社内システムに不可欠なアカウント管理業務は、実はIT部署にとって大きな負担となっています。人事に合わせるアカウント管理は流動的で、常に最適な状態を保つことが難しくなっているのです。
この記事では、アカウント管理を行う目的や効率化するツールについて解説します。
アカウント管理とは
社内システムは誰もが使えるものではなく、アカウントごとに付与されたIDやパスワードを入力する必要があります。当然ながら適当なアカウントではログインできず、事前にログインアカウントのIDやパスワードを設定することで認証されます。
アカウント名によってアクセスできる範囲も異なり、「Aさんはシステムの閲覧権限のみ、Bさんはシステムのプログラム実行権も与える」といったコントロールを行っています。
このようにアカウントを作ったり権限を管理したりすることを総称して、「アカウント管理」といいます。
アカウント管理業務は想像以上に煩雑である
システム管理者は、煩雑な従業員のアカウント管理と日々闘っています。正規社員に限らず派遣社員やアルバイトの入れ替わり、休職や退職など人事情報は日々変わるため、従業員が多いほど更新業務に多くの時間を割いています。
一般的にアカウント管理業務の専任者はおらず、IT部署の管理者が他業務と兼任しています。さらに新しいシステムを導入したり会社の組織改革があったりすれば、管理者の負担は決して軽いものではありません。管理者を増やしたり時間を多く割いたりと、多大な運用コストがかかっているのです。
DXの実現を強固にするサイロ化されない顧客データ基盤とは?
この記事では、データのサイロ化問題の概要や、もたらされる悪影響について解説します。その上で、その解決策となるシステムについても紹介するので参考にして下さい。
企業がアカウント管理を行う目的
一体なぜ企業はアカウント管理をするのでしょうか。主な目的は以下の2つです。
- セキュリティ対策
- コンプライアンス強化
アカウント管理が適切に行われていないと、社内の機密情報を持ち出されてしまい、知的財産や顧客情報の流出リスクにつながります。
外部攻撃で多いのが「なりすまし」です。在職中で毎日定期的に使われるアカウントなら、なりすましによる不審な行動に気づきやすいでしょう。しかし退職者や休職者のアカウントが悪用されると気づきにくく、最悪の場合気づかないままになることもあるのです。
また、全員にフルコントロールでアクセス権限を与えると、重要な基幹システムの設定を変えたり機密データが漏洩したりといったトラブルにつながり、内部統制がとれません。
過去には証券会社の元社員や大手通信教育企業の元派遣社員が顧客情報を名簿業者に販売していたことがわかり、大きな問題となりました。いずれも数百万、数千万といった単位で顧客情報が持ち出されており、企業が受けた損失は計り知れません。
ここで問題なのは、離職した従業員のアカウントが機密情報にアクセスできてしまった点です。アカウントが利用可能だったことに加え、顧客情報という機密性の高い情報へアクセスできてしまった点が“ずさんな管理”だとして批判の声も上がりました。
安全に社内システムを運用するためには、管理者が従業員一人一人の業務裁量に合わせ、最適なアクセス権限を付与する必要があるのです。アクセス管理を行うことは、外部攻撃や人為的なミスといった脅威から企業を守ることといえます。
アカウント管理は主に2種類ある
企業で行っているアカウント管理は、主に2つの意味があります。
認証
認証はログインする相手を確認して許可することです。事前にアクセスを許可するアカウントを登録することで、利用者はシステムにアクセスできます。
アカウント認証はいわばビルの入館証のようなもので、利用者は入館証(ID)を使うことでビル(システム)に入ることができます。この入館証ともいえるアカウントは、利用者が休職したり退職したりすればもちろん利用を停止する必要があります。
承認
アカウント管理というと認証が意識されがちですが、もう1つ「承認」という大事なポイントがあります。承認では、認証によってログインしたアカウントに対してどのリソースにアクセスできるか、その範囲を決めて権限を与えます。
システムを閲覧のみにしたり編集したりといった管理をすることで、操作ミスなどのトラブルを防ぐ効果があります。ユーザーに必要以上の権限を与えてしまわないように管理しなくてはいけません。
従業員の属性は異動や休職など流動的であり、そのたびに適切なライフサイクルを維持することはIT部署にとって多大な負担となります。そこで今注目されているのが、アカウント管理を効率化するシングルサインオン(SSO)という仕組みです。
アカウント管理を効率化する「シングルサインオン(SSO)」とは
シングルサインオンとは、1つのIDパスワードのみで複数のシステムにログインできる仕組みを指します。SSOにはエージェント方式、リバースプロキシ方式、代理認証方式、透過型方式などがありますが、今最も人気があるのは「フェデレーション方式」と呼ばれるものです。
フェデレーション方式はクラウドサービスで特に人気があり、海外の一般的なクラウドサービスがよく採用しています。
フェデレーションはプロバイダとサービスの間で「チケット」という情報を受け渡すことでSSOを実現します。最初のログインでIDやパスワードを入力するとこのチケットが発行され、それ以降はチケットがIDパスワードの代わりとなります。つまり、初回以降ログインにIDやパスワードは必要ありません。
フェデレーション方式に対応しているサービスなら実装も簡単です。しかしWebシステムが非対応の場合は、Webサーバーの改修が必要となります。国内のクラウドサービスは非対応のものが多いのがデメリットですが、今はフェデレーション方式の標準化が進んでいます。近い将来、国内の多くのクラウドサービスもフェデレーションに対応するでしょう。
またSSOツールを人事管理機能と組み合わせることで、人事異動の際もスムーズにアカウント管理ができます。従業員がアカウントのパスワードを忘れた際も管理者に問い合わせず、自己解決(セルフメンテナンス)が可能です。より業務を効率化でき、IT部署に偏っていたアクセス管理の負担を分散することにつながります。
