ITセキュリティ女子のブログ

ITセキュリティ女子のブログ>ID管理は苦労がいっぱい ~ID棚卸編~

  • ID管理
2018.08.13

ID管理は苦労がいっぱい ~ID棚卸編~

ID管理は苦労がいっぱい ~ID棚卸編~

皆さんこんにちは。アシストの長谷川まりです。
人事異動の時期を中心に、「ID棚卸」の苦労についてお客様から伺います。ID棚卸は、システムにおけるID管理工程の1つで、セキュリティ対策上欠かせない作業ですが、実際にはどんな作業なのでしょう。


ID管理におけるID棚卸とは

ID棚卸とは、退職者のユーザーIDや利用が終了したテストIDなど、本来システムに残っていてはいけないIDがないか、不適切な権限を持ったIDがないかを源泉となる情報と比較して確認する、システムのID管理における最も基本的な工程です。

多くの場合、ID棚卸は、IDの不正利用の防止や監査対応を目的に、年度末に1回ないしは、上期下期のタイミングで年2回程度、2~3週間かけて実施されているようです。ただ、中には半年もかかったというお客様もいて、対象サーバがざっと1,500台、担当の方は3~4名専属で作業していたそうで、なんとも大変な作業だったかと思います。

ID棚卸の作業工程

では、ID棚卸の作業工程とはどんなものなのでしょう。ざっと以下の2ステップに分けられます。

ID棚卸の作業工程

<ステップ1>IDを収集する


まずは各システムに登録されているID情報を、それぞれエクスポートします。具体的にはこのような作業を行うことになります。

Active Directoryの登録ユーザー csvdeコマンドを使って、CSV形式でユーザー情報をシステムからエクスポート
Oracle Databaseの登録ユーザー SQLを発行してユーザー情報を取得
WindowsOSユーザー 管理画面やコマンドでIDを取得、詳細情報も取得する場合はWindowsAPIを使ってプログラムを作成

対象システムによってID情報を抜き出す方法が異なるため、ひとつずつ実行しなければならなくなります。

<ステップ2>IDを源泉情報と突合しながら変更リストを作成する


続いて、各システムから集めたID情報を、ユーザーの源泉情報などと突合して、「変更リスト」を作成します。あるべき姿と現状を比較しながら、変更すべきIDを抜き出す作業です。

ユーザーの源泉情報となるのは、主に人事情報ですが、その人が現在、在籍しているのかどうか、権限は不適切ではないか、○×などでリスト化します。Excelのマクロを組んで行うケースも多くあるようですので、得意な人がいれば、助かりますね。


さて、これらの<ステップ1>と<ステップ2>の作業ですが、実際には、各部署の協力を仰ぐ形で行われる企業が多いようです。各システムを運用する担当者が、対象システムのID情報を部署毎の一覧にして配布し、各部署に不要なID情報がないかを確認して、結果を戻してもらうというやり方です。ただ、これでは各部署に負担をかけてしまうし、時間もかかってしまうので、源泉と差異があるID情報だけを配布できたら効率的なのにな、というお話もよくいただきます。

ID棚卸をソフトウェアで自動化するメリット


そこで、この<ステップ1>と<ステップ2>を自動化できるソフトウェアとして、アシストでは「ID棚卸キット」をお奨めしています。

各部署の協力を仰ぎ、不要なIDを確認してもらうとしても、源泉と差異のあるID情報を「ID棚卸キット」で一覧にしてから配布できたら、各部署の確認の負荷も大分減らせそうですね!

また、自動化のメリットは、工数削減だけではありません。まず、人手によるミスを防げることでセキュリティリスクの削減に貢献できますし、工数削減ができることで、長期的なID棚卸の実施スケジュールが立てやすくなります。結果、監査対応にも自信を持って備えられます。

なお、このID棚卸という工程は、ID管理ソフトウェアを導入すれば自動化できると思われがちです。が、実はID管理ソフトウェアは、システム間でのIDの変更を一括管理できても、源泉となる情報との突合が出来ない場合が多くありますので、注意が必要です。

まとめ

ID棚卸は工数のかかる大変な作業です。ミスから思わぬセキュリティ事故に繋がる危険もあるので、ソフトウェアで作業を自動化するメリットを是非検討ください。




長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • ID管理
2018.10.15

クラウドと業務自動化で、特権ID管理が変わる?

特権ID管理はセキュリティ対策上、重要視されています。クラウド環境の普及や業務自動化といったIT環境の変化の中で、それぞれの特権IDのリスクをおさらいしながら、これからの特権ID管理のベストな形をご紹介します。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。


長谷川ひとは
クライアント仮想化製品を担当。勉強熱心で、分からないことはすぐ聞いてしまう。

ページの先頭へ戻る