クラウドID管理サービス「Keyspider」の「【特長】SaaSアカウント管理」について紹介します。
コンテンツ
IDライフサイクル管理が必要な理由
【背景】クラウドサービス契約の増加
テレワークの増加という状況もあり、各企業はクラウドサービス契約が増加している現状があります。
この1年で「10以上のサービス」を新たに契約して業務に使用しているケースも多々あります。
クラウドサービスの主な例
・Microsoft 365
・Google Workspace
・Salesforce
・Box
・Slack
・Zoom
・勤怠管理サービス
・交通費精算サービス など
【課題】IDライフサイクル管理作業の増大
クラウドサービス契約の増加により、ID管理作業は増大しています。
アカウント登録作業量=「ユーザー数×クラウドサービス数」
「すべてのユーザーがすべてのクラウドサービスを利用する」というシンプルなケースでは、
「新規アカウント登録数×クラウドサービス数」のアカウント登録作業量が発生することになります。
例えば、新入社員対応として、
「新規アカウント登録数(300名)×クラウドサービス数(20)」という場合では、
「6000件のアカウント登録作業」が必要となるため、
手作業登録では非常に困難となります。
膨大な権限修正作業
4月や10月の人事異動(組織改編)においては、
膨大な数の権限修正作業が発生します。
【課題】情報漏洩リスク
情報漏洩インシデントにおいては、「退職者IDからの情報漏洩」が原因トップとなっているデータもあります。
設定漏れがあるとセキュリティホールになってしまうため、
権限削除対象者(退職者)のアカウントについては、迅速に漏れなくクローズしておく必要があります。
監査で指摘される事項にもなるため、適切なID管理は非常に重要となります。
【必要】IDライフサイクル管理の自動化
ID管理システムは、「煩雑でありながら設定ミスがあってはならないIDライフサイクル管理」を自動化するためのツールです。
企業には、ID管理システム導入による「適切なIDライフサイクル管理の実施」が求められています。
「J-SOX法」対応の必要性
「J-SOX」とは
J-SOXとは「内部統制報告制度」であり、「財務報告に係る内部統制に関する報告制度」を指します。
企業における内部統制とは「さまざまな業務が適正に実施され、組織が適切にコントロールされているかどうかをチェックすること」を指します。
日本企業は内部統制のためにJ-SOXに対応することが必要とされています。
→keyspider.co.jp →『【クラウドID管理解説】ID管理のリスクと課題「 J-SOX 」』
ID管理は「J-SOX法による監査対象」
J-SOX法において「すべてのIDが適切に管理されているのか?」が監査対象となります。
J-SOX法の対象となるのは「上場企業及びそのグループ会社」とされていますが、
取引先企業に対しても同様の基準を求めるケースもあるため、幅広い領域にJ-SOX法対応が必要となることもあります。
J-SOX法監査のポイント
①必要な処理が「プロセス化されている」か?
IDの「登録」「削除」「権限変更」などのイベントが発生した時の処理について、
手順書(システム)にプロセスとして定義されている必要があります。
②すべての手続きについて「責任が明確になっている」か?
すべての手続きに対して管理者を設定し、管理責任を明確にする必要があります。
③手続き通りに「運用されている」か?
「すべての処理が手続き通りに運用されている」ことをエビデンスとして保管する必要があります。
【必要】IDライフサイクル管理の自動化
J-SOX法に対して、手作業での対応は非常に難しいため、
ID管理システム導入による「IDライフサイクル管理の自動化」が必要です。
Keyspiderを活用した「ID管理業務自動化」
Keyspiderの基本的な仕組み
Keyspiderは、次の3つの機能で動作します。
①「源泉システム」からユーザーデータを吸い上げる
②「Keyspider」でIDの一元管理を実施
③「連携先システム」に対して同期
スライド説明
(スライド左側)源泉システム
「源泉システム」とは「ユーザーデータが保管されているデータソース」を指します。
・人事システム
・(オンプレ)Active Directory
・(クラウド)AzureAD など
※Keyspiderは「複数の源泉システム」からユーザーデータをインプットできます。
(スライド中央)ID管理システム「Keyspider」
Keyspiderは「源泉システムから吸い上げたユーザーデータ」について、一元管理します。
※Keyspider上での新規アカウント登録なども可能です。
(スライド右側)連携先システム
Keyspiderで管理されている「ID情報」や「権限情報」などについて、連携先システムに同期します。
・各種SaaS :「Microsoft 365」「Salesforce」 など
・国産SaaS :「奉行シリーズ」 など
・社内システム など
同期対象データ
Keyspiderから連携先システムに対して「連携先システムが必要とする情報」を同期します。
・ユーザー情報
・権限情報
・組織情報
・グループ情報
・ライセンス情報 など
最小権限の原則
「最小権限の原則」とは、
「必要なユーザーに対して、必要な分だけアカウントを登録し、必要な分だけ権限を付与する」というセキュリティ指針です。
「最小権限の原則」の実施により、「不要なライセンスコスト削減」や「セキュリティ向上」につながります。
ID棚卸し
「ID棚卸し」とは「ライセンス数の差異を確認」するための作業です。
Keyspiderで管理している「Microsoft 365」のライセンス数が「100」であるのに、
「Microsoft 365」に「110」のユーザーが登録されている場合は、
ライセンス数において「10の差異」が発生していることになります。
Keyspiderの特徴
クラウドID管理サービス「Keyspider」は、次の3つの特徴により、
「効率的に」「抜け漏れなく」「タイムリー」なIDライフサイクル管理を実施できます。
特徴1⃣ ほぼどのようなシステムでも自動連携可能
「SCIM」とは
「SCIM」(System for Cross-domain Identity Management)とは、
「複数のドメイン間でユーザーID情報のやり取りを自動化するための規格」です。
主要SaaSはSCIMに対応しているため、自動連携が可能です。
しかし、「社内システム」や「国産SaaS」などの「SCIM非対応システム」は、数多く存在しています。
Keyspiderは「SCIM非対応システム」との自動連携が可能
Keyspiderは、「SCIM非対応」「API非対応」などのシステムでも、自動連携できる仕組みを実装しています。
「ほぼどのようなシステムであっても自動連携可能」という点は、Keyspiderの大きな特徴となっています。
特徴2⃣ 自動権限付与機能
1アカウントごとに認可設定を実施するのは、膨大な作業量となってしまいます。
Keyspiderの「自動権限付与機能」
Keyspiderは「ポリシーによるアカウント自動作成機能」+「ポリシーによる自動権限付与機能」を実装しています。
ユーザーの所属や属性に応じてポリシーを設定しておくことで、自動的にアカウント登録(権限付与)を実行できます。
■ポリシー設定例
・「正社員」なら「Microsoft365を利用可能」にする
・「営業部」なら「Salesforceを利用可能」にする など
特徴3⃣ 承認ワークフロー登録機能
人事システムで管理されていないユーザー
正社員は人事システムで管理されています。
しかし、「派遣社員」「アルバイト」「取引先担当者」など、人事システムで管理されていないユーザーが存在しているケースがあります。
Keyspiderの「承認ワークフロー登録機能」
「新規にアカウント登録したいユーザー」がいる場合、「承認ワークフローを利用したユーザー登録」が可能です。
■承認ワークフローの例
①総務担当者:申請
②部長:承認
③登録権限者:Keyspiderへのアカウント登録実施