経営層に投資を促すために〜IAMを例に経営層の説得方法を考察(2)

IT・IT製品TOP > Key Conductors > 楠木 秀明(CA Technologies ) > 経営層に投資を促すために〜IAMを例に経営層の説得方法を考察(2)
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

経営層に投資を促すために〜IAMを例に経営層の説得方法を考察(2)

エンドポイントセキュリティ 2013/06/11

第2回 経営層への説得シナリオ(1/3) 〜IT中長期計画との整合性〜

 前回は、経営層への説得シナリオとして3点を挙げた。今回はその中の1つである「IT中長期計画との整合性」についてお話をしたい。
 IT中長期計画(以下、中計)との“整合性”と表現すると、いささか大げさな表現になっている感も否めない。普段のお客様との会話で聞こえる言葉は、“整合性”というよりは“足枷にならない為に”と言う方が妥当な表現かもしれない。いずれにせよ中計を達成するために、IAMというインフラは、標準化されたプロセス・運用を確実に実行するために必要となる“あるべき姿”のインフラであると主張する傾向が加速していると感じている。
 当然ながら、各企業の中計は異なるので、下記に示す例が全て当てはまるわけではないが、多くの企業で少なからずマッチしそうな“中計のキーワード”をご紹介させていただく。

IT環境の変化

■1.クラウド

 Google Apps、Office365、 SalesforceなどのSaaS型のクラウド採用を促進していく場合が対象となる。仮に不正アクセスされれば、当然ながら情報漏洩等のリスクが予想される。IT部門として当然の如く、使用できるユーザを明確にし、どのような情報まで開示させるか、つまりアクセス権を明確にすることは必達事項になる。またクラウドの利用目的はコストの低減であることが多いので、ユーザ登録等の運用費用を増加させず一定に保つために、手動の作業を自動化することでコスト削減が見込めるIAMが必要になるというシナリオである。

■2.モバイル 

 スマートフォン、タブレットなどの新たなデバイスを用い、新たなビジネスモデル、業務改革を目指す企業が対象となる。外回りの営業的な業務に多く使用されると予想されるが、本来は必要ではない情報にアクセスできるとすると、不正・ミスによるリスクも考えられる。よって、企業から見て正当なユーザに対し、必要最小限のアクセス権を提供することは、いうまでもなく必達事項となる。

■3.SNS

 FacebookなどのSNSから、新たな新規顧客を取り込み“売上増加”、“広告費用の削減”を目指す企業が対象となる。これは顧客が新たに氏名、住所等の個人情報を入力する手間が面倒なため、Web 上のサービスを活用しないジレンマを解消するために、多くの人が保持している大手のSNSのユーザIDを、自社のシステムで使用できるようにID連携させる事が求められる。ここでIAMの主要ファンクションとなるSSOの技術が発展したフェデレーションという技術が活用されている。 なおSNSとセキュリティについての解説は、弊社小坂が記載した「ユースケースで考える!ソーシャルネットワークとセキュリティ」を参照頂きたい。

企業環境の変化

■4.グローバル

 海外進出、海外企業との提携などを視野に入れる企業、また以前からそれらを実施しているがシステムは個別になっている企業が対象となる。海外拠点から本社のシステムにアクセスする場合、拠点の人員構成、例えば本社から派遣されている人と、現地採用の正社員、アルバイトといった雇用形態、役職によって、当然ながらアクセス権は異なってくると予想される。また拠点によっては、固有のカントリーリスク、リーガルリスクが存在するため、一部の拠点ではワンランク上のアクセス権を設ける必要もあるかもしれない。これを迅速に標準化されたルールに準じて運用するには、手動の運用では限界点があることは容易に想像できる。やはり迅速に自動で運用できるIAMが必要になるというシナリオである。

■5.M&A

 一般社員では、このような情報が漏れ伝わることは少ないと思われるが、昨今の日本企業は少なからずこのような状況を予知し、何時でも迅速に対応できるように準備しているというアピールも効果があるのではないかと思われる。仮に数ヵ月後に、ある企業と合併した際、経営層が望む効果を出すためには、当然お互いのシステムを使用することになるだろう。その為には、ユーザを明確にし、どのようなシステムのどの情報をどのように使用させるかというIAMの仕組みは、スピーディに統合を行う最適な武器となるというシナリオである。

ガバナンスの強化

■ 6.グループ企業

 自社の仕組みを標準化し、グループ全体で同じリスクコントロールを行うITガバナンスを計画・実行する企業が対象となる。グループ企業の方々に、親会社のどのシステムのどのような情報まで開示すべきか?という悩みは、まさにアイデンティティ/アクセス管理そのものである。これらを俗人的な運用ではなく、標準化されたルールに準じて迅速に運用するためには、IAMが必要になるというシナリオである。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 例に挙げた6つ“中計のキーワード”を、IAMの導入目的として関連づけ、次回以降は、経営層に対する“リスク”の観点で説得するシナリオに続けていく。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30006249


IT・IT製品TOP > Key Conductors > 楠木 秀明(CA Technologies ) > 経営層に投資を促すために〜IAMを例に経営層の説得方法を考察(2)

このページの先頭へ

キーマンズネットとは
ソリューション技術本部 プロダクトソリューション部。1997年よりセキュリティ製品を担当。ウィルス、IDS等の外部脅威および、特権ID管理、SSO、IDM等のアイデンティティ/アクセス管理領域に従事。多数の企業で監査対応のプランニングを支援。CISSP、CISA。

ページトップへ