ID棚卸とは?
そもそもID棚卸とは?
ID棚卸とは、業務で利用するIDが「正しく作成・変更・削除されているか」「利用の実態と乖離がないか」を、定期的に確認する作業のことです。
この作業は、業種や企業規模問わずどの企業も実施しておりますが、その方法は千差万別です。
業務システム上のIDを利用者にチェックさせる企業もいれば、申請情報とIDの実態を突合して確認する企業もいます。
また、その頻度も年に1回実施する企業もあれば、毎月実施している企業とバラバラです。
対象システムも、重要システムのIDのみを確認する企業もいれば、全業務に関わる全てのIDを確認対象とする企業もいます。
各社によって様々な棚卸運用をしておりますが、共通しているのはいずれも何かしらの方法で「第三者の承認に基づいたIDかどうか」を確認している点です。
なぜID棚卸しなければならないのか?
ID管理のあるべき論は、「業務に関わるユーザーが適切な権限で、適切なときにID を利用できること」です。
この仕組みは、「予防的統制」と「発見的統制」の2つの側面で実現する必要があります。
例えば、入社 / 異動 / 退社、また、業務が増えたり減ったり変更になった際に各企業のルールに則って業務システムやクラウドサービスにIDを追加したり変更したり削除したりします。
この際に「ルールが存在していること」と「その通りに運用すること」が予防的統制に該当します。
多くの企業が、ADやID 管理ツールを導入し、IDの登録 / 変更 / 削除といったID プロビジョニングをルールに基づいて自動的に実施することで「予防的統制」を実現しています。
これに対し「発見的統制」を実現するのが、すべてのID やユーザー情報などを定期的に確認する「ID棚卸」となります。
つまり、ユーザーに適切なIDが払い出されていることや、不要なIDが残っていないことを実データのモニタリングによって確認することが発見的統制に該当します。
ここで重要なのが、「予防的統制」をADやID管理ツールで自動化していても「発見的統制」が不要となることはないという事実です。
その背景には、業務システムの分散化や従業員の多様化が大きく影響しています。
業務システムは、オンプレ主流だったところがクラウド利用の一般化し、システムの利用者は、正社員をはじめ出向社員、契約社員、派遣社員、協力会社やアルバイトなど人事システムで管理されていないメンバーが多く含まれます。
このように多岐に渡るリソースを全て一元的管理しIDプロビジョニング運用を自動化することはどうしても限界があり部分的に手作業で管理を実施することとなり、IDの完全性を保つことが困難になっているからです。
そのためID棚卸をする必要があり、同時にその重要性が増しているのです。
ID棚卸はどんな風に進めればいいのか?
ID管理ツールだけでは、全ての人事データ、業務システムのIDを管理できないため、適切にID棚卸するためには、「人」と「ID」について漏れなく情報収集しなおす必要があります。
「人」の情報は正社員はもちろん非正規社員も含めた全ての入退職者のデータを集め、「ID」もまた業務利用しているシステム全て収集・確認する必要があります。
■ 生じる悩み
-
やっぱり、
手作業は正確性が落ちるExcelは便利で使いやすいけれど、古い情報と新しい情報を目検で比較したり、手で入力していると、どうしても正確性に限界がある…
-
ただただ手間
棚卸のための情報洗い替えが、とにかく手間。人事システムやADに一元管理されていればいいけど、利用者はアルバイト・派遣社員・契約社員もいるから、情報をかき集めて人力で更新。非常に稼働がかかる…
-
コミュニケーションの
負担が大きいIDの利用確認先は、全部署。各部署からそれぞれくる要求の応対や、質問のやり取りは1か月にもわたり負担が大きい。
ID棚卸を楽に、正確に。
こうした、これまで手作業で行ってきた業務システムのID棚卸作業を、ID棚卸ツール「アカンサス」では自動化することが可能となります。
アカンサスは、現在管理している「従業員一覧」と「ID一覧」をそのままインポートすると、誰がどのID を利用しているのか整理します。
現在管理している従業員情報をそのままインポートすると、部署表記のゆれや同一人物の名寄せなどをサポートし簡易に従業員情報の一元化を完了することが可能です。
こうして整理した従業員情報をベースにID の利用状況を把握することで、従来システム単位のID 棚卸ではできなかった、退職者や部署異動者のID確認など、単なる利用状況の把握ではない積極的なID の適正利用の推進が実現できます。