もはや対象は社内システムだけではない!
適切な権限を持つ人だけが、システムにアクセスできるようにする「アクセス管理」。社内システムに関しては、すでに多くの企業がこれを実現しているはずです。では近年企業でも活用が広がっているクラウドサービスについてはどうでしょうか。クラウド時代のアクセス管理のあるべき姿について考えてみましょう。
アクセス管理の徹底はITガバナンス確立に不可欠
ユーザー認証を行うことで、適切な権限を持つ人だけが、必要なシステムにアクセスできるようにする。このような仕組みを「アクセス管理」と言います。アクセス管理は、権限のない人による不正アクセスを防止し、システム内のデータを保護する上で、欠かせないメカニズムです。
しかし適切なアクセス管理は、認証メカニズムだけで実現できるものではありません。誰にどのシステムへのアクセス権限(アカウント)を付与するのか、どのタイミングでその権限を抹消するのかという管理も、きちんと行う必要があります。
ユーザーに付与すべきアクセス権限は、当然ながらそのユーザーの立場によって変化します。
例えば製品開発部門の担当者であれば、製品開発業務で使用する各種システムへのアクセス権限が必要になるでしょう。このユーザーが営業部門に異動した場合には、製品開発システムへのアクセス権限は抹消し、その代わりに営業システムへのアクセス権限を付与しなければなりません。退職した場合には、全ての社内システムに対するアクセス権限を抹消すべきです。すでに存在しない従業員のアクセス権限(休眠アカウント)を放置しておけば、これが不正に利用され、情報漏えいにつながる危険性があるからです。
これに加え、実際に「誰がどのシステムにいつアクセスしたのか」というアクセスログも残す必要があります。これによってシステムの利用状況を把握でき、不正アクセスの発見や防止も容易になるからです。
近年のようにM&A等による企業合併や、持株会社制度の導入等による企業グループ再編等が多くなれば、アクセス管理の重要性はさらに高まります。企業組織の流動性が高まることで、従業員の立場も変化しやすくなるからです。アクセス管理の徹底は、変化し続ける組織のITガバナンスを確立する上で、避けて通れない重要課題の1つなのです。
意外と手間がかかるクラウドサービスのアクセス管理
社内で構築したオンプレミスシステムに関しては、すでに多くの企業が適切なアクセス管理を行っているはずです。特にWindowsベースで構築されたシステムの場合には、Active Directoryでアクセス制御を集中的に行えるため、アクセス管理の徹底も容易です。しかし最近では、社内システムのアクセス管理の徹底だけでは、十分なITガバナンスを実現することは難しくなっています。インターネット経由で提供されるSaaS等のクラウドサービスが、企業でも活用されるようになっているからです。
これからのシステム部門は、このような「社外で提供されているITシステム」も視野に入れた上で、事業部門へのITサービスを提供すべきです。システム部門が各種クラウドサービスを、自らのITサービスの一部としてラインアップしなければ、各事業部門がシステム部門に無断でこれらを導入する可能性が高まるからです。システム部門の目が届かない「シャドーIT」が広がれば、情報漏えいなどの事故も発生しやすくなります。
当然ながらクラウドサービスへのアクセス権限も、システム部門で管理すべきです。しかしクラウドサービスのアクセス管理の徹底は、多くの方が考えている以上に困難なものです。ユーザーが求めるサービスには様々なものがあり、それぞれ個別のアカウントが必要になるため、アクセス権限に関する情報が散在しやすくなるからです。またアクセスログも各サービスで個別に取得する必要があります。そのため手作業で台帳を作成しなければならず、運用負担が増大する結果になります。
必要なのは統合された管理メカニズム
このような問題を解決するには、オンプレミスシステムと各種クラウドサービスを統合した形で、アクセス管理を集中的に行える仕組みが必要です。これを実現するのが「OneLogin」です。
OneLoginはクラウド型のシングルサインオン(SSO)サービスであり、各種クラウドサービスやWebアプリケーションへのログインを自動化できます。ユーザーがOneLoginにログインすると、利用可能なサービスがアイコンとして表示され、これらをクリックするだけでサービスの利用を始められるのです。
その一方で管理者は、ユーザーに対する各種サービスへのアクセス権限を、OneLoginで集中的に管理できるようになります。アクセスログも統合管理可能です。オンプレミスシステムでActive Directoryを利用しているのであれば、これと連携したアクセス管理も行えます。例えば新たに従業員が入社した場合、Active Directoryにユーザーアカウントを作成するだけで、OneLoginやOneLoginからアクセスする各種サービスのアカウントを、自動的に作成するといったことも実現できます。
クラウド時代にはアクセス管理のメカニズムも、このような進化を遂げなければならないのです。