コンテンツ
IDガバナンス管理(IGA)とは? IGAの機能と製品比較
IDガバナンス管理(IGA)とは何か
まず、IDガバナンス管理(IGA)の基本的な概念について解説します。クラウドサービスの普及に伴い、企業内のID管理が複雑化しています。IGAとは、こうした課題に対応し、セキュリティとコンプライアンスを強化する技術です。
近年、特にコロナ禍以降、企業では多くのクラウドサービス(SaaS)を利用するようになりました。Microsoft 365やGoogle Workspace、SalesforceなどのCRM、Box、Slackといったサービスを一つの企業で20~30種類使用することは今や一般的です。さらに、従来のオンプレミス環境も残っているケースが多く、この複合的な環境下でのID管理業務は非常に煩雑になっています。
特に新入社員の入社時には、これらのクラウドサービスや社内システムへのアカウント登録が必要です。ただし、すべての社員に一律に権限を付与するわけではなく、必要な人に必要なライセンスを購入して登録するため、その管理も複雑です。また、人事異動、休職、退職などのタイミングでも適切な権限変更や削除が必要となります。このような「IDライフサイクル管理」は従来から重要でしたが、クラウドサービスの増加によりさらに負担が増しています。
【資料:P5 クラウド・SaaS普及で、ID管理業務が大変に…】
ID管理が適切に行われないと深刻な問題を引き起こす可能性があります。特に退職者のIDからの情報漏洩リスクは高まっています。テレワークの普及により、退職後も自宅から社内システムにアクセス可能な状態が続くことがあるためです。IPAの「情報セキュリティ10大脅威」では内部不正による情報漏洩が10年連続でランクインしており、不要なIDや権限が残ったままだと内部不正の温床になります。
こうした背景から、ID管理に加えてガバナンス機能を強化したIGAが注目されています。IGAは従来のID管理(ID発行、削除、権限付与、変更などのライフサイクル管理)に、監査やコンプライアンスの機能を追加したものです。具体的には、権限の妥当性チェック、監査証跡の記録、定期的な棚卸しなどの機能が含まれます。これにより、セキュリティリスクを低減し、コンプライアンス要件にも対応できる体制を整えることができます。
【資料:P11 IDガバナンス管理(IGA)とは?】
IGAと法規制・監査の要件
次に、IDガバナンス管理(IGA)が法規制や監査でどのように役立つのかを解説します。各種ガイドラインでは、適切なID管理が求められており、監査法人も特定のポイントを重視しています。IGAはこれらの要件を効率的に満たす手段です。
多くの法規制やガイドラインでは、アクセス権の適切な管理が求められています。例えばJ-SOX(日本版SOX法)では、上場企業とその関連会社に対して、アクセス権の適切な付与・削除、権限の分離、監査証跡の記録・保存、定期的な棚卸しなどが要求されています。同様の要件はISMS、FISCガイドライン、GDPRなどでも規定されており、これらの基準に準拠するためには体系的なID管理が不可欠です。
監査法人が重視する主なポイントとしては、以下のような項目があります:
・入社時に必要最小限の権限が付与されているか
・異動時や退職時に速やかにアカウントや権限が削除されているか
・ID管理業務が自動化・一元化されているか
・定期的な棚卸しが行われ、その記録が適切に保管されているか
・権限付与の申請・承認フローが明確で、その通りに運用されているか
・操作ログや監査証跡が適切に記録・保管されているか
・複数システムを横断した統合的な管理ができているか
これらの要件をすべて手作業で対応することは現実的ではありません。特に多数のクラウドサービスを利用している環境では、IGA製品の導入が効果的な解決策となります。IGA製品は上記の要件に対応する機能を備えており、監査対応の負担を大幅に軽減することができます。
また、監査では「実態」と「あるべき姿」の一致が重視されます。棚卸し機能を活用することで、IDや権限の実態を把握し、想定と異なる点があれば速やかに是正できます。さらに、すべての操作に関する監査証跡が自動的に記録されるため、「いつ誰がどのような操作を行ったか」を後から確認することが容易になります。
IGA製品の主要機能と監査対応
さらに、IGA製品が提供する具体的な機能と、監査対応での重要性について触れます。企業が法規制やガイドラインを遵守するためには、適切なID管理が不可欠です。IGAの機能は、監査での要件を満たす強力な支援となります。
IGA製品の主要な機能としては、主に以下の6つが挙げられます:
①IDライフサイクル管理
