複数のシステムやサービスを導入している企業では、IDの管理が煩雑化しやすく、管理者の負担増加が課題となっています。管理者の負担軽減を図るためには、ID管理システムの導入が効果的です。本記事では、ID管理の重要性と、ID管理システムやIDaaS導入のメリットについて解説します。
ID管理とは
多くのシステムでは、ユーザーにIDとパスワードを発行し、システム利用時にログイン情報として入力する仕組みを採用しています。そのため、ID情報を慎重に管理しなければ、情報漏えいを起こして第三者が不正利用したり、すでに退職したユーザーが不正にログインして情報を盗み見たりする原因になります。
ID管理は、現在どのようなユーザーにIDとパスワードが発行されているのかを管理するだけでなく、IDライフサイクル管理を徹底することも重要です。IDライフサイクルとは、ユーザーIDの作成や異動や昇格に伴う権限等の更新・変更、転職・退職に伴う削除、休職や出向などでのID休止・有効化があります。IDライフサイクル管理においては、これらの作業について適切な運用ルールを策定し、ルールに乗っ取ってID管理を行うことが求められます。
ID管理が重要視される背景
リモートワークにおいては、パソコンなどの端末を社外に持ち出し、従業員がばらばらの勤務地で業務を行うことが想定されます。さらにクラウドサービスの増加も増えているため、誰がどのシステムやサービスを利用しているのか正確に把握しにくい状況にあり、正確なID管理が行われていないと、不正ログインがあっても管理者が気づきにくい状況になりがちです。
また、BYODとは、個人が所有しているパソコンやスマートフォンなどの端末を、業務に使用することを意味します。BYODは従業員の資産を業務利用できるため、コスト削減などのメリットがあります。しかし、業務に関係のないアプリケーションなどもインストールされていることが多いことから、サイバー攻撃やウイルス感染などのセキュリティリスクが懸念点です。BYODにおいても、ID管理を行うことで不正利用をいち早く検知できるようになります。
ID管理を行うメリット
セキュリティリスクの低減
管理者が自社のシステムやサービスの利用状況を正確に把握することは、サイバー攻撃によるデータ破壊や、不正アクセスによる情報漏えいなどの被害を最小限に食い止めるポイントです。
システムやサービスのID情報を正確に押さえられていれば、本来は利用していないはずのユーザーからのログインを検知したときに、速やかに行動を監視し、セキュリティを維持するための対応に移れます。また、すでに使われていないIDやパスワードを放置せずにメンテナンスできるため、退職した従業員が自社のシステムやサービスにログインする事態を回避できます。
システム管理者の負担軽減
ID管理を行うと、システム管理者の負担軽減にもつながります。
システムやサービスの利用状況を正確に把握できていないと、異動などによってID情報を移行する必要があるときに、該当の従業員のID情報を探し出すだけでも手間がかかります。IDやパスワードを記録していなければ、利用者本人からID情報を聞き出したり、情報の初期化を行って再割り当てしなければならなくなったりする可能性もあるでしょう。
管理者側でIDやパスワードが正確に分かっていれば、余計な手間をかけずにID情報の移行が可能です。
また、セキュリティの維持を図るためには、ID情報の定期的なメンテナンスが必要です。社内のIDやパスワードを一覧で管理できていれば、不要になったID情報を削除したり、新しいIDやパスワードを割り当てる際に重複を回避したりと、メンテナンス作業を効率化できます。
ID管理業務における5つの課題
システムごとの管理により負荷が増加している
セキュリティの観点から見ると、複数のシステムで同じパスワードを使い回すことは推奨されません。そのため、全てのシステムで共通のIDやパスワードを設定して一律で管理することはできず、システムの数だけ個別にアカウント管理を行うことは必須です。
新しくシステムやサービスが増えるほど管理は煩雑になり、手が回らなくなって放置され、セキュリティリスクを増大させるケースも少なくありません。
人事異動のたびに多大な時間と手間がかかる
人事異動や組織改編は、期首に大々的に行われる例が多いものの、1年を通して人の入れ替わりは発生します。組織構造に変更があるたびにID情報のメンテナンス作業を行わなければならないため、管理者の負担感は大きいでしょう。
