ID管理は苦労がいっぱい　～ID棚卸編～

皆さんこんにちは。アシストの長谷川まりです。
人事異動の時期を中心に、「ID棚卸」の苦労についてお客様から伺います。ID棚卸は、システムにおけるID管理工程の1つで、セキュリティ対策上欠かせない作業ですが、実際にはどんな作業なのでしょう。

ID棚卸とは、退職者のユーザーIDや利用が終了したテストIDなど、本来システムに残っていてはいけないIDがないか、不適切な権限を持ったIDがないかを源泉となる情報と比較して確認する、システムのID管理における最も基本的な工程です。

多くの場合、ID棚卸は、IDの不正利用の防止や監査対応を目的に、年度末に1回ないしは、上期下期のタイミングで年2回程度、2～3週間かけて実施されているようです。ただ、中には半年もかかったというお客様もいて、対象サーバがざっと1,500台、担当の方は3～4名専属で作業していたそうで、なんとも大変な作業だったかと思います。

では、ID棚卸の作業工程とはどんなものなのでしょう。ざっと以下の2ステップに分けられます。

まずは各システムに登録されているID情報を、それぞれエクスポートします。具体的にはこのような作業を行うことになります。

対象システムによってID情報を抜き出す方法が異なるため、ひとつずつ実行しなければならなくなります。

続いて、各システムから集めたID情報を、ユーザーの源泉情報などと突合して、「変更リスト」を作成します。あるべき姿と現状を比較しながら、変更すべきIDを抜き出す作業です。

ユーザーの源泉情報となるのは、主に人事情報ですが、その人が現在、在籍しているのかどうか、権限は不適切ではないか、○×などでリスト化します。Excelのマクロを組んで行うケースも多くあるようですので、得意な人がいれば、助かりますね。

さて、これらの＜ステップ1＞と＜ステップ2＞の作業ですが、実際には、各部署の協力を仰ぐ形で行われる企業が多いようです。各システムを運用する担当者が、対象システムのID情報を部署毎の一覧にして配布し、各部署に不要なID情報がないかを確認して、結果を戻してもらうというやり方です。ただ、これでは各部署に負担をかけてしまうし、時間もかかってしまうので、源泉と差異があるID情報だけを配布できたら効率的なのにな、というお話もよくいただきます。

また、自動化のメリットは、工数削減だけではありません。まず、人手によるミスを防げることでセキュリティリスクの削減に貢献できますし、工数削減ができることで、長期的なID棚卸の実施スケジュールが立てやすくなります。結果、監査対応にも自信を持って備えられます。

なお、このID棚卸という工程は、ID管理ソフトウェアを導入すれば自動化できると思われがちです。が、実はID管理ソフトウェアは、システム間でのIDの変更を一括管理できても、源泉となる情報との突合が出来ない場合が多くありますので、注意が必要です。

ID棚卸は工数のかかる大変な作業です。ミスから思わぬセキュリティ事故に繋がる危険もあるので、ソフトウェアで作業を自動化するメリットを是非検討ください。