エンタープライズID管理コラム
難しくない「ID管理」入門〜なぜID管理が必要なのか?
「IDカード」やPC・アプリケーション利用時の「ID入力」など、私たちはいたるところで「ID」に触れています。この、企業や団体における「ID」とは何なのか、「IDを管理する」とはどういったことなのかを、本コラムでは改めて整理します。一見、難しいと感じる人が多いID管理の分野ですが、基礎から整理し直すことで、「なぜID管理が重要だと言われているのか」を理解し、自社の業務やセキュリティ対策の改善につなげてはいかがでしょうか。
エンタープライズIDとは何か? 個人IDとの違いとは?
ここでは、企業におけるID(エンタープライズID)とは何かについて、基本的な内容を解説します。エンタープライズIDは、私たちがプライベートで用いている個人IDとは異なり、企業が任命した管理者が登録・運用しています。
社内システムはかつて「鍵」と「入館証」によって物理的に守られていました。しかし、PCやアプリケーションが全社員に配られるようになると、どの端末、どのアプリケーションでも誰でも使えるようになることが問題視され、それぞれ利用できる人を制限するようになりました。時折IDは鍵に例えられることがありますが、このような背景があることも理由なのかもしれません。
利用者が本人であることを確認するために「ID」を発行し、アクセス時に本人確認と利用権限の有無を確認するようになりました。その特徴をまとめると次のようになります。
- IDとは:Identityの略称。特定の個人を識別するための情報(識別番号・社員番号・パスワード・所属や部署などの属性情報)を含む。ある実体(ある特定の社員など)に関する属性情報の集合体。
- 目的:企業の機密情報漏えいを防ぐ、適切なアクセス権限を付与するための情報。
- 用途:入館・入室、PC・アプリケーションなどを利用する際に必要。
- 発行・登録・運用・削除:管理者が行う。
なぜID管理が必要か?
エンタープライズIDには、入社・異動・昇進・退職などのライフサイクルがあります。管理者は、これらの人事イベントの結果を適切に管理し、リアルタイムにIDに反映する必要があります。このように、企業が利用しているさまざまなシステムやサービスごとに異なるIDを適切に管理・運用することをID管理(エンタープライズID管理)と言います。
もし、適切に人事イベントの結果が反映されなかったり、遅れたりした場合にはどのようになるのか、その危険性を下記にまとめます。
- 業務に必要なデータに社員がアクセスできない
- 本人が知る必要のない(企業側からすると知って欲しくない)情報にアクセスできる
- 退職者のIDが速やかに削除されないと、最悪の場合、情報漏えいにつながる …など
適切なアクセス権限が付与されないと、組織運営に深刻な影響を与えるとともに、セキュリティ事故につながってしまうおそれもあるのです。
ID管理の目的…正しく「本人認証」と「利用認可」をすること
エンタープライズID管理の目的とは、アプリケーションの利用者が本人であることを確認(認証)し、業務に必要なシステムや情報にアクセスする権限があることを確認(認可)することです。この「認証」と「認可」が、ID管理を考える上で重要なポイントになります。もう少し詳しく解説すると次のようになります。
認証:利用者が本人であることを確認することです。最近では多要素認証が一般的になりましたが、これは複数の要素で本人か否かを確認することです。知識情報(パスワードなど)、所持情報(USBキーなど)、生体情報(指紋認証、顔認証など)が認証の3つの要素と言われています。こうした要素を用いて、確実に本人であることを確認します。
認可:アプリ・情報などの利用者が、それを利用する権限があるか否かを確認することです。人事・経理の情報は同じ社内でも人事・経理部門の担当者しか閲覧・編集できないように設定しておくこと、同じ部署内でも部長以上しか閲覧できないようにしておくことなどが認可の例として挙げられます。
つまり、役職・部門によってアクセスできる範囲が定められ、それぞれのユーザーごとに権限が設定できる状態を前提としています。そして認可されれば、ユーザーは自分の権限の範囲の情報にアクセスできるようになります。
企業の重要システムへのアクセスを例に認証と認可の仕組みを解説します。
【例1】 従業員A氏の場合(重要システムにアクセスする必要がある担当者)
- IDにより「Aさん本人である認証」が行われます。
- システム側には、「A氏がアクセス権限を持っている」という情報があることから、アクセスが「認可」がされます。
【例2】 B氏の場合(A氏の部下で重要システムへのアクセスを許可されていない)
- IDにより、「Bさん本人である認証」が行われます。
- システム側には、「B氏がアクセス権限を持っていない」という情報があることから、アクセスは「認可」されません。
- 社内全体で利用できるシステムを利用する場合には「認可」されます。
【例3】 C氏の場合(退職している)
- かつて持っていたIDを用いて、重要システムにアクセスを試みます。しかし、IDはすでに失効していることから、システム利用者として認証されず、当然、どのシステムの利用も認可されません。
まとめ
今回は、企業における「ID」と「ID管理」、ID管理において重要な「認証」と「認可」について整理しました。ID管理の基本的な考え方を理解することで、効果的に業務の効率化やセキュリティ対策ができるようになります。
さらに詳細な情報を知りたいという方は、ぜひこちらより関連資料をダウンロードしてみてください。