テレワークの推進で拡大したSaaS利用と増えたID。棚卸はどうする？

この1年でテレワークの普及が一気に進み、業務をオンライン上で効率的に進めるために多くの企業が名刺管理ツールやオンライン会議ツール、社内連絡ツールといったSaaSを取り入れ始めています。
コミュニケーションの多くはチャット上でのやり取りとなり、会議もWeb会議ツールを利用した画面上でのやり取りへと変化しました。

SaaS の活用は、前向きな変化をもたらしてくれる反面、新たな問題も発生しています。それは、SaaS利用によって増えたIDの管理です。

昨今のSaaSはオンボーディングまでの設計が非常によくできているものが多く、手軽に導入が可能です。
そのため、サービスを利用したい場合は、情報システム部に頼らずとも部署ごとに必要に応じて個別に契約・導入することができます。
これは、会社として把握していないIDが発生しやすい仕組みでもあります。

このような把握しにくいIDを各企業はどのように対処しているのか、ユーザー事例を参考に考え方を整理していきます。

そもそもユーザーIDの管理はどういう状態が好ましいのか

SaaS上のIDについて考える前に、まずID管理のあるべき論を整理します。
企業における正しいユーザーID運用とは、「業務に関わるユーザーが適切な権限で、適切なときにIDを利用できること」です。

この仕組みは、「予防的統制」と「発見的統制」の2つの要素で成り立ちます。

■ 予防的統制…ルール通りにIDプロビジョニングをする
例えば、正社員が入社した場合はActiveDirectoryに人事情報通りにIDを作成する というルールがあり、実際に社員が入社したらその通りに運用する という流れが該当します。
ここで大事なのは、ルールがなかったり誰かの承認がないのにIDを勝手に作ったり消したりしないという点です。

■ 発見的統制…定期的にID管理状況を点検する
システム上のID一覧を定期的に確認する棚卸業務が該当します。「勝手に作られたIDがないか」「退職者IDが残っていないか」などを確認します。
ここで大事なのは、予防的統制で決めたルールから逸脱しているIDの存在を発見し是正する点です。

ほとんどの企業の情報システム部では、このような予防と発見の両方の側面から、各システムのID運用を実現しています。

SaaS上のIDは従来の管理方法と何か異なるのか

では、テレワークの普及によって増えた部署ごとに個別導入したSaaSのIDは、管理の点で何か異なるのでしょうか。
基本的には、予防的統制と発見的統制の実現は同じです。ただし、実行する主体（誰）が変わるため、難しい点が出てきます。

■ 予防的統制：部署にてアカウントプロビジョニングの運用を設計する必要がある。
従来は情報システム部や情報セキュリティ部が設計していた「IDを作成する際に誰の承認を得て」、「どのような作業証跡を残すか」などのルールをSaaSの利用部署で設計する必要があります。
会社によっては全社規定を定めている場合もありますが、重要項目となる大まかな内容が多くIDの細かい運用まで指定している企業は多くない印象を受けます。

■ 発見的統制：部署にて棚卸の方法の検討と、実施が必要となる。
情報システム部や情報セキュリティ部が実施していた利用者への確認やその実施する間隔、棚卸する際のID台帳の更新・実環境への是正を部署で実施する必要があります。

なお、SaaSがAD連携やIDaaS管理対象となっていれば上記の要素をAD側に任せたりすることもできます。
しかし、多くの企業様と会話していると連携できない/連携するほどでもないと考えているSaaS が結構多い印象を受けます。

現実はどうすべきか？

では、実際の運用はどうすべきなのか考えたいと思います。
理想は前述したとおりに運用すればよいのですが、現実はスムーズにはいきません。

徹底した管理方法の一つに、絶対的な中央集権的ID管理があります。
「絶対的な中央集権的ID管理」とは、特定の組織やツールがすべてのシステムやSaaSのID登録・変更・削除を実施し管理する状態のことを意味します。この方法であれば、前述した理想を実現する事は可能な範囲です。

しかし、部署が導入するSaaSの数が増えてくると理想の徹底が難しくなります。
テレワークの普及は今後も継続し、DX（デジタルトランスフォーメーション）推進も加速していく中で、業務に合わせたSaaS導入は今後もっと増えていくことが予想され、業務を理解していない部署の介在はスピード感に欠け、かつ管理負担に限界が訪れます。

そこで多くのユーザー様が取られている考え方が、予防的統制はシステム導入する部署が主体となり、発見的統制のみ会社として把握・徹底する（正しい運用状態か把握できるようにする）という方法です。

ただし、統制に必要な要素の実行主体を分散させるということは、性悪説に基づいた懸念点の整理とその対策が必要となります。
それらも踏まえて、それぞれの統制の要件を以下にまとめたいと思います。

上記の対策を前提としたシステム／SaaSの管理が重要となります。

アカンサスで制御するメリット

前述した発見的統制は、棚卸業務を経験したことがある人なら、ID台帳の整備や確認結果の取りまとめがいかに面倒かをよくご存じでしょう。
人手で対応すると、実は結構な負担となります。また、棚卸はやらなくても明日業務が止まるわけではないですし、利益を産む業務でもないためどうしても優先度は低くされがちです。利用部署も正しいルールは認識していても、本業が忙しくなると意識が回らなくなってしまいます。

そのため是非ツールに頼っていただければと思います。下記にアカンサスを活用して発見的統制を効率化する方法を紹介させてください。
アカンサスを利用する場合のID棚卸業務フローは…

• 利用部署は、棚卸が必要なタイミングでSaaS上のID一覧を定期的にインポートする
• 情報システム部は対処が必要なIDの確認し、各部と連携して更新か削除する

• 各IDの所有者をアカンサスが自動的に整理するため、棚卸が楽に
• ID利用者の候補も提示するため、利用者が把握していないIDの発見も可能に
• 前回の棚卸情報を基に、棚卸を実施するため全量確認は不要となり負荷軽減に
• 第三者（情報システム部）も状況を確認ができクロスチェックも可能となるため、棚卸の正確性が向上

また、部署利用のSaaS以外に、オンプレミスのシステムも同じように管理が可能なため一元的に見える化が可能となり、「人」単位での利用状況が把握できるようになるというメリットもあります。