D : ID連携を行ったクラウドサービスを中心に活用し、新しいクラウドサービスの導入にも困っていない企業タイプ

D タイプの企業の ID 管理状況

診断チャートでは、D タイプにたどり着く経路が複数存在するので、D タイプにはいくつかのパターンが混在します。

大きく分けて、以下の3つのパターンが存在するのではないでしょうか？

• ID 管理基盤をまだ持っていない企業
• ID 管理基盤をクラウド環境に持っている企業
• ID 管理基盤をオンプレ環境に持っている企業

D タイプのすべてのパターンにまたがって提案可能な改善策としては、C タイプ同様、以下のようなものが挙げられます。

• ID管理業務の自動化
• 人事システム側の変更をID管理基盤に通知するためのAPI連携
• ID管理基盤から各サービスに変更を通知するためのAPI連携 (SCIM)
• クラウドサービスの利用状況を監視するサービスの導入 (CASB)

ID 管理業務の自動化に関しては、EIWG 利用ガイドラインの 1.5 ～ 1.6 の ID プロビジョニングに関する記述を参考にしてください。

当該ガイドラインには、プロビジョニングという概念の解説から、社員IDのライフサイクルモデル、ライフサイクルイベント発生源としての人事システムと ID 管理システムとの連携の必要性などについて記述されています。

またそれぞれのパターンでの状況把握および改善策については、以下をご覧ください。

ID 管理基盤をまだ持っていない企業

まだ ID 管理基盤を持っていない企業では、社員が利用するサービスごとに個別の ID & パスワードを登録・利用・管理しているものと思われます。

同じパスワードを使い回すことで、1箇所からのパスワード漏洩により当該社員の全てのサービスのアカウントが危険に晒されることが懸念されます。

また退職や異動に伴うサービスアカウントの削除・属性変更処理も、情報システム部門の担当者等が個々のサービスごとに行なっているのではないですか？

会社の規模がまだ小さいなどの理由で現在はまだそういった作業コストがそこまで大きくない場合でも、規模拡大に合わせてそういった処理の自動化を進めて行くことを検討してみましょう。

このタイプの企業には、以下の改善策を提案します。

• 各サービスごとに個別に ID 登録するのをやめる
• ID 管理基盤を導入し、ID 連携によるSSO / Federation を行う
• 詳しくは Aタイプ と Bタイプ の内容を参照
  • A: 従業員のID管理はまだ必要ないが、将来的に規模を大きくしたら迅速に統一的なID管理を導入したいスタートアップ企業タイプ
  • B: 集中的なID管理はまだ実施していないが、従業員の退職が発生するようになった成長中スタートアップ企業タイプ

なお、上記の改善策を実践すると、御社の ID 管理基盤は、以下のような構成になることでしょう。

図1: ID管理基盤による SSO / Federation の実現

全ての社員の ID & パスワードは ID 管理基盤にて集中管理され、各サービスにはその ID を使って ID 連携によりログイン (SSO / Federation) することになります。

またさらに将来的には ID 管理基盤上で実施されたアカウント作成・削除・属性更新は、必要に応じて SCIM プロトコルにより各サービスに自動的に反映することを検討してもよいでしょう。

ID 管理基盤をクラウド環境に持っている企業

いわゆる IDaaS と呼ばれるクラウド上の ID 管理基盤を利用している企業では、すでに IDaaS にて管理された ID を利用してさまざまなサービスに ID 連携 (SSO / Federation) によってログインする基盤が整っていることと思われます。

また退職や異動に伴うサービスアカウントの削除・属性変更処理も、SCIM によって自動化できる状況にあるのではないでしょうか？

もしすでに ID 管理業務の自動化が達成されている場合には、御社はクラウドを活用する準備は整っていると言えるでしょう。

もし会社の規模がまだ小さいなどの理由で現在はまだそういった作業の自動化メリットがそこまで大きくなく、手動作業で事足りている場合は、規模拡大に合わせて自動化を検討してみてもよいでしょう。

ぜひ以下のポイントを抑えて、IDaaS が持つそれらの機能をフル活用していきましょう。

• ID管理業務の自動化
• 人事システム側の変更をID管理基盤に通知するためのAPI連携
• ID管理基盤から各サービスに変更を通知するためのAPI連携 (SCIM)

それによって、御社の ID 管理基盤は、以下のような構成になることでしょう。

図2: IDaaSのID管理機能を活用したID管理業務の自動化

また会社の規模が大きくなると、情報システム部門の管轄外で、部署ごとや社員独自での SaaS サービス利用が発生し始めます。 そういった状況を適切に監視・管理するためには、CASB とよばれるサービスの導入も検討する価値があるでしょう。

• クラウドサービスの利用状況を監視するサービスの導入 (CASB)

ID 管理基盤をオンプレ環境に持っている企業

オンプレ環境に ID 管理基盤を持っている企業でも、すでに IDaaS にて管理された ID を利用してさまざまなサービスに ID 連携 (SSO / Federation) によってログインする基盤が整っていることと思われます。

しかしながら、退職や異動に伴うサービスアカウントの削除・属性変更処理を自動化する SCIM プロトコルはサポートされていないことも多いでしょう。

SCIM をサポートしていない ID 管理基盤をお使いの場合は、SIer さんに依頼して CSV 連携により ID 情報のプロビジョニングを行うなどが主流になるでしょう。

また SIer さんに依頼するコスト負担が無視できない中小企業等の場合は、カスタマイズしなくても標準仕様 (SCIM) に準拠したプロビジョニングAPIを持つ IDaaS の併用や移行を検討してもよいでしょう。

もしすでに ID 管理業務の自動化が達成されている場合には、御社はクラウドを活用する準備は整っていると言えるでしょう。

それによって、御社の ID 管理基盤は、以下のような構成になることでしょう。

図3: 企業内に構築したID管理基盤を連携させたクラウド・オンプレのID管理業務の自動化