入社・異動・退職に伴うIDや権限の自動付与・削除を行います。人事システムと連携し、人事情報の変更に応じて自動的にプロビジョニングを実行します。
②アクセス制御ポリシー管理
「この部署の部長にはこれらのシステムへのアクセス権を付与する」といったポリシーを設定できます。これにより、人手による判断ミスを防ぎ、一貫した権限付与が可能になります。
③アクセス権限の可視化
すべてのシステムやサービスにおける権限状況を一元的に把握できます。多数のサービスを個別に確認する手間を省き、包括的な権限管理が可能になります。
④アクセス申請承認ワークフロー
権限の申請・承認フローを電子化し、記録を残します。特に派遣社員や取引先へのアカウント発行時などに有効で、申請から承認、実際の権限付与までの全プロセスを記録します。
⑤棚卸し機能
実際のシステム上の権限状況と、管理台帳上のあるべき姿を定期的に照合します。差異がある場合には修正を行い、常に正確なID・権限状態を維持します。
⑥監査証跡
すべてのID管理操作を記録し、後から監査できるようにします。これにより、「いつ、誰が、どのような操作を行ったか」を明確に証明することができます。
IGA製品の代表的なものとしては、グローバルで広く使われているSailPointがあります。SailPointはグローバル企業向けの高機能な製品ですが、導入コストも相応に高く、年間3,200万円程度かかるとされています。主に従業員数が数万人規模の大企業や、海外拠点を多数持つ企業に適しています。
【資料:P12 IGAの主な機能】
一方、今回紹介するKeyspiderは日本国内で開発された国産IGA製品です。数千人から2万人程度の企業規模で、国内業務が中心の企業に適しています。ユーザー課金制で、ユーザーあたり月額100円から300円程度という比較的リーズナブルな価格設定が特徴です。
Keyspiderは人事システムとの連携、アクセスポリシー設定、各種クラウドサービスやオンプレミス環境との自動同期、申請承認ワークフロー、棚卸し、監査証跡など、IGAに必要な機能を備えています。最近では野村不動産ホールディングスへの導入事例もあり、ユーザー数1万人以上の環境でも運用されています。
Keyspiderの特徴的な機能としては、人事異動や入退社情報に基づく自動的なID・権限管理、アクセスポリシーに従った一貫性のある権限付与、APIのないシステムとの連携機能、将来の発令日に合わせた予約処理などが挙げられます。また、管理画面上での申請承認ワークフローや監査証跡の記録も充実しています。
まとめ:IGAで実現する安全なID管理
最後に、IGAが企業にもたらす価値をまとめます。クラウド化が進む現代、IDガバナンス管理はセキュリティと効率性を両立させる鍵です。IGAの導入は、企業の安全なID管理を実現します。
クラウドサービスの増加と内部不正リスクの高まりを背景に、IGAの重要性は今後さらに高まると予想されます。IGAを導入することで、以下のようなメリットが得られます。
メリット①:セキュリティリスクの低減
退職者IDや不要な権限を自動的に削除することで、情報漏洩やアクセス権限の不正利用などのリスクを大幅に減らせます。
メリット②:業務効率の向上
手作業で行っていたID管理業務を自動化することで、担当者の負担を軽減し、ヒューマンエラーも防止できます。
メリット③:コンプライアンス対応の簡素化
J-SOXなどの法規制やガイドラインが求める要件に対応し、監査時の証跡提出も容易になります。
メリット④:全体最適化の実現
複数のシステムやサービスを横断した統合的な管理が可能になり、一貫性のあるセキュリティポリシーを適用できます。
企業規模や業務内容に応じて適切なIGA製品を選ぶことも重要です。グローバル展開している大企業であればSailPointのような国際的な製品が、国内中心の企業であればKeyspiderのような国産製品が適しているでしょう。
IGA導入を検討する際のポイントとしては、まずはライフサイクル管理とアクセスポリシー設定を適切に行い、申請承認ワークフローを確立することが基本となります。その上で、段階的に対象システムを拡大していくアプローチも有効です。例えば、最初は正社員のIDだけを管理対象とし、後から派遣社員や取引先のIDも含めるといった方法が考えられます。
企業におけるID管理の重要性は今後も高まり続けると予想されます。特にクラウドサービスの普及とリモートワークの定着によって、適切なIDガバナンス管理はセキュリティ対策の要となっています。IGA製品を活用し、効率的かつ安全なID管理体制を構築することで、企業は内部不正リスクを低減しながら、ビジネスの柔軟性と生産性を向上させることができるでしょう。
