情報システムにおけるID(Identity/アイデンティティ)管理とは、厳密にいうとシステムアカウントと人事情報を紐付け、ユーザーごとの権限やライフサイクルを管理することを意味します。
一般に、情報システムにおけるID管理の役割は正しいユーザーを「認証」し、業務に必要な機能と情報を正しく利用してもらうために「認可」することです。認証と認可はセットで実施するのが一般的なのでその意味が混同されがちですが、次のような違いがあります。
- 認証:情報システムへのアクセスが許可されているユーザーかどうかを確認する
- 認可:業務に必要な情報システムに適切な権限でアクセス可能な状態にする
本記事でご紹介するのは、認証と認可を実行して組織内のIDを統合的に管理するための「ID管理システム」についてです。ID管理システムとは何なのか?その役割や機能について解説します。
ID管理システムとは?
皆さんの会社では、社員一人当たり平均してどれくらいの情報システムを扱っているでしょうか?従業員の多くは複数のシステムを使いこなしながら日々の業務を遂行していることでしょう。細かなアプリケーションや最近ではクラウドサービスなどを含めると、さらに膨大になるはずです。
この状況から言えることは、企業として管理すべきIDがいくつもの情報システムに分散されているということです。そして、多くの従業員において「システムごとにログイン作業をするのは面倒…」「たくさんのパスワードを覚えきれない」など不満を抱いていることも確かでしょう。中には、情報システム担当者はIDに関する鳴り止まない問い合わせに頭を抱えています。
日常的なID管理の問題を解消する目的で導入されるのがID管理システムです。組織内の至るところに分散しているIDを一元的に管理できれば、日々の業務効率を向上させることもできますし、情報システム担当者としても適切な権限をユーザーに与えやすくなります。
なぜID管理システムが必要なのか?
では、なぜ多くの企業にとって多くのID管理システムが必要になるのか、その役割を具体的にご紹介します。
IDが分散していると業務効率は下がるしセキュリティも脆弱になる
情報システムごとにIDが分散していると、ユーザーはシステムごとにログインを求められます。ログイン作業などごく短時間なものと思われるかもしれませんが、これが結構な手間でありちょっとしたストレスなので、仕事へのパフォーマンスを低下させる原因になります。さらに、複雑なIDをいくつも管理しなければいけない社員は、ID情報をメモ書きしてデスクに置きっぱなしにしていることも多いためセキュリティは脆弱になります。
この問題に対してID管理システムは「SSO(Single Sign On/シングル・サイン・オン)」で対応し、一度の認証で利用する全ての情報システムへの認可を実行します。そうすれば業務効率は維持できますし、複雑なパスワードをいくつも覚えておく必要がないのでセキュリティ性も維持・向上できます。
情報システム担当者の負担が増し積極的なIT投資が難しくなる
最近はアプリケーションの作りなどで減ってきていますが、情報システムごとにIDが分散しているということは、それに関する問い合わせが情報システム担当者のもとへひっきりなしに届くことを意味しています。特に長期休暇明けやたまにしか使わないアプリケーションの場合にはパスワードを忘れているケースが多く、パスワード変更に関する問い合わせ対応だけで1日追い回されるなんてことも昔はありました。これでは情報システム担当者の生産性が下がり、戦略的な情報システムの構築を阻害します。ID管理システムは組織全体のID管理を簡素化してくれる機能を提供するので、情報システム担当者の負担を大幅に軽減しながら、運用効率化によってよりセキュリティ性の高い情報システム運用が可能です。
複数のクラウドサービスで簡単なパスワードを使い回しサイバー攻撃のリスクが高まっている
最近では業務上で複数のクラウドサービスを利用することが多くなっています。インターネット経由で利用できることから、利用する場所と端末を選ばないクラウドサービスは大変便利な機能ですが、オープンなネットワーク環境下で利用するサービスなので第三者によるIDの乗っ取りが心配なところです。
複雑なパスワードを設定するだけでセキュリティ性は大幅にアップするものの、多くのユーザーが簡易的なパスワードを複数のクラウドサービスで使い回すことによってサイバー攻撃のリスクが高まっています。一般的にセキュリティの強度は脆弱なシステムに合わさるのです。つまりパスワードを使いまわしている場合、脆弱なサービスから情報が漏れ、他のサービスでのなりすましや情報搾取などが横行するのです。
ID管理システムにはどんな製品があるのか?
ID管理システムとして代表的なのがマイクロソフトの「Active Directory(アクティブ・ダイレクトリ)」です。正確には製品ではなく、Windows Serverに標準搭載されているディレクトリ・サービスと呼ばれる機能です。
Active Directoryはネットワークに接続されている各種機器が所持している情報を統合的に管理するための機能であり、設定することでシステム管理担当者はクライアントの状態やそこに管理されている情報を一元化できます。以下に、主な特徴をご紹介します。
ID及びパスワードの管理
ID管理システムの役割を果たす部分です。それまで複数のサーバーで管理されていたIDとパスワードを一元的に管理でき、ユーザーはシステムごとにIDとパスワードを個別に管理する必要がなくなります。さらに、一つのシステムにログインすることでActive Directoryを通じてその他のシステムにもログインされるSSO機能の実装も可能です。
メディア利用の管理設定
USBメモリのように情報の持ち歩きが可能なメディアに関しては、利用を制限しない限り情報が不正に持ち出されるリスクがあります。それが単純な業務目的であっても、外出先でUSBメモリを紛失したとあれば大問題です。そこでActive Directoryでは、Windowsのグループポリシー機能と合わせることで読み取りアクセス権の拒否や実行アクセス権の拒否、書き込みアクセス権の拒否などが行えるようになっています。
アクセス権限の管理設定
Active Directoryでは組織全体のユーザーのアクセス権限を管理し、ユーザーごとにアクセス可能な情報を柔軟に設定できます。権限が付与されているユーザーはActive Directoryの認証をパスすることで、重要な情報やサーバーへアクセスすることができます。
ソフトウェアの管理設定
Active Directoryはクライアントに対して必要なソフトウェアを遠隔で自動インストールしたり、Windowsアップデートにより自動更新の管理設定ができたりするため、システム管理担当者の対応負担は大きく軽減します。
こうした多彩な機能によって、Active DirectoryはID管理システムとしてだけでなく、様々な役割は果たしてくれます。
Microsoft Azureとは何か?入門から応用まで徹底解説
ID管理システム導入の検討を
上記ではご紹介しませんでしたが、マイクロソフトでは、SaaS等のクラウドサービスを利用するアカウントを管理するための「Azure Active Directory」も提供しています。
いかがでしょうか?分散化したID管理によってセキュリティリスクが心配な経営者やセキュリティ担当者、ユーザーからひっきりなしに飛び込んでくるIDに関する問い合わせに辟易としている情報システム担当者、そして複数の情報システムに度々ログインしなければいけない手間にストレスを感じる従業員。こうした悩みを抱える人々が多いような企業では、ぜひID管理システムの導入をご検討ください。