特に大企業などは従業員数が多く、利用しているシステムやサービスも多岐にわたるため、さらに管理者の負担が増大します。
棚卸作業の負荷が大きい
しかし、全ての部署のID棚卸しを1年に何度も実施するためには、膨大な手間と時間がかかります。特にシステム管理者が少ない現場では、日々の保守・運用に追われるばかりで、ID棚卸しに割く時間を確保できない場合も多いでしょう。
手作業で実施するには負担が大きすぎるため、棚卸しを断念せざるを得ず、結果的にセキュリティリスクを増大させてしまう例もよくあります。
セキュリティリスクに懸念が残る
さらに、転記ミスなどのヒューマンエラーを起こしやすく、情報の正確性が損なわれやすい点も、紙やエクセルによる管理のデメリットです。
ユーザーに負担をかけてしまう
ID管理が煩雑になればなるほど、管理者の対応に時間がかかり、ユーザーにも負担をかける結果になります。新規IDの発行が追いつかず、ユーザーを待たせてしまえば、業務に支障が出て社内全体の生産性を大きく低下させる可能性もあるでしょう。
また、ユーザーからIDに関する問い合わせがあったときに、適切なID管理を行えていないと、正確な情報を確認するために時間がかかり、スムーズに対応できません。このように、ID管理が徹底されていない状況は、ユーザーにも不利益をもたらします。
ID管理の課題解決に役立つ「ID管理システム」とは
ID情報に変更が生じた場合、ID管理システム上で変更箇所のデータを更新すると、該当システムのID情報を簡単に書き換えられます。複数システムのID情報を一括で更新することも可能で、メンテナンス対象のシステムを個別に立ち上げて管理する必要がないため、管理の手間を大幅に削減できます。
ID管理システムでできること
IDとパスワードの一元管理
例えばID管理システムを導入していない現場で、10種類のシステムやサービスを利用している場合、ID管理を行うためには、それぞれのシステムにログインしてID管理機能を立ち上げて作業を行う必要があります。この例の場合、10個のシステムに対して、管理者のIDとパスワードも10種類必要です。
しかし、ID管理システムを導入すると、ひとつのIDとパスワードを設定するだけで、全てのシステムやサービスに一括ログインできます。上記の例であれば、10種類のシステムを管理する場合でも、ひとつのIDとパスワードを入力するだけで、全てのID管理をまとめて行えます。システム単位でID管理作業を行う必要がなくなるため、管理負担を大きく軽減できます。
この仕組みを「シングルサインオン」と呼びます。シングルサインオンで具体的にどのようなことができるのかについて、詳細は後述します。
アカウント管理の自動化
例えば、新入社員のID情報をADサーバー(Windowsでユーザー認証やアクセス制御を行うためのサーバー)に登録すると、グループウェアや基幹システム、SFAなど社内ネットワークで連携されているシステムにも自動的にID情報が作成されます。
プロビジョニング機能を活用することで、複数のシステムに個別にIDを登録する必要がなくなるため、ID管理にかかる工数を削減可能です。導入しているシステムの数が多いほど、高い効果を発揮します。
シングルサインオン(SSO)でできること
セキュリティ強化
シングルサインオンなら、ログインに使用するIDとパスワードをセキュリティレベルの高いものに統一し、一元管理することが可能です。
ただし、シングルサインオンに使用しているIDやパスワードが流出してしまうと、他の全てのシステムやサービスにもログインできてしまうため、不正利用のリスクが高まる点はデメリットです。IDやパスワードを簡単に不正利用されないためにも、多要素認証を導入するなど、セキュリティを維持するための対策が求められます。
高い利便性
シングルサインオンの導入によって、IDやパスワードの一元管理が可能になり、複数のID情報を管理する必要がなくなるメリットが期待できます。これまでのID管理は、システムやサービスの数だけ個別にIDやパスワードを記録する必要がありましたが、シングルサインオンなら1ユーザーにつき1対のIDとパスワードを記録しておくだけで全てのシステムやサービスを網羅できます。
人事異動や組織改編が生じたときでも、全てのシステムやサービスのIDとパスワードが共通しているため、個別にID情報の新規追加や変更を行う必要はありません。ユーザー側にとっても、ログインの手間を軽減できるというメリットがあります。
