ID管理

内部統制で顕在化したID管理の問題点

　日本版SOX法（金融商品取引法）に代表される内部統制およびコンプライアンス（法令順守）の強化を背景に、企業では多くの業務が依存する情報システムの統制（IT統制）が急務の課題となっています。適正なIT統制を行うためには、システムの不正利用を排除し、個人情報や企業情報への厳密なアクセス管理を行うことが重要であり、利用者の本人認証とアクセス管理のもととなるID情報の維持・管理を徹底しなければなりません。しかし日本より先行してSOX法が施行された米国では、多くの企業で「ユーザーを特定できない」「権限付与が不適切」「ユーザー情報（アカウント）の更新不備」といったID管理の問題点が指摘され、抜本的な改善を余儀なくされました。

　そもそも企業におけるID管理は、提示されたIDと提示したユーザーとを正しく対応づける「認証」、IDとシステムリソース・権限を正しく対応づける「認可（アクセス制御）」の二本柱によって構成されていました。しかしIT活用の進展によって業務システムが増加していく中、ユーザーはシステムごとに複数のID/パスワードを管理しなければならず、管理者も人事異動や退職によるユーザー情報（所属、役職、雇用区分など）の変更を反映するための作業負荷が増してきました。その結果、ID/パスワードのずさんな管理や、ユーザー属性情報の修正漏れなどが、不正アクセスに代表されるセキュリティ低下を招く一因になっていったのです。

IDのライフサイクル管理を徹底するID管理

　こうした問題を解決するため、いま多くの企業が「ID管理」に注目しています。これは「IDのライフサイクル管理」とも言えるもので、ユーザー情報の登録・変更・失効などの更新を、複数のシステムに対して自動的に反映するプロビジョニング機能を持つ製品によって実現できます。ユーザー情報を一元管理することで、ユーザーや管理者の負荷を抑えながら、セキュリティと利便性を両立し、ビジネスの変化に対するIT環境の柔軟な対応を可能にしていくのです。

　内部統制を推進するには、「だれが、いつ、どのような作業を行い、どのような結果になったのか」を、必要に応じて管理・記録・分析する仕掛けが必要となりますが、ID管理はその重要な基盤となり、管理の厳密化と監査の容易性を両立させることができるのです。

日立のノウハウを体系化した「Secureplaza/IM」

　日立では早くから、グループ従業員約31万人を対象に、ユーザー情報を一元管理するディレクトリ基盤と認証・認可基盤の整備を進め、各種業務システムや個人ポータルなどの業務アプリケーションにシングルサインオンできる「日立グループ認証基盤」を構築してきました。その実運用から得たノウハウをベースに、「認証」「認可」「ID管理」の仕組みをトータルに体系化したのが「Secureplaza/IM（Identity Management）」です。Secureplaza/IMでは、ICカードやミューチップ、指静脈認証などを適用したユーザー認証システムから、シングルサインオンによる本人認証、入社から退職までのIDライフサイクルに基づいたID管理を実現する「SR-Account」、サイバーセキュリティとフィジカルセキュリティを統合管理するID管理プラットフォーム「HitＳofia」など、ID管理にかかわる製品やソリューションをワンストップで提供しています。

　また、これらの製品やソリューションの導入にあたっては、幅広い業務領域におけるID管理の専門家とSEが、お客さまの業務要件に最適なID管理システムのコンサルティングから要件定義、設計、構築、運用までをトータルにサポートします。

ID管理からセキュアオフィスソリューションへ

　これからのビジネスでは、従来のアクセス制御・暗号化などを中心としたサイバーセキュリティのみならず、入退室管理システムやセキュアプリントシステム、物品管理など、フィジカルセキュリティまでカバーしたトータルなセキュリティ対策が必要です。

　日立は、ID管理をはじめとして、サイバーセキュリティとフィジカルセキュリティを統合管理することより、セキュアオフィスソリューションを提供し、セキュアオフィスの実現に寄与していきます。

*

2008年9月「はいたっく」掲載

• ページの先頭へ