経営層に投資を促すために〜IAMを例に経営層の説得方法を考察〜

IT・IT製品TOP > Key Conductors > 楠木 秀明(CA Technologies ) > 経営層に投資を促すために〜IAMを例に経営層の説得方法を考察〜
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

経営層に投資を促すために〜IAMを例に経営層の説得方法を考察〜

エンドポイントセキュリティ 2013/06/04

第1回 IAM(アイデンティティ/アクセス・マネジメント)への投資は困難

1.はじめに

 セキュリティ関連の仕事をしてもう15年以上の月日が経つ。その間、景気の良い時代もあったが、その当時でも費用対効果の説明が難しくお客様企業の経営層に投資を認めて頂けないことも多々あった。まして昨今は、景気がいいとは言い難い状況である。セキュリティの技術的なスキルを学ぶことも重要であるが、同様にセキュリティの重要性を説き、企業の経営層に投資を促すための営業的なスキルも重要と感じている。
 本編では、セキュリティの中でも、「IAM(アイデンティティ/アクセス・マネジメント)」といわれる分野で、どのように経営層に投資を促すのかを考え実行した一例をご紹介していく。

 まずはIAMの定義をしておこう。IAMとは、企業内に複数あるシステム・アプリケーションの「ユーザ(誰が)」と「ユーザのアクセス権(何時、何処で、何を、どのようにアクセスできるか)」を、一元的に管理するソリューションである。言い換えると、システムやアプリケーションごとに個別にユーザ管理、アクセス権の管理をするのではなく、システム全体で正当なユーザだけを受け入れ、アクセスできる範囲や権限を細かく制限・制御する考え方である。主だったソリューションとしては、SSO(シングルサインオン)、IDM(統合ID管理)、特権ID管理(OS・DB等の特権IDを制御、モニタリング)、共有ID管理(共有IDの貸出プロセスの自動化、使用状況のモニタリング)などが挙げられる。なおIDのライフサイクルに合わせ、申請・承認フローが必要になるので、合わせてワークフローの仕組み、本人確認を強化するために、二要素認証、ワンタイムパスワードといった仕組みが併用されることも多い。
 次にIAMのニーズを振り返ってみたい。IAMソリューションは、おおよそ90年代に開発されている。しかし当時は、それほどニーズがあったとは思えない。日本においては、個人情報保護法をきっかけに少しニーズが出始め、SOX法・内部統制対応の際に、多くの企業でニーズが出てきた。理由はいくつかあるが、社内の内部関係者の情報漏洩、改ざんといった不正・ミスを予防し、それらを後に追跡し発見できる仕組みを目指した企業が多かったように思う。

 導入目的は、主に2つだった。
1つ目は、ニーズが出てきた背景から分かるように、コンプライアンス対応の一環として、社内の内部関係者からの情報漏洩、改ざん、不正・ミスの予防・発見を行うリスクコントロールとしてIAMを導入する場合。
2つ目は、IT依存度が増加するにつれ単純作業が膨れ上がり運用費用が増加した為、コスト削減を目的にIAMを導入することであった。

2.外部変化に伴うIAMの再考

 しかし昨今、このIAMの目的が、コンプライアンス対応の時代と比べ多様化してきている。クラウド、モバイル、SNSといった新しい情報技術の利用により、従来のユーザやアクセス権の管理・運用が限界に達すると感じている企業が多いのであろう。また企業のグローバル化やM&Aに伴った管理ユーザボリュームの拡大、IAM適応の範囲を、社員だけではなく派遣社員、アルバイト、さらには顧客へと人(ユーザ)のスコープを拡大、また自社のみならず、グループ企業や協力会社など対象企業のスコープを拡大していく動きもある。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 参考までに、第三者的な観点で実施した調査結果もご紹介したい。
 例えば、PwC社が「CIO Magazine」、「CSO Magazine」両誌と共同で毎年世界的に実施している「グローバル情報セキュリティ調査」(注意:PDF)を見てみると、2013年のレポートにはグローバルでの調査結果を踏まえて、日本企業への示唆も掲載されている。
 調査結果では、「日本企業のクラウド戦略に立ちはだかる壁―アイデンティティ&アクセス管理」とされ、その中でも私は以下の3点が、特に印象に残った。非常に参考になるレポートなので、一読いただくことをお勧めする。

日本企業はパソコンやUSBメモリなどの目に見える資産(モノ)の管理は得意であるが、利用者のアイデンティティ(ヒト)の管理は苦手な傾向にある。

J-SOXが適用された際に、アイデンティティ管理システムを部分的に導入しただけで、全社的な統合は未だに行っていないのが実情である。

今後のクラウドの推進に伴い、アイデンティティ/アクセス管理の強化は、日本企業に避けては通れない重要なIT課題となる。

3.経営層への説得シナリオ 

 日々の営業活動からも、IAMに関連する仕組みを再考する企業が増えていることが見て取れる。ここで技術的な要素で検討する事項はいくらでもある。冒頭で記載したように、やはり大きな障壁となるのが経営層への投資の承認となってくる。
いくら外部環境が変化したとはいえ、IAMそのものは利益を生み出すシステムではない。経営層なら、なるべく投資は避けたい、もしくは抑えたいというのが本音ではないかと容易に想像できる。百発百中の説得材料は存在しないかもしれないが、弊社で何度か理解を得られたシナリオを、簡単に紹介していく。
 シナリオの流れは、大きくは以下の3つとなる。

1

  IT中長期計画との整合性

2

  リスク分析

3

  費用対効果(効果の可視化)

次回からは、上記3点を、順にご紹介していきたい。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30006245


IT・IT製品TOP > Key Conductors > 楠木 秀明(CA Technologies ) > 経営層に投資を促すために〜IAMを例に経営層の説得方法を考察〜

このページの先頭へ

キーマンズネットとは
ソリューション技術本部 プロダクトソリューション部。1997年よりセキュリティ製品を担当。ウィルス、IDS等の外部脅威および、特権ID管理、SSO、IDM等のアイデンティティ/アクセス管理領域に従事。多数の企業で監査対応のプランニングを支援。CISSP、CISA。

ページトップへ