ActiveDirectoryのグループ全社展開から見えたID管理の必要性
将来的には、職務分掌との連携による真のID and Access Managementを目指す
昭和電線ホールディングス株式会社様
電線ケーブルの総合メーカである昭和電線ホールディングスでは、ホールディングス制への移行に伴い、アクセス権管理や情報共有の目的で国内のグループ全社をAD化した。しかし、このAD化により組織変更や人事異動に伴うアクセス権の変更作業が増大し、その作業に1ヶ月かかる状況に陥った。そこで、ID管理システム(IDM)の導入により、人事情報と連携した自動的なID管理を可能とした結果、1ヶ月かかっていた設定作業は、2日で対応可能となった。
グループ全社のAD化
担当者の経営企画部では、国内外の関連会社も含めた昭和電線ホールディングスグループにおけるIT 整備計画の実行が業務であり、2006 年のホールディング制への移行を契機にグループ内の情報システムを刷新しており、担当者がID 管理やアクセス管理に目を向けたのもこの時期となる。
「その当時は、グループ各社でバラバラに運用されていたシステムを統一する計画を策定して、人事情報、プラットフォーム、基幹業務系システムの統一を推進することとなりました。先ず、人事情報を一新するとともに、既に導入していたintra-mart のバージョンアップにより情報基盤としての整備を行いました。
さらに、より厳密なID・アクセス権限などの管理を目的として、グループ全社のAD 化を図りました。」と担当者は当時を振り返る。
AD化による管理負荷の増大
グループ全社のAD 化が進み、待っていたのは組織変更や人事異動に伴うユーザ情報の変更作業であった。グローバル化に伴い、市場に対する迅速な対応を目的とした組織変更や異動が多く発生しており、その度にアクセス権の変更作業が必要となった。定期人事異動の時期には、作業完了まで1 ヵ月程度の時間を要して、管理者の負荷のみならず異動した部署でシステムを利用できないユーザが発生するなど直接業務に影響がでる状況であった。
さらに、内部統制対応における負荷増大が予測されたことと、「手作業による統制対応の作業時間とコスト」、「ID の削除忘れなどのヒューマンエラー」、「ルールに基づく適切な権限付与(剥奪)による不正アクセス権の防止」などを考慮して、人事イベントと連携して各システムにID 情報を自動的にプロビジョニング(配信)し、システム的にIT 統制監査に対応できるIDM の導入が決定された。
システム構成と製品選定
1st ステップとして、連携する管理対象システムを各社の販売在庫管理、購買、AD、intra-mart、desknet’s に絞って早期の立ち上げを目指した。それでも各システムを横断的に連携するシステムということもあり、調査から要件定義までに5 ヶ月、基本設計から構築、運用開始までに9ヶ月を要するプロジェクトとなった。(図-1 システム構成図)
システム的には、人事システムを源泉情報としてIDM の前段に「中間DB」を配置して人事情報に含まれない情報やワークフローからの申請情報をここで精査してIDM に渡す構成となっている。
また、IDM 製品としてはNovell IdentityManager が採用となったが、担当者は採用に関して「製品選定では、兼務・兼任などの人事異動にも柔軟に対応でき単純な条件しか対応できない製品は候補から排除しました。最終的には、多くの導入実績や監査対応機能を考慮して決定しました。」と説明する。
図-1 システム構成図
IDMに要求される機能
人事異動に対する柔軟な対応に加えて、人事情報に登録された利用者が出向や転籍、部署異動する際には、2 週間の引継ぎ期間を設けて旧システムの利用も可能とした「引継ぎ機能」や利用者が退職した場合やシステム停止後から、90日経過後に各アカウントと個人データが削除される「データ削除機能」などを充実させた。
これら機能を可能としたのは、IDM の前段に配置された「中間DB」によるものであり、ここでIDM にデータ反映するタイミングを調整している。
また、ユーザや管理者へのID の引継期間通知や期限切れ通知機能、共有ID や人事システム外ユーザの参照機能などの統制監査に必要となる機能も盛り込まれており、統制監査における時間とコストの低減にも期待ができる。
ID 管理では、統制対応には認証、認可、管理、監査証跡というアクセス管理が必要となる。また、アクセス管理では複雑化した企業内のID の仕組みをシンプルに整理するシングルサインオン(SSO)が有効である。昭和電線では、ID 管理システムの導入とともに連携先でもあるintra-mart により、ID 管理における申請・承認ワークフロー機能や販売在庫管理、購買、desknet’s を纏めたポータルからSSO でのログインを可能とした。(図-2 ポータル画面)
図-2 ポータル画面
変更作業が、1ヶ月から2日に短縮
「今回のID 管理システムにより、人事異動に伴うID の作成、変更、削除、グループ(ロール)のメンバー変更などが自動化され、ルール化されたセキュリティポリシーの運用が可能となりました。これまで1 ヶ月掛かっていたアクセス権の変更作業も2 日で済むようになり、ID に係る管理負荷は大幅に軽減されました。また、異動や組織変更時には、ユーザも待たされることなくシステムが利用できるので、これまでのように業務を停滞させることも無くなりました。今後、さらに2nd ステップとして財務会計や原価管理などの基幹システムを連携すれば、このIDMは、内部統制における監査の中心基盤として昭和電線のシステムを支えていくと考えています。
また、グローバル化を進める昭和電線では、海外のグループ会社のID 管理についても、今回導入したシステムに連携して国内と同じセキュリティや運用を目指したい。」と担当者は紹介する。
職務分掌システムとの連携を目指す
グループ会社間で、入力代行や配送代行、倉庫管理など業務委託をしている場合には、人事情報で所属している会社以外のグループ会社のシステムにアクセスする必要が出てくるなど、人事情報だけではアクセス権管理ができない場合がある。つまり、IDM を導入しても標準ロールであれば人事システムからの情報でID 管理が可能となるが、個別ロールの場合は、ワークフローから個別に申請してアクセス権を割付る必要があるのだ。
「これは、人事情報は所属情報であって業務情報が含まれないためであり、人事情報のサブシステムとして職務分掌システムを作りIDM に連携することで、実際に何処で何の業務を行っているのかを把握できるようになればこの問題は解決できるはずである。」とアクセス管理に職務分掌システムを利用することで、実際の業務に応じた的確なアクセス管理が実現できるとして、担当者は今後の対応に意欲的である。
また、「このように人事・組織情報と実際の業務とが異なる場合など、ID 管理は非常に奥が深いことが今回のシステム導入により理解できました。」と担当者は言われる。
プロフィール
電線線材、電力システム、巻線、コミュニケーション、デバイスを主な事業とし、国内外に38の関連会社を有する1936 年設立の電線ケーブル総合メーカである。責任と権限を明確化した事業経営の自立と迅速な意思決定を目的に、2006 年に持株会社体制へ移行したのに伴い昭和電線ホールディングスと社名変更している。
Creating for the Future のスローガンのもと「インフラ」、「ユビキタス」、「アメニティ」、「環境」という4 つの未来(ステージ)に向けて次なる価値を提供している。
お客様プロフィール
- 法人名
- 昭和電線ホールディングス株式会社
- 所在地
- 東京都港区虎ノ門4-3-1(城山トラストタワー)
- 設立
- 1936年5月26日
- SWCC グループ
- 連結売上高
171,780百万円(2011年度実績)
連結純資産額
41,778百万円(2012年3月31日現在)
連結総資産
143,498百万円(2012年3月31日現在)
連結従業員数
5,972名(2012年3月31日現在) - 従業員数
- 9,702名 [連結27,926名]
(2011年3月現在)
- *記載されている内容は予告なしに変更される場合があります。