやメリットについて解説
- パスワードレス認証とは?認証の種類と仕組み、メリットと注意点について解説
- ID管理の業務負荷を軽減する「認証基盤」とは?4つの機能と導入時の課題について解説
- 多要素認証(MFA)とは?セキュリティ向上に貢献できる理由や認証方式の種類について解説
- シングルサインオン(SSO)認証とは?仕組み、認証方式の種類、メリットや認証連携のパターン
- パスワードレス認証を実現するFIDO2認証<不正ログインの脅威と対策(第4回)>
- 多要素認証に用いられる認証方式<不正ログインの脅威と対策(第3回)>
- 今、求められている不正ログイン対策とは<不正ログインの脅威と対策(第2回)>
- Webサービスに潜む不正ログインの脅威<不正ログインの脅威と対策(第1回)>
- Azure AD導入環境におけるクラウドとオンプレミスのアカウント管理の実現と課題 <テレワーク時代のアカウント管理(第4回)>
- クラウド利用を見据えたアカウント管理システムの役割と重要機能 <テレワーク時代のアカウント管理(第3回)>
- アカウント管理システムの導入事例と将来的に果たすべき役割 <テレワーク時代のアカウント管理(第2回)>
- 急拡大するテレワーク時代に不可欠なアカウント管理 <テレワーク時代のアカウント管理(第1回)>
- エンタープライズ向けOpenAMパッケージ「ThemiStruct-WAM」 <OpenAMによるシングルサインオン(第4回)>
- OpenAMの注目機能「多要素/リスクベースの認証」と「OpenID Connect」 <OpenAMによるシングルサインオン(第3回)>
- OpenAMのコア機能「ポリシーベースのアクセス管理」と「SAMLフェデレーション」 <OpenAMによるシングルサインオン(第2回)>
- OpenAMを使ったシングルサインオン(SSO)の仕組み <OpenAMによるシングルサインオン(第1回)>
- テミストラクトサポートサービスについて
- 認証関連技術の解説
- パートナー
