【第8回】組織に属する「人」の管理がセキュリティを強化する 〜アイデンティティ・マネジメント〜

複雑化するシステムを的確に管理し、セキュリティの向上を図る上では、多種多様のOSや、アプリケーションで「ユーザー管理」の実施が不可欠となっている。そこで今回は、このユーザー管理の原点、つまり組織に属する「人」を管理する「アイデンティティ・マネジメント」の極意を見ていくことにする。

　本来、自分自身が使用するIDは、システムの単位でなく「人」という個人単位で考えられていれば一つあれば十分である。しかし、実際には同じ使用者であるにも関わらず、システム毎に、自分自身を認識させる為のIDが必要となっている。しかも、その管理を個人に任せている現状がある。もちろん、1つ1つのIDの管理は決して困難なことではない。だが、数が増加するにつれ、管理レベルが下がってくる傾向が出てくるのだ。

　IDの管理レベルが下がると、セキュアな環境を構築する上で、重要なパスワードの管理が疎かになる。その結果全体のセキュリティレベルが下がるという結果につながってしまう。例えば、各システムで同じパスワードを使用すれば当然別々のID/パスワードを使うよりもレベルが下がる。また、同じではなくとも使いやすいパスワードを使用するケースも数多くみられる。使いやすいということは、裏返せば、悪意あるユーザーに、推測されやすいような、短いパスワードを利用することになってしまう。

　一方、管理者の立場にたって考えると、IDの増大は、ユーザーよりもさらに高いレベルの管理を強いられる。個人毎でも大変な作業が、管理システム数×ユーザー数だけ管理者に求められるからだ。その結果、ユーザーからの問い合わせに対応するヘルプデスク的な作業がどんどん増加していくことになる。それも単純なパスワードリセットが多くを占めていたりする。そして、本来の管理者のミッションを実施できずに、作業効率が下がっていく可能性が高い。また、退職者がでた場合に、そのIDが削除されずに放置されている企業も多い。

　アイデンティティ・マネジメントは、この問題を解消する、つまりIDはシステムやアプリケーションが個人を識別するものではなく、ユーザーである人を主体にIDを構築するという発想だ。ディレクトリサービスと同じように、物理的な一元化は困難でも、論理的に一元化していくものとなる。

　この論理的に一元化された個人情報の中に、役職や役割といった属性を1つのIDに関連付け、ポリシーを設定する。その結果、新規ユーザーの増加に加えて、異動／退社などの変更があった場合もスムーズに新環境へと移行できるようになる。

　論理的に一元化された人に関するデジタル情報を、管理者が作成し、その後の変更、そして最終的な削除もしくは失効までの過程を維持管理する。また、各過程で全体のポリシーにのっとった適切なアクセス権限を設定する。加えて、パスワードの変更や個人情報の書き換えなどを各自で行うという、セルフサービスの考え方も含まれる。これにより管理者の負担を軽減できる仕組みだ。

　アイデンティティ・マネジメントの真価は、企業内の人事異動・組織再編・システム変更に基づく、ユーザー情報を随時変更する場合において特に発揮される。

　まず、ユーザーの変更を見てみよう。CA（コンピュータ・アソシエイツ）の定義するアイデンティティ・マネジメントでは、社員の入社、昇進や異動、そして退社など、個人の役割やプロファイルの変更を「ライフサイクル」とよんでいる。このライフサイクルに連動して管理者は、必要なユーザー情報の変更を迅速に行う必要があり、アイデンティティ・マネジメントが必要となる。

　次にアイデンティティ・マネジメントが重要になるのが、社内のIT環境の変化である。例えば、自社開発の業務アプリケーションをERPにリプレースするケースがここに当てはまる。新しいテクノロジを導入することで、効率的なIT環境を実現しようと計画しても、ユーザー情報の変更や管理が移行できないことを理由に、中止になったり、先送りにされたりということは枚挙にいとまがない。

　さらに組織変更もアイデンティティ・マネジメントが大きな役割を果たす。企業では、大小問わずさまざまな組織変更が行われている。もともとアイデンティティ・マネジメントは、転職率が高いアメリカのビジネス事情から、IDの効率的な管理に対する意識が早くから高まり必要とされた概念である。

　しかし日本においても、部署の統廃合や、外部企業へのアウトソーシング・業務委託、期間限定での協業や従業員の受け入れ、さらには他社との合併・買収という会社全体の大きな枠組みでの変更などが発生するようになった。こういった雇用体系、企業間の連携、アウトソーシング、コラボレーションといった、柔軟な組織体系モデルが求められる。組織に変更が加われば、そこに所属する個人の役割も変化させる必要があるからだ。

　このような「ユーザーの変更」「IT環境の変更」「組織の変更」というアイデンティティ・マネジメントが求められる3つの場面において、システム管理者は、どのようにしてスピィーディかつ正確に対応するか。各種の変化に対して、時間がかかり、ミスがあれば、ITは企業の競争力になるのではなく、かえって制約条件に変化してしまう。

　効率的なアイデンティティ・マネジメントで、実現するのに必要となるのが、「ロールベース」という考え方だ。これはrootやAdministratorという特権ユーザー、一般ユーザーといった、システムにおけるユーザーの属性ではなく、組織での役割（ロール）を中心にユーザーの属性を管理する考え方となる。

　具体的には、まず複数のシステムの権限をポリシーとして定義する。そして、ビジネスにおけるユーザーの役割や組織内での役職が変化した場合、その変更をシステムに入力する。すると、それに合わせてシステム上のアクセス権が自動的に変更され、アクセス先のシステムにも同様の変更が反映される仕組みとなる。これがアクセス・マネジメントとの連携である。これにより、ほかの企業との短期間のプロジェクトチーム編成や、業務のアウトソーシングなどで他社の社員や、プロジェクト期間のみ登録が必要な変則的ユーザーの管理にも有効に利用できるようになる。