さまざまなシステムやサービスでユーザIDは利用されています。ユーザIDは単なるログイン情報にとどまらず、個人情報まで含むものも多いため、しっかりとしたユーザID管理が必要です。
この記事では、具体的に次の内容について解説しています。
- ユーザID管理の概要
- 各サービスにおけるユーザIDのあり方
- 管理に用いられる手法やテクノロジー
- 関連する法律・サイバー攻撃への対策方法
- ユーザID管理を行う上での考慮点やステップ
ユーザID管理における最低限の知識を身に付けたい方向けの記事ですので、一つずつ見ていきましょう。
ユーザID管理とは
ざっくりとユーザID管理についてまとめると、システム・サービスを利用するユーザのIDとパスワードを管理することです。企業におけるユーザIDと管理の主な目的としては、セキュリティ対策やITガバナンスの向上、コンプライアンスなどが挙げられます。
ユーザID管理の役割には、次の2つの役割があります。
| 役割 | 対象 | |
|---|---|---|
| 認証 | ITシステムへのアクセスが許可されている本人か確認する | 人、「誰」に対するものか |
| 認可 | 業務に必要なITシステムや情報に適切な権限でアクセス可能な状態にする | システム、「何」に対するものか |
たとえば、システムXに対するAさんのアクセスを「認可」し、Aさんがアクセスしていることを「認証」する、というイメージを持つとわかりやすいのではないでしょうか。
認証と認可は同じタイミングで行われることが多く混同しがちです。しかし、ユーザID管理を適切に行うためには、両者の違いをしっかりと理解しなければなりません。
各サービスにおけるユーザIDのあり方
ユーザID管理はさまざまなシステムやサービスで行われていますが、ここではBtoCとBtoBでの役割の違いを見ていきましょう。
BtoCにおけるユーザID管理
BtoCでは対象となるユーザがCustomer(一般客)となり、その数は非常に多くなることが予想されます。ユーザ登録だけして非アクティブとなるユーザも少なくありません。BtoCにおけるユーザID管理では、長期間非アクティブのユーザIDは登録を削除するなどしてリソースを確保することも必要です。そのため、ユーザのアクティブ・非アクティブに関する情報もあわせて管理する必要があるといえるでしょう。
また、近年ではSNSが非常に発達しており、多くのユーザがSNSを利用しているもの。そのため、SNSのユーザIDを用いた「ソーシャルログイン」に対応することが多いものです
BtoBにおけるユーザID管理
BtoBでは法人・企業が対象ユーザとなり、社内システムのユーザID管理も該当すると考えてよいでしょう。クラウドサービスを含めたIDの一元化とシングルサインオン(SSO)、セキュリティ対策を重点的に対応します。
ユーザは多数のシステム・サービスを利用するため、ID管理が煩雑になりやすいからです。また、セキュリティ対策においてはもちろんBtoCの場合も重要ですが、BtoBにおいては顧客リストや社外秘の情報も取り扱うため、より重点的に管理する必要があります。
DXの実現を強固にするサイロ化されない顧客データ基盤とは?
この記事では、データのサイロ化問題の概要や、もたらされる悪影響について解説します。その上で、その解決策となるシステムについても紹介するので参考にして下さい。
ユーザID管理に用いられる手法やテクノロジー、利用できる外部サービス
ユーザID管理では、具体的にどのような手法やテクノロジーが用いられているのでしょうか。代表的な手法やテクノロジーとあわせて、ユーザID管理で利用できる外部サービスについても紹介します。
用いられる手法やテクノロジー
近年のユーザID管理では、システム・サービスごとに一意のユーザIDを管理する手法は古い手法といえるでしょう。先ほども軽く触れましたが、ユーザIDの一元化やSSO、ソーシャルログインといった手法が用いられています。
ユーザIDの一元化は、複数のシステム・サービスで同じユーザIDを利用できるもの。また、SSOは一元化の延長線上にあり、一元化されたシステムの一つにログインすることで、その他のシステムにも自動的にログインできる技術です。
ソーシャルログインはSNSのアカウントを利用して、別途ユーザ登録を行わずにユーザIDを管理するための技術となります。新規にユーザ情報を入力する手間を省けるため、新規会員が獲得しやすいなどのメリットがあります。
外部サービスの一例
近年では、クラウドサービスを中心に外部サービスとの連携によってユーザID管理が可能です。ユーザID管理を提供するクラウドサービスは「IDaaS」と呼ばれ、クラウドファースト時代において非常に注目されています。IDaaSを利用することで、先に述べたSSOやソーシャルログインが簡単に利用できます。
クラウドサービスとしては、Amazonの「AWS」やMicrosoftの「Azure」が有名です。AWSでは「Amazon Cognito」、Azureでは「Azure Active Directory B2C」などのサービスが提供されています。
国内でもWindowsのユーザ管理サービスである「Active Directory」を利用した特権ID管理ソリューションが提供されており、管理の種別を把握して適切なサービスを選ぶことが重要です。
改正個人情報保護法やGDPR、サイバー攻撃など外部要因による対策
ユーザID管理では、法律やサイバー攻撃などの外部要因による対策も考慮しなければなりません。
改正個人情報保護法、GDPRとは?
