ID棚卸の目的とは?
多くの企業で、定期的に実施されるアカウント棚卸。
今回はそもそも何のために実施しているのかについて整理したいと思います。
アカウント棚卸の目的は、業務で利用するIDの管理・運用における「発見的統制の実現」です。
つまり“不適切なID”がないことを確認する、
もしくは万が一そのようなIDがあった場合に是正するための業務です。
不適切なIDとは?
IDにおける“適切な状態”とは、
業務に必要なシステムに対し必要最小の権限が付与されたIDが業務期間中利用できる状態を指します。
では、“不適切なID”とはどういうものでしょうか。代表的なケースは以下の3種類となります。
- 退職者IDの削除漏れ
- 離任(異動・出向・休職)時の対処漏れ
- 過剰(業務に不要)なIDの付与
(例:業務上不要だが、入社したら一斉に付与されるIDなど)
その他にも、会社によってはアカウントの付与ルールを守ってないID
(例:アカウントを「氏名+社員番号」で付与するルールなのに、「氏名」だけで登録されているID)なども対象となります。
これらのIDは本来、ID作成・変更・削除が人事情報などと連携し全自動で実施されるような仕組みを作っていれば発生しません。
しかし、現実は違います。
IDプロビジョニングする際の元データとなる人事情報に、業務に関わるすべての人が登録されているわけではないからです。具体的には、協力会社や契約社員さんなどの情報が該当します。
そうすると、登録されていないメンバー分のIDはメールなどで作成申請が実施され、システムの管理者は手作業で作成・更新・削除の対応をします。つまり、人の介在がどうしても必要となります。
人が介在すると、どれだけ気を付けていても100%誤りがないとは言い切れない状況となります。
また、離任する社員はIDが削除されなくても業務に影響が出ないため削除申請をどうしても失念しがちです。このような理由から、不適切なIDが発生します。
一方で、昨今は各部署が独自に導入したSaaSや独自業務システムが増え、情報システム部で把握しづらいIDは増えつつあります。
このような背景より、アカウント棚卸点検の必要性はますます高くなっているといっても過言ではないでしょう。
不適切なIDは、どうやって見つけるのか?
ここまでで”不適切なID”について説明しましたが、
情報システム部の皆さんは実際どのようにして点検しているのでしょうか。
当社で約200社のシステム管理者様にヒアリングしたところ、以下の方法のいずれかで実施されていらしゃいました。
- 人事情報と合ってるか確認する
- ID作成/変更/削除の申請情報と突合する
- IDの利用者(各部署/会社の責任者)に確認する
上記は特定の利用者が存在する場合ですが、特定の人物に紐付かないIDもあります。
代表的な分類は以下の2つとなります。
- 共有IDやAPI連携用アカウントなど
- システム導入や開発におけるテスト用アカウント(一時的に必要となるID)
これらは、利用責任者と利用期間を指定する必要があります。また、利用期間が長期にわたる場合、責任者交代時にIDの利用意図などしっかり引継がないと削除の判断が困難となるため特に注意が必要となります。
なぜならIDを消した際の影響が分からなくなるため、「消していいのかわからないID」として放置せざるをえなくなるためです。
アカンサスで発見的統制を楽に、正確に。
いかがでしたか。
今回はID棚卸の目的を改めて考え直してみました。
“適切な状態”でID管理/運用しつづけるには、以下の作業が必須となります。
★ ルール通りにIDを作る・変更する・削除する
★ 定期的にルールと逸脱していないか実IDを点検する
最後に、私たちアカンサスは、これらのID棚卸業務を自動化し効率的かつ正確なID統制を支えます。
まずは、アカンサスのトライアルで、ID棚卸業務の稼働削減を実感してみてください。
Work illustrations in this article by Storyset
あわせて読まれています
