情シスが担う業務の1つであるID管理。本コラムでは、中堅・中小企業のID管理業務の実態と、ID管理専用ツールの必要性や Active Directory との違いについて調査結果とともに考えてみましょう。
1. 中小企業は Active Directoryで、中堅・大手はID管理専用ツールで管理
PCやスマートデバイスへのログイン、SaaSなどアプリケーションへのログインに欠かせないID・アカウントやパスワード。情シスはID・アカウントをどのように管理しているのか、調査結果※をもとに考えてみましょう。
いま、「自社のID・アカウント管理をどのように実施しているか」という問いに対し最多となったのは、中小企業は「Active Directory」、中堅企業と大手企業は「オンプレミスのID・アカウント管理専用のツール(以降、ID管理ツール)」という結果となりました。
※日本企業のID・アカウント 運用管理の実態 2023
(株式会社ソフトクリエイト、株式会社エクスジェン・ネットワークス調査)
※調査内 Azure Active Directory は2023年9月現在、Microsoft Entra ID に名称変更しています。
アンケート結果の全体を見ると、企業規模が大きくなるほどにID管理ツールでの管理が増えていること、規模が小さい企業では Active Directory や Excel などID管理ツール以外の方法で管理していることが多いとわかりました。
これらの結果を受けて、以下では中堅・中小企業のID管理の実情として次の2点について考えてみましょう。
- ①Active DirectoryとID管理ツールの違いとは?
- ②ID管理ツールは中小企業も必要なのか?
2. Active Directory とID管理専用ツールの違い
「企業のID管理といえば Active Directory」と考えているのであれば、それは適切ではありません。Active Directory は、そもそも「WindowsのIDを格納する認証DB」です。そのため、あらゆるシステムやWeb上のサービスのアクセスを管理するものではありません。
また、次の項で詳細説明しますが、IDは社員の入退社や異動の際にメンテナンスが必要です。適切にメンテナンスしていなければ、不正アクセスなどの原因にもなりかねません。しかし、昨今、数多くのSaaSや社内システム等へのログインのために増加しているIDすべてを管理するのは困難です。
例えば、人事システム上では「Aさんは○月○日時点から異動と昇進」と更新されているのであれば、システムにアクセスするためのIDも同じタイミングで更新されてアクセスできるシステムや権限(認証情報)も変更されなければなりません。
このようなことから、Active Directory のみでID管理を行う場合には下記のような課題があると考えられます。
- Active Directory 自体のメンテナンスが経年や合併、統合などにより不十分な状況が発生しやすい。中にはActive Directory 自体がシステムごとに複数存在し、人事システムとは切り離された状態で個別に機能しているケースも多く存在する
- 人事システムのクラウド化が進んだことで、Active Directory とID管理に関する連携が不十分になり、ライフサイクル管理ができていないケースがある
- 社内で利用するITは Microsoft のサービス/アプリケーションにとどまらず、多様なオンプレミス製品・クラウドサービス利用が増加している
重要なのは「人事情報(源泉情報)とID情報の一致」です。人事情報のライフサイクルの変化を反映し、「人」が正しく「システム」にアクセスをするための「統合ID認証基盤」が必要になります。
そのためには、人事・給与情報などを源泉情報として「人」の情報を反映できるID管理ツールを利用することです。ID管理製品はIDを新鮮かつ正しく保つことが役割で、最新のIDによる認証を行うことで適切なシステム利用が実現します。
すでにActive Directory が認証情報を持っているのであれば、ID管理ツールと連携することで補完し合い、統合ID認証基盤を構築していく関係ということになります。
3. 中小企業もID管理ツールは必要か?ゼロトラスト時代のID管理
「人事情報(源泉情報)とID情報の一致」がIDを正しく管理するための基本的な考え方です。これまで、中小企業の多くは情シスなど管理者が手作業でID管理を行ってきたケースが多いのではないでしょうか。IDが人手で管理できるうちはよいのですが、SaaS利用の増加やリモートワークなどが普及しIDが増えている今、その管理の複雑化が進んでいます。
また、退職者IDが人事情報と連携できずに、退職後もシステムに不正アクセスしてしまうようなケースもあります。これは、深刻な情報漏えい事件にもなりかねない問題です。これまでは人力で何とかしていたものが、徐々に手に負えない問題が生じています。そこでまずは、認証を統合するためにシングルサインオン(SSO)への関心が高まっています。
SSOは、企業規模が大きくなるほど対応しているシステムの割合が多くなります。しかし、中小企業では「実施なし」も45.3%と多く、SSOの対応がまだ進められていないようです。中小企業はSSOに対応している企業はまだ多くはない状況です。
一方で、今後SSOを利用したいと考える中小企業は4割以上ということもわかっています。
また、クラウド化やリモートワークの普及や、サイバー上の脅威が深刻化していることから、「ゼロトラスト」を必要と考える企業が増えています。中小企業の約80%、中堅企業の約85%がゼロトラストが「必要」または「部分的に必要」と考えていることがわかりました。
ゼロトラスト環境を構築するためには、人事情報から「その人本人か?(認証)」と、「利用権限をその都度IDで確認(認可)」することが必要です。それには「人事情報(源泉情報)とID情報の一致」が不可欠です。
ゼロトラスト環境の構築が今後の企業にとって重要な課題となる現在、規模の小さな企業であってもIDライフサイクル管理を適切に行う必要があり、そのためにはID管理ツールの活用は効果的と考えられます。新たな時代のセキュリティと企業の組織運用の効率化を考えて、これからのID管理について考えてみてはいかがでしょうか。
まとめ
このコラムでは、比較的規模の小さい企業にとってのID管理ツールの必要性、Active Directory との関係性などを調査結果を踏まえて考えました。ゼロトラストへの関心が高まる中、ID管理はますます重要視されています。ぜひ、本コラムや調査結果を、より適切なID管理と Active Directory 活用の一助としてみてください。
今回の調査では、コア業務やセキュリティ対策に注力したいが、同時に人手不足問題に直面しいてる情シスの姿が伺えました。DXやハイブリッドワークなど、新たな時代の働き方にはITは重要な役割を占めています。その中で、情シスがどう変化していくのか、その一端がアンケート結果から垣間見られたのではないでしょうか。
また、今回は調査結果の一部を取り上げましたが、ほかの調査結果については、下記の資料をダウンロードして御覧ください。