「アイデンティティ管理の実装は事業価値の高い分野から段階的に」とケンブリッジの鈴木氏

　ノベルとケンブリッジ・テクノロジー・パートナーズは9月8日、“Identityを制するものがビジネスを制す”をテーマとしたイベント「Novell+Cambridge Day 2004」を都内ホテルで開催。ケンブリッジが提供するIdentity Based Computingを紹介する講演に、ケンブリッジ・テクノロジー・パートナーズのアソシエイトバイスプレジデント鈴木努氏が登場し、Identity管理・活用によるビジネス変革の必要性を訴えた。

　古くは1999年7月に21万人の情報が流出した宇治市から、2004年2月に史上最高ともいえる451万人の情報が流出したYahoo！BBまで、後を絶つことのない個人情報漏えい事件。宇治市のケースでは、システム委託先のアルバイト社員が名簿会社に売却した。また、Yahoo！BBでは退職者のIDを悪用して情報を不正に引き出すなど、その多くは内部管理の不徹底により引き起こされている。

　情報漏えい事件の加害者となることで、宇治市はプライバシー侵害を訴えた住民3名に対し1人あたり1万5000円の支払いを命ずる高裁判決が下されている。またYahoo！BBでは、全会員に500円、総額40億円の金券を送付するとともに、数億円のシステム強化コストが必要になっている。このような事件を防ぐためにも、アイデンティティマネジメントの必要性に注目が集まっている。

ケンブリッジ・テクノロジー・パートナーズ アソシエイトバイスプレジデント 鈴木努氏

　鈴木氏は、「従業員数が1万人の企業では、約4000人が派遣社員やアルバイトなど人員構成がますますに複雑になっている。もはや単なるユーザーID／パスワードだけでは管理しきれない」と言う。その一方で、「アイデンティティマネジメントの実現により顧客の個人情報保護に対する不安を解消し、サービス指向のアーキテクチャを活用することで、大きなビジネスチャンスが生まれる」と話している。

　アイデンティティマネジメントの実現は、「適切な計画策定の実施」「アクセスコントロールの設計」「方法論に基づくプロジェクトの実行」の3つが成功の要因となる。

　適切な計画策定の実施では、アイデンティティマネジメントが事業戦略を支援することを理解し、経営層の支持を取り付け、段階的な導入を行うことが重要になる。また、アクセスコントロールの設計では、管理をシンプルにするロールとポリシーを活用することが必要だ。さらに方法論に基づくプロジェクトの実行では、適切な教育・支援やコミュニケーションプランを実施し組織間の調整を実施し、システムの保守アプローチを構築することが成功の鍵となる。

　アイデンティティマネジメントの導入効果について、コンサルティング会社であるバートングループでは、ユーザー数、システム数の多い企業ほど、アイデンティティマネジメントの導入により大幅なコスト削減が期待できると報告している。あるユーザー数2万5000人の企業では、アイデンティティマネジメントの導入により4400万円のシステム運用コストを600万円に削減した事例もある。この事例では、実に86％のコスト削減を実現したことになる。

　そのほかの国内企業でも、すでに多くの企業が何らかの取り組みを行っている。しかし、単純なアイデンティティマネジメントの導入では投資に見合う効果を得ることは難しい。アイデンティティマネジメントに基づくアプリケーション導入やセキュリティ強化など、より高いRoSI（Return on Security Investment）を得るための取り組みが必要になる。

　「アイデンティティマネジメントを有効に活用するためには、シングル・サイン・オン（SSO）管理やIT資産管理、社内ポータル、ワークフロー、課金システムなど、さまざまなソリューションを組み合わせていくことが必要。アイデンティティマネジメントは、それ自体で効果を出すものではなく“縁の下の力持ち”なのです。広がりを持ったプランを考えることが必要です」（鈴木氏）

　まずは、幅広い将来像を描き、システムを統合、全社システムへと統合を拡大し、さらにグループ企業全体へと拡大していく段階的な計画を策定することが有効になる。

　鈴木氏は、「アイデンティティマネジメントの要となるアクセスコントロールの設計では、ロールとルールを組み合わせ、効果的なポリシーを実現することが必要です」と話す。

　ロールおよびルールとは、ユーザーのアクセス要求を満たす権限の集合で、ロールは組織としての権限を集めたもの、ルールはビジネスルールに基づく権限を集めたものといえる。例えばロールでは、人事部、営業部、マーケティング部など、所属ごとに縦断的なアクセス可能な権限を定義し、ルールでは、東日本か西日本かといった所属に横断的なアクセス権限を設定する。

　これを組み合わせることで、個人に対しては、どこのロールに所属するかを設定するだけで、アクセス権限を利用することが可能。例えば人事異動があった場合でも、ロールの設定を変更するだけでアクセス権の再設定を行うことができる。従来のアクセス権限設定では、個人に対し、所属やビジネス上のルールを設定していたために、人事異動が発生した場合、すべてのアクセス権限を再設定しなければならなかった。

　「組織とリソースの優先順位付けの基準は、ROI（投資利益率）を決定する評価基準に基づくことが必要です。複雑にならないよう、組織階層の2〜3レベルのロールのみ定義し、IT活用度の高いユーザーがいるレベルからスタートして徐々に前者に向け拡大していく段階的なアプローチが有効です。また、ロールを作成し、実装し、維持するプロセスを定期的にチェックしていくことが重要です」（鈴木氏）

　ケンブリッジでは、このようなアイデンティティマネジメント実現のためのサービスを、現状分析から要求分析、設計、構築、サポートまでのコンサルティングライフサイクルに基づき提供。ワールドワイドで実績のある方法論を活用することにより提供する。ケンブリッジの方法論では、「スピードを重視し、必ず価値を見出すことを約束します」と鈴木氏。

　「アイデンティティマネジメント戦略を大きく描いて段階的に導入することで、シンプルなシステム環境と安全かつ俊敏な企業を実現することができるのです」（鈴木氏）