改正個人情報保護法は、2020年6月12日に公布された個人情報の保護に関する法律です。企業がインターネットの閲覧履歴が分かるクッキー(Cookie)などを個人情報にひも付ける場合、本人の同意を求める新たなルールなどを設けたものです。
GDPRはEU一般データ保護規則と呼ばれるもので、EUにおける個人データの保護に関する法律となっています。こちらは2018年5月25日から施行されていますが、改正個人情報保護法とGDPRは、ともにユーザのプライバシーを守るための法律です。
インターネットの発達によってSNSが台頭し、その他のさまざまなサービスもユーザが複数利用する機会が増えてきました。その影響により、インターネット上で個人情報を入力する機会の増加や、サービス上でのユーザ情報の収集が盛んに行われることになり、個人のプライバシーが重要視され始めているのです。
ユーザID管理の観点では、システム・サービス上でしっかりとユーザの同意を得る仕組みづくりが対策として必要となります。
参考:「『個人情報の保護に関する法律等の一部を改正する法律』の交付について(個人情報保護委員会)」
サイバー攻撃への対策とその必要性
特にインターネット上に公開しているシステムやサービスでは、サイバー攻撃に対するセキュリティ対策が欠かせません。ユーザID管理ではユーザのIDやパスワードだけでなく、住所やクレジットカード番号なども含めた個人情報も管理しているからです。
また、ユーザが企業の場合は、ユーザIDの乗っ取りによって社外秘の情報や機密情報を盗まれる可能性も考えられます。
ユーザID管理は主にデータベースを用いて行われますが、サイバー攻撃はWebシステムからのアクセスによってデータベースに不正アクセスするものも。Webシステムを守るための対策として、WAF(Web Application Firewall)やIDS/IPSといったセキュリティソリューションの導入が必要となります。
ユーザID管理を行う上での考慮点やステップ
最後に、ユーザID管理を行う上での考慮点と、管理のステップを簡単に紹介しますので、一つずつ見ていきましょう。
管理を行う上での考慮点
ユーザID管理を行う上での考慮点としては、「必要最小限のユーザ・権限を付与すること」が挙げられます。なぜなら、ユーザ数が増えるほど管理は難しくなるからです。また、必要以上にユーザに対して権限を付与してしまうと、想定外の行動によって問題が発生することも考えられます。
たとえば、一般社員ユーザに会社の機密資料を取り扱うシステムに関する全権限を与えてしまい、誤って機密資料を削除してしまった、などの問題が考えられるのです。ユーザID管理では、「誰」に「何」の「どのくらいの権限を与えるのか」をしっかりと決めて運用する必要があります。
ユーザID管理のステップ
ユーザID管理のステップとしては、はじめにユーザIDのライフサイクルを洗い出すことからはじめます。一般的には人事イベントと関連付けて整理するとよいでしょう。
たとえば、入社時に社内システムに対する認可と認証を行い、人事異動の際には認可情報を更新します。また、退社時にはユーザIDの利用停止・削除を行うといった形です。
社内システムだけでなく、BtoCのユーザID管理においても「人の動き」に注目してライフサイクルを洗い出しましょう。
「ユーザID管理ポリシー」などを事前に策定し、ポリシーに基づいたユーザID管理の実施をおすすめします。
