B : 集中的なID管理はまだ実施していないが、従業員の退職が発生するようになった成長中スタートアップ企業タイプ
想定されるID管理の課題
- ID管理業務の責任、役割、担当業務内容などが不明瞭
- システムごとにIDの登録・削除が発生するシステムの増加
- 退職者のID削除漏れ
- 共用アカウントによるサービスの利用
提言
- ID管理責任者、チームによる社内システムの管理業務を明確化しよう
- ID削除フローを整理しドキュメント化しよう
- クラウドサービスで用意されているID連携機能を活用しよう
- 業務利用するクラウドサービスの利用・廃止申請フローを整備しよう
B タイプの企業の ID 管理状況
診断チャートでBタイプにたどり着く企業は、社員数の増加が始まったスタートアップや、数十人程度の人数で構成されている中小企業が想定されます。
Aタイプ と同じく、企業内で利用してるサービスによって、主に以下の2パターンの構成で運営していることが多いと考えられます。
- クラウドサービスのみ利用している企業
- クラウドサービスとオンプレミスのアプリケーションを利用している企業
Bタイプの企業では、企業規模の成長に合わせ、企業設立当初は曖昧であったID管理の責任者や社内体制、利用するシステムの管理手順、利用を許可するサービス、新サービスの導入フローなど、様々な要素を明確にし、管理することが必要となっていきます。
そのため、Bタイプの企業に向けた提案としては、以下の内容が挙げられます。
- ID管理責任者を明確化し、チームによる社内システムの管理業務を確立
- クラウドサービスで用意されているID連携機能によるID管理業務の自動化を推進
- 業務利用するクラウドサービスの利用・廃止申請フローを整備し、社内システムを標準化
- ID削除フローの整備とドキュメント化によるID削除漏れの防止
図1: クラウドサービスのみを利用する構成の例
図2: クラウドサービスとオンプレミスサービスを併用する構成の例
クラウドサービスの認証に利用されるID連携技術について
クラウドサービスの利用機会の増加に伴い、各クラウドサービスごとにアカウントを登録して利用している企業にとって、クラウドサービスのID管理は重要な課題です。
『OpenID ConnectとSCIMのエンタープライズ利用ガイドライン』 の 第1章 「エンタープライズITにおけるフェデレーションとプロビジョニングの有用性」にクラウドサービスを利用する際のID管理の特徴について説明がされています。
共有アカウントの利用の危険性について
会社や事業の規模の増加に伴い、複数のメンバーで1つの業務を実施したり、他のチームのメンバーと共同で業務を実施したりする機会が増えます。その際に利用するサービスのアカウントを複数メンバーで共有することは、ID管理の観点から危険を含みます。
『OpenID ConnectとSCIMのエンタープライズ利用ガイドライン』 の 第4章 「権限委譲の適用と課題」にてその危険性が説明されています。
アカウント削除漏れの危険性
社内ネットワークのみで利用できていた従来の社内サービスとは異なり、クラウドサービスに社員がログインして利用している場合、退職したユーザーのアカウント削除に漏れがあると、そのユーザーがサービスを利用し続けることが可能であり、社内の秘密情報漏洩等に繋がる恐れがあります。
企業としての成長に伴い、社員が利用するクラウドサービスの増加や、管理対象アカウントが増加することによって、ID管理作業にかかる手間や複雑さが増えることによって、退職したユーザーのアカウントが全て適切に削除されない可能性が高まります。
一方で、クラウドサービスには、ID連携機能を備えたものもあり、ID管理業務の自動化を進めることで、管理工数の低減、手動操作によるミスの防止といったメリットを得ることが可能です。
また、ID連携機能を活用することで、シングルサインオン環境の提供が可能となり、ユーザーがアプリケーションごとにログインする手間を無くし、業務効率の向上に繋げることができます。
さらにシングルサインオン環境では、管理者が退職者のアカウントを停止することで、全てのアプリケーションの利用停止を一度に行うことができるため、アカウント削除漏れのリスクを大きく低減することができます。
このように、企業の発展に合わせて、ID管理業務をより効率的かつ正確に運用する仕組みを導入し、ID管理業務を改善していくことが大事です。