ID棚卸とは業務で使用するアカウントやIDが正しく作成され変更や削除も行われているか、実際の利用と乖離していないかどうか定期的にチェックする作業のことで、アカウント棚卸ともいいます。ID棚卸作業は業種にかかわらずどこの企業や組織でも必ず行われていますが、企業によって方法や実施頻度は様々です。また、重要システムのIDのみをチェックする、全ての業務に関わるIDをチェックするなど実施対象も異なります。しかし方法や対象などが異なっても「第三者の承認に基づいたIDであるかどうか」をチェックするというところは共通しています。
ID管理はシステムやサービスの利用時に入力するIDやパスワードなどのログイン情報を管理することです。ID管理の目的は入社、異動、退社や業務が変更した場合などに、企業のルールに基づいてクラウドサービスや業務システムにIDを追加したり削除したりする予防的統制です。必要以上のアクセス権を与えないことによりシステムに対する不正操作をあらかじめ防止することができます。
ID棚卸の目的は、ユーザーに適切なIDが与えられているか、不要なIDはないかなどを定期的に確認・精査して発見的統制を実現することです。つまり不適切なIDがないか確認し、不適切なIDがあった場合には適切に対処するということです。
最近では業務システムの分散化やシステム利用者の多様化により、予防的統制(ID管理)と発見的統制(ID棚卸)の両方が必要となっています。オンプレ主流だった業務システムはクラウドで利用されるようになり、システムを利用するメンバーは正社員だけでなく協力会社の社員、派遣社員、出向社員、アルバイトなど多様化したことで人事システムでは管理しきれない状況となっています。これらのIDを全て一元管理することは難しく、どうしても人手による作業が必要となってしまいIDの完全性を保てなくなっているのです。そのためID棚卸の重要性がますます高まっています。
最初にシステム管理者が以下のような方法でシステムに登録されているID情報を収集します。
システムから集めたID情報とユーザーの源泉情報などを突き合わせ、現状と本来あるべき状態を比較しながら変更するIDを選び出しExcelなどを使ってリスト化します。ユーザーの源泉情報を見て、現在その人は在籍しているのか?権限は適切か?など○や×でリスト化します。Excelのマクロを使って行うケースも多いです。
IDの収集とリスト作成のために、各部署のシステム運用担当者がシステムID情報を一覧にして配布し、不要ID情報がないか確認して結果を戻してもらうというという方法で行われることが多いです。この方法だと各部署のメンバーに負担がかかるだけでなく時間もかかります。
Excelは変更履歴を追うことができないので継続的なデータ管理には向いていません。履歴が追えないためにIDリストを毎回ゼロから整理して棚卸をする必要があり手間がかかります。
ID数が多くなければ問題ないですがシステム数が多くなるとID数も多くなります。ID情報の収集、照合、整理を人間が確認しなくてはならないケースも多くなり正確性の低下につながります。
このような問題を解決するためにID管理ツール・ID棚卸ツールを利用することをおすすめします。部署によって記載方法がバラバラな情報もツールを利用すれば簡単に一元管理できるようになります。またシステム数が増えてもデータ登録や更新を簡単に行えるので作業工数を軽減することができます。
「ゼロトラスト」時代のID管理においては、IDが持つユーザー情報と権限を正しくコントロールし、かつユーザーに起こりえる人事イベントと正確に連動できることが重要です。このサイトでは、ゼロトラストに対応できるID管理システムを、企業のニーズ別に厳選して紹介しています。
※「ID管理」でGoogle検索上位30社を調査(2021年3月調査時点)。その中から、「IDの一元管理」「ID管理の効率化」「複数拠点のアクセス管理を一気通貫で強化」というニーズのいずれかに応えられる会社を、それぞれ1社ずつ紹介。