従来のID管理システム(オンプレミス認証基盤)が抱える課題
サーバーのメンテナンスにはハードウェアやソフトウェアの豊富な知識やスキルが必要になるため、専門的な人材がいない小規模事業者などでは、運用が難しい側面もあります。
また、サーバー運用のための人件費や可用性を確保するための冗長化構成、頻繁なバージョンアップなど、コスト面の負担が大きい点も、オンプレミス認証基盤の課題です。
クラウド型統合認証基盤ソリューション「IDaaS」とは
従来のID管理システムが抱えていた課題を解消するためには、クラウド型統合認証基盤ソリューションの「IDaaS」を利用するのがおすすめです。
IDaaSは、クラウド上でID認証やID・パスワード管理、シングルサインオン、アクセス制御機能などの複数 のサービスを一括で管理できます。「Identity as a Service」の頭文字を取って「IDaaS」と呼ばれています。IDaaS自身もクラウド経由で提供されるサービスの一種であり、広義にはSaaSに含まれます。
しかし、IDaaSなら、社内システムに加えて、クラウドサービスのID管理も可能です。
IDaaSのメリット
またユーザ数で月額課金する方式が多く、ユーザ数が少ない企業にとっては、運用コスト含めてもIDaaSの方が安くなる可能性が高いのもコスト面のメリットです。
それに対しオンプレミスの認証基盤は、可用性を確保するための複雑な冗長構成と、頻繁なバージョンアップが必要なため、運用費もそれなりに高くつき、結果バージョンアップを後回しにして、レガシーシステムになる危険性も孕んでいます。IDaaSであればサービス利用なので、システムダウンに備えた冗長化などの対策を考慮する必要もありません。
市販のソフトウェアを導入してオンプレミス認証基盤を構築・運用する場合に比べて、大きくコストを削減できる可能性が高いでしょう。
利便性においては、管理者目線に立つと以下の点が挙げられます。
- IDaaS上で統合的にID管理できる
- IDライフサイクル自動化による作業軽減
- IDaaSの機能で、アカウントロック解除やパスワードリセットを、利用者自身にさせることが可能
さらに利用者目線ですと以下の点が望めます。
- 覚えるID/PWDが1組で済む
- SSOにより、ID/PWD入力、MFAの手間を省ける
加えて、多要素認証やFIDOなど、専門的な知識がなければ導入が難しい技術も、サービス提供側によって常に最新の状態に維持されるため、セキュリティレベルが高い状態で利用できます。またユーザデータやパスワードを1か所で管理することによる漏洩リスクの低下や、アプリごとに認証機能を実装せずに済むため、認証機能の実装ミスや脆弱性リスクが減少するでしょう。IDプロビジョニングの自動化で、権限の変更漏れによる不正アクセスを無くすことも期待でき、オンプレミスの認証基盤と比較して、SaaSのため可用性が高いこともメリットの一つです。
IDaaSのデメリット
また、サービス提供側が運用するシステムを、ログイン画面などのレイアウトを細かくカスタマイズすることはできません。レイアウトや機能を柔軟にカスタマイズしたいのであれば、オンプレミス認証基盤を構築し、自社で運用する必要があります。
最適なIDaaSの選び方
自社が求める機能が備わっているか
「ID管理が重要視される背景」でも紹介したように、近年ではリモートワークやBYODの活用が広がってきており、オフィス内だけでID管理を行うとは限りません。今後も働き方や社会情勢の変化によって、現場の運用が変わっていく可能性も考えられるため、世の中の流れを加味しながら、自社に必要な機能を見極めることが重要です。
セキュリティ対策は十分か
IDやパスワードによる認証だけでなく、1回限り発行される認証用のワンタイムパスワードや、スマートフォンに認証コードを送信するSMS認証、ICカードなどを併用する多要素認証が備わっているIDaaSがおすすめです。
サポート体制が整っているか
また、中には最適な運用体制を整備するために、コンサルティングや運用支援を依頼できる事業者もあります。自社に不足しているスキルがあれば、一部の運用支援を併用するのも選択肢のひとつです。
まとめ
エクサでは、多要素認証や生体認証など、安全性の高い認証方法に対応したIDaaSを提供しています。IDaaSの導入をご検討の際は、ぜひお問い合わせください。
関連する記事
関連ソリューション
関連事例
お問い合わせ