ITセキュリティ女子のブログ

  • ID管理
2018.08.13

ID管理は苦労がいっぱい ~ID棚卸編~

ID管理は苦労がいっぱい ~ID棚卸編~

皆さんこんにちは。アシストの長谷川まりです。
人事異動の時期を中心に、「ID棚卸」の苦労についてお客様から伺います。ID棚卸は、システムにおけるID管理工程の1つで、セキュリティ対策上欠かせない作業ですが、実際にはどんな作業なのでしょう。


ID管理におけるID棚卸とは

ID棚卸とは、退職者のユーザーIDや利用が終了したテストIDなど、本来システムに残っていてはいけないIDがないか、不適切な権限を持ったIDがないかを源泉となる情報と比較して確認する、システムのID管理における最も基本的な工程です。

多くの場合、ID棚卸は、IDの不正利用の防止や監査対応を目的に、年度末に1回ないしは、上期下期のタイミングで年2回程度、2~3週間かけて実施されているようです。ただ、中には半年もかかったというお客様もいて、対象サーバがざっと1,500台、担当の方は3~4名専属で作業していたそうで、なんとも大変な作業だったかと思います。

ID棚卸の作業工程

では、ID棚卸の作業工程とはどんなものなのでしょう。ざっと以下の2ステップに分けられます。

ID棚卸の作業工程

<ステップ1>IDを収集する


まずは各システムに登録されているID情報を、それぞれエクスポートします。具体的にはこのような作業を行うことになります。

Active Directoryの登録ユーザー csvdeコマンドを使って、CSV形式でユーザー情報をシステムからエクスポート
Oracle Databaseの登録ユーザー SQLを発行してユーザー情報を取得
WindowsOSユーザー 管理画面やコマンドでIDを取得、詳細情報も取得する場合はWindowsAPIを使ってプログラムを作成

対象システムによってID情報を抜き出す方法が異なるため、ひとつずつ実行しなければならなくなります。

<ステップ2>IDを源泉情報と突合しながら変更リストを作成する


続いて、各システムから集めたID情報を、ユーザーの源泉情報などと突合して、「変更リスト」を作成します。あるべき姿と現状を比較しながら、変更すべきIDを抜き出す作業です。

ユーザーの源泉情報となるのは、主に人事情報ですが、その人が現在、在籍しているのかどうか、権限は不適切ではないか、○×などでリスト化します。Excelのマクロを組んで行うケースも多くあるようですので、得意な人がいれば、助かりますね。


さて、これらの<ステップ1>と<ステップ2>の作業ですが、実際には、各部署の協力を仰ぐ形で行われる企業が多いようです。各システムを運用する担当者が、対象システムのID情報を部署毎の一覧にして配布し、各部署に不要なID情報がないかを確認して、結果を戻してもらうというやり方です。ただ、これでは各部署に負担をかけてしまうし、時間もかかってしまうので、源泉と差異があるID情報だけを配布できたら効率的なのにな、というお話もよくいただきます。

ID棚卸をソフトウェアで自動化するメリット


そこで、この<ステップ1>と<ステップ2>を自動化できるソフトウェアとして、アシストでは「ID棚卸キット」をお奨めしています。

各部署の協力を仰ぎ、不要なIDを確認してもらうとしても、源泉と差異のあるID情報を「ID棚卸キット」で一覧にしてから配布できたら、各部署の確認の負荷も大分減らせそうですね!

また、自動化のメリットは、工数削減だけではありません。まず、人手によるミスを防げることでセキュリティリスクの削減に貢献できますし、工数削減ができることで、長期的なID棚卸の実施スケジュールが立てやすくなります。結果、監査対応にも自信を持って備えられます。

なお、このID棚卸という工程は、ID管理ソフトウェアを導入すれば自動化できると思われがちです。が、実はID管理ソフトウェアは、システム間でのIDの変更を一括管理できても、源泉となる情報との突合が出来ない場合が多くありますので、注意が必要です。

まとめ

ID棚卸は工数のかかる大変な作業です。ミスから思わぬセキュリティ事故に繋がる危険もあるので、ソフトウェアで作業を自動化するメリットを是非検討ください。


どのように自動化できるのか、下記の動画でわかりやすく解説しています。

ID棚卸作業を自動化する「ID棚卸キット」のご紹介:概要編(Youtube、3分56秒)


●ID棚卸キットの使い方をもっと見る(オンデマンドウェビナー)

ID棚卸キットが実際にどのように使われるのか、もっと詳しく知りたい方に、代表的な4つの利用シーンをご紹介します。「ウェビナーで見る」ボタンよりお申込フォームにご入力頂くと、折り返しすぐに4つの視聴URLが届きます。お気軽にご利用ください。

「ID棚卸キットの利用シーン」(全て視聴いただけます)

1.ID棚卸キットで長期間使用されていないIDを調査する(5分11秒)
2.ID棚卸キットで退職者のIDが残っていないか確認する(5分45秒)  
3.ID棚卸キットで特権IDの棚卸をする(4分45秒)
4.ID棚卸キットで権限(所属グループ)をチェックする(5分44秒)

ID棚卸キットが課題をシンプルに解決できることを、是非ご確認ください。


長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • 認証
  • ID管理
2021.02.09

IDaaSとは?(3)Active Directoryからの移行ロードマップ

さてIDaaSへ移行するとして、既存のActive Direcoryの扱いはどうしたら良いのでしょう?IDaaSへの移行ロードマップについて、押さえておきたいポイントを踏まえながらご紹介します。

  • 認証
  • ID管理
2021.01.20

SAMLとは?SAML認証の流れをRPG風に解説

シングルサインオンを実装する仕組みの1つであるSAML(サムル)。このSAMLを使った基本的なシングルサインオンの流れが楽しくイメージできるよう、RPG風のストーリーに仕立ててみました。

  • 認証
  • ID管理
2021.01.05

IDaaSとは?(2)IDaaSで何ができるの?

IDaaSは、オンプレミス縮小とクラウドシフトの渦中において、ITリソース利用時に快適で安全な本人確認の手段を提供する「認証基盤」です。具体的にどんな機能があって、どんな期待効果があるのかを解説します。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

ページの先頭へ戻る