ID管理の課題とその対処法

　「新しいIDが必要になった時には必要事項をメールに記載して情シス部門に送る」といった運用をしているケースも少なくないのではないだろうか？しかし、そのIDは本当に必要なのか？そこに記載されている権限は誰が許可したものか？といったことが保証されなければならない。特に限られた期間内のみの利用を想定してIDを発行する場合は急ぎの対応が求められることもあって、確認/承認のプロセスが抜け落ちてしまいやすい。ID発行における申請/承認のプロセスを明確にしておくことが重要である。

　「ヒトは変わるが、業務内容や利用するPCは変わらない」といったケースも企業では多々ある。場合によっては複数の人間が日替わりで同一の業務を同一のPC上で行うといったこともあるだろう。システム上の管理だけを考えれば、「PCが同じなのだから、IDも共有で構わない」と考えがちだ。だが、これもIT統制の観点では問題となる。統制上支障がないことが明らかである場合を除き、IDは個人単位で発行して管理することが望ましい。

　ID管理において厄介なのが特権ID(rootやadministrator)の扱いである。各自の業務に必要な権限に限定したIDを与え、特権IDの利用は可能な限り避けるべきであることは言うまでもない。しかし、システム管理においては特権IDが必要になる場面がある。その場合も1.で述べたような申請/承認のプロセスを明確にすることが大切だ。可能であれば、特権IDを利用する度にIDの授与/返還を義務付けるとIT統制上はさらに堅固なものとなる。だが、業務システムによっては特権IDが一つしか作成できずに共有を余儀なくされることもある。こうした場合にはID代替機能を持ったID管理/アクセス制御を利用するという方法がある。先に述べたシングルサインオンと同様に特権IDの代わりとなるIDを発行し、ユーザにはそれを使わせるといった対策である。

　「退社した社員のIDが削除されずに残っている」というのもID管理で良く取り上げられる問題だ。これには大きく二つの要因がある。まず一つ目は単に削除を忘れてしまっているケースだ。これは社員が退社した時に行うべき業務をフロー化し、それを徹底することで対処が可能だ。二つ目は退社した社員が業務引き継ぎをしっかり行っておらず、当該社員のIDでないとアクセスできないメールデータがある、顧客から当該社員のメールアドレスに連絡が届く可能性が高いなどといったケースである。多くの場合、パスワードを変更した上でしばらくの間IDを維持することになるが、IDを削除した時のリスクを懸念する気持ちも働いて長期間に渡ってIDが維持されてしまうこともある。こうした場合のために各種業務システムにおけるデータのインポート/エキスポートの方法などを確認しておくと良いだろう。

　パスワードと並んで重要なIDの要素が「権限」だ。必要以上の権限が付与されてしまえば、不正アクセスが可能となってしまう。様々な業務システムが存在する昨今、適切な権限設定はID管理において最も難しく負担の大きい要素といえる。IT統制を意識する企業ならば、可能な限り権限設定を細分化して、不必要な権限を与えないID管理を既に実施済みだろう。ここで注意すべきなのは業務システム改変によって当該業務システムの権限項目が変更された場合である。例えば、新しく権限が追加された場合、IDにはデフォルト設定が適用される。デフォルト設定が一つしかないと、全社員にその設定が適用されてしまう。変更管理システムなども活用し、業務システム改変がID管理に与える影響を常に把握しておくことが重要だ。