ゼロトラストを実現するID管理導入の教科書 » ID管理とは?おさえておきたいポイント » ID棚卸の目的やID管理との違いとは?

ID棚卸の目的やID管理との違いとは?

ID棚卸とは

ID棚卸とは業務で使用するアカウントやIDが正しく作成され変更や削除も行われているか、実際の利用と乖離していないかどうか定期的にチェックする作業のことで、アカウント棚卸ともいいます。ID棚卸作業は業種にかかわらずどこの企業や組織でも必ず行われていますが、企業によって方法や実施頻度は様々です。また、重要システムのIDのみをチェックする、全ての業務に関わるIDをチェックするなど実施対象も異なります。しかし方法や対象などが異なっても「第三者の承認に基づいたIDであるかどうか」をチェックするというところは共通しています。

ID管理・ID棚卸それぞれの目的

ID管理は予防的統制のために行う

ID管理はシステムやサービスの利用時に入力するIDやパスワードなどのログイン情報を管理することです。ID管理の目的は入社、異動、退社や業務が変更した場合などに、企業のルールに基づいてクラウドサービスや業務システムにIDを追加したり削除したりする予防的統制です。必要以上のアクセス権を与えないことによりシステムに対する不正操作をあらかじめ防止することができます。

ID棚卸は発見的統制のために行う

ID棚卸の目的は、ユーザーに適切なIDが与えられているか、不要なIDはないかなどを定期的に確認・精査して発見的統制を実現することです。つまり不適切なIDがないか確認し、不適切なIDがあった場合には適切に対処するということです。

予防的統制(ID管理)と発見的統制(ID棚卸)はどちらも必要

最近では業務システムの分散化やシステム利用者の多様化により、予防的統制(ID管理)と発見的統制(ID棚卸)の両方が必要となっています。オンプレ主流だった業務システムはクラウドで利用されるようになり、システムを利用するメンバーは正社員だけでなく協力会社の社員、派遣社員、出向社員、アルバイトなど多様化したことで人事システムでは管理しきれない状況となっています。これらのIDを全て一元管理することは難しく、どうしても人手による作業が必要となってしまいIDの完全性を保てなくなっているのです。そのためID棚卸の重要性がますます高まっています。

ID棚卸を手作業でやる方法

IDの収集

最初にシステム管理者が以下のような方法でシステムに登録されているID情報を収集します。

  1. 管理画面やコマンドでPCに格納されているID取得を取得する(詳細情報を取得するためにプログラムを作成する必要もあり)
  2. データベースにSQLを発行してID取得を取得する
  3. Active Directoryなどのディレクトリサービスを利用している場合はエクスポートコマンドを利用してユーザー情報を取得する
    ※システムによってID情報取得方法が異なるためシステム毎の実行が必要です。

ID情報と源泉情報を突き合わせてリストを作成する

システムから集めたID情報とユーザーの源泉情報などを突き合わせ、現状と本来あるべき状態を比較しながら変更するIDを選び出しExcelなどを使ってリスト化します。ユーザーの源泉情報を見て、現在その人は在籍しているのか?権限は適切か?など○や×でリスト化します。Excelのマクロを使って行うケースも多いです。

ID棚卸を手作業で行う際の課題

時間がかかる

IDの収集とリスト作成のために、各部署のシステム運用担当者がシステムID情報を一覧にして配布し、不要ID情報がないか確認して結果を戻してもらうというという方法で行われることが多いです。この方法だと各部署のメンバーに負担がかかるだけでなく時間もかかります。

変更の履歴が追えない

Excelは変更履歴を追うことができないので継続的なデータ管理には向いていません。履歴が追えないためにIDリストを毎回ゼロから整理して棚卸をする必要があり手間がかかります。

正確性が低下する

ID数が多くなければ問題ないですがシステム数が多くなるとID数も多くなります。ID情報の収集、照合、整理を人間が確認しなくてはならないケースも多くなり正確性の低下につながります。

ID管理ツール・ID棚卸ツールの併用がおすすめ

このような問題を解決するためにID管理ツール・ID棚卸ツールを利用することをおすすめします。部署によって記載方法がバラバラな情報もツールを利用すれば簡単に一元管理できるようになります。またシステム数が増えてもデータ登録や更新を簡単に行えるので作業工数を軽減することができます。

THREE SELECTION

【ニーズ別】
ゼロトラスト対応の
ID管理システム3選

「ゼロトラスト」時代のID管理においては、IDが持つユーザー情報と権限を正しくコントロールし、かつユーザーに起こりえる人事イベントと正確に連動できることが重要です。このサイトでは、ゼロトラストに対応できるID管理システムを、企業のニーズ別に厳選して紹介しています。
※「ID管理」でGoogle検索上位30社を調査(2021年3月調査時点)。その中から、「IDの一元管理」「ID管理の効率化」「複数拠点のアクセス管理を一気通貫で強化」というニーズのいずれかに応えられる会社を、それぞれ1社ずつ紹介。

ID管理をより
効率化したい

Keyspider

keyspider
画像引用元:株式会社axio https://www.axio.co.jp/products/keyspider/
  • アカウント管理を自動化できる機能数が当サイト内において最も多いID管理システム※ ※2021年3月調査時点
  • DX推進・IT統制を迅速にしたい成長中の中堅企業におすすめ
IDを一元管理
できるようにしたい

Azure AD

Azure AD
画像引用元:マイクロソフト公式 https://azure.microsoft.com/ja-jp/services/active-directory/#overview
  • ガートナー社による評価でリーダーに選出されたID一元管理システム
  • とりあえずID管理を導入したい中小・ベンチャー企業におすすめ
ID・アクセス管理を
一気通貫で強化したい

Okta

Okta
画像引用元:Okta公式 https://www.okta.com/jp/
  • グローバルで14,000社以上の導入実績を持つID管理・統合認証サービス ※2022年1月調査時点
  • 複数拠点でアクセス管理を強化したい大手・グローバル企業におすすめ