「アイデンティティ・ガバナンス」は、2022年度中には検討し着手する必要がある。しかし「ざんねんな」アイデンティティ管理からどのように脱却してアイデンティティ・ガバナンスへの検討を開始すればいいのか。そこで、新たなアイデンティティ管理に求められるポイントを説明する。覚えやすく話しやすいよう、動物の名前を使って表現する。

「自慢できる」アイデンティティ管理　オフプレ“リス”（オフプレミス・クラウド）

　「ざんねんな」に対して今回は「自慢できる」とした。ざんねんなアイデンティティ管理から脱却するだけではなく、自社内や他社に自慢できるアイデンティティ管理システムを目指すべきだろう。

　はじめに紹介するのはオフプレ“リス”（オフプレミス・クラウド）だ。オフプレミスはオンプレミスの対義語である。今でいえば、クラウドといい換えてもいいだろう。クラウド上に構築されたマルチテナントで、マイクロサービスを活用したSaaS 型のアイデンティティ管理サービスとなる。SaaS として利用することで企業・組織は安全性が高く、コスト効率も良く、ビジネスのダイナミックな変化にも追随できるアイデンティティ管理システムを利用できる。

　オフプレ“リス”には自慢できる特徴・クラウドサービスとして確認すべき項目が三つある。

　一つめはクラウドの特徴でもある、常に最新、迅速、運用コストが低い、資産から利用料へのコスト構造の変換である。クラウドの活用がビジネスを加速することは説明するまでもないだろう。

　二つめはSaaS型と豊富なコネクタだ。SaaS型なので自社で構築をする必要がなく、すぐに利用が可能だ。多くの企業・組織で利用されているSaaS型のアイデンティティ管理サービスであれば、専用コネクタ・汎用コネクタがすでに豊富に用意されている。広く利用されているシステム・アプリの場合には、連携先ごとに専用コネクタが用意されている。仮に専用コネクタが用意されてない場合でも汎用コネクタを利用することができる。他のどこかの組織が連携していれば、SaaS事業者に蓄積されている連携のためのノウハウも活用できる。

　また、SaaS型では新規開発されたコネクタはすぐに利用できるようになる。オンプレ型では手間、時間、コストがかかっていたアップグレードやインストールは必要ない。結果として、連携できるシステム・アプリの範囲が広くなっていく。連携できるシステム・アプリが広く数が多いと、アイデンティティ管理システムが連携システム・アプリに合わせることができるため、企業・組織で利用している全てのシステム・アプリを管理できるようになる。自社で大きなコストを負担して連携先ごとに開発していたオンプレミスのシステムとは、大きな違いとなる。
 
　三つめは構築や開発といったプロジェクト・プログラムの進め方だ。例えば、人事システムやActive Directoryなどの主な連携先との接続を含む基盤構築と、個別システムごとの連携を段階に分けて実施することである。段階的に短い間隔でリリースをしていくことで早期に導入効果を得ることができる。オンプレミスの時代であれば、要件定義・設計に半年、構築・開発・テストに半年と1年間かけて実施していたかもしれない。

　ただ、現在のIT環境を考慮するとプロジェクト的に大きなリスクを抱えることになる。半年前に定義した要件が構築や開発時に正しいとは限らない。新たな連携先が追加されているかもしれない。半年の間にビジネス上の理由からアクセス権の付与ルールが変わっているかもしれない。アプリ側の仕様が変わって連携方式が変わってしまうこともあるだろう。事業拡大のために企業買収を行うことだってあるだろう。

「自慢できる」アイデンティティ管理　全てのアカウントを“カバー”（一元管理）するアイデンティティ・“カバ”ナンス（アイデンティティ・ガバナンス）

　次に紹介するのは、全てのアカウントを“カバー”（一元管理）するアイデンティティ・“カバ”ナンス（アイデンティティ・ガバナンス）だ。なぜ、一元管理すると自慢できるのだろうか。特徴・確認項目を「可視化・分析・コントロール」「監査・ガバナンス」「高効率・セキュリティ向上」に分けて説明する。
 

可視化・分析・コントロール

　従来のプロビジョニングだけを対象とするアイデンティティ管理製品と違い、アイデンティティ・“カバ”ナンス製品・サービスでは、システム・アプリ上に分散して保存されている企業・組織内の全てのアカウントを取得・集約する。その上でアカウントの状態を分析し可視化する。

　単純にデータを集めてくるだけではなく、各システム・アプリ上のアカウントをひも付け・関連付けすることで、従業員・社員・パートナー・委託先社員ごとに情報を整理し、「誰がどのシステム上にどのようなアクセス権を持ち、何ができるのか？」を常に把握することができる。情報を集約、分析、可視化することで初めて適切なコントロールが実現できる。不必要な権限を剥奪し、必要な権限を付与することでゼロトラストセキュリティでも必要とされる「最小権限の原則」の維持が可能となる。結果としてセキュリティも向上する。

監査・ガバナンス

　監査・ガバナンスにおける一番の課題は、監査対象となる機能が分散されていること、および監査の実施対象となる情報が分散されていて、情報収集に大きな時間を費やしてしまうことである。しかし、一元管理するアイデンティティ・ガバナンスであれば、アイデンティティ管理の主要な機能である、プロビジョニング、ライフサイクル管理、アクセス権申請、棚卸・アクセス権レビューが一つの製品・サービスで実現されている。また前述の通り、監査・ガバナンスの実施対象となる企業・組織内のアカウント情報が取得・収集されている。したがって、監査・ガバナンス作業の効率が著しく向上し、常にガバナンスが維持されることになる。

高効率・セキュリティ向上

　サイロ型のアイデンティティ管理と比較すると、機能も情報も一元化されているため、重複が排除され高効率なシステムとなる。同時に運用コストや利用コストなどの費用も見える化できる。SOCなどのセキュリティ運用も効率的になり、セキュリティも向上する。

　以前であれば、ID・パスワードの漏洩が発覚すると、持ち主を突きとめ、各システム担当者に依頼して、各システム上のアカウントの状況を確認し、必要に応じて無効化や権限の停止を実施していただろう。一元管理するアインデンティティ・ガバナンスであれば、管理画面から当該ユーザーのアイデンティティと連携するアカウントを無効化するだけで同様の対処が可能だ。
 

「自慢できる」アイデンティティ管理への移行

　「ざんねんな」ではあるが、慣れ親しんだシステムや自社独自仕様に合わせたシステムを捨てる決断をするのは難しいかもしれない。しかし、ざんねんなアイデンティティ管理がDXやゼロトラストへの妨げとなってしまっている状態を放置していてはいけない。すぐに、自慢できるアイデンティティ管理を目指して一歩を踏み出してほしい。