人員削減に伴うユーザーアカウントの解除（TechTarget）

2009年02月04日(水) 08時55分

人員削減に伴うユーザーアカウントの解除（TechTarget）

　景気低迷期には多くの企業が、商品やサービスの需要減少に対応するために組織のリストラを迫られる。このようなリストラは大規模なレイオフを伴うことが多く、そうしたレイオフは一般に、経営上層部が前もって決めた日に実施される。本稿では、人員削減の際に慌ただしく仕事をこなすことを要求される情報セキュリティ・IT管理担当者に役立つように、多数のシステムアカウントの解除を管理するための基本的なポイントを説明する。

●ユーザーアカウント解除の厄介さ

　情報セキュリティ・IT管理担当者の多くは、近いうちに人員削減が行われることになっても、ほとんど、あるいはまったく知らされない。このため、ユーザーアカウントガバナンスの責任者は、2つの厄介な課題に対応しなければならない。1つは、各種のシステム全体にわたって、人員削減対象者に割り当てられたアカウントをすべて特定すること。もう1つは、それらのアカウントを短時間のうちに無効にするか、削除することだ。時には作業時間が数時間しかないこともある。

　こうした課題をクリアするには、リスクベースアプローチが必要になる。最初に、ユーザーが多い高リスクのシステム、例えば、機密の顧客データを扱うシステムや、資金を移動する機能を持つシステムなどに取り組み、最後にアカウントがごく少ない低リスクのシステム、例えば社内電話帳システムなどに取り組むのが原則だ。

●ユーザーアカウントの解除プロセス

　まず第一に、解除するアカウントを特定する。あなたの会社がSailPoint Technologiesの「IdentityIQ」やEurekifyの「Sage」のような製品を持っていれば、非常に便利だ。管理者はこうしたアイデンティティーガバナンスツールにより、さまざまなシステムについてアカウントをエンドユーザーに対応付け、ポリシーに従って管理できる。こうしたアプリケーションは、各システムの解除対象アカウントのリストを作成するのに役立つ。削除チケットをシステム管理者に送信し、作業指示フィードを自動プロビジョニング／プロビジョニング解除製品に送信する製品もある。これらのツールにより、最初の課題が解決される。

　アイデンティティーガバナンスアプリケーションやプロセスがない場合には、管理者は各システムについて解除対象アカウントを調べることから始めなければならない。この作業は、システムの数によってはかなり時間がかかる。そのプロセスをスピードアップするには、解雇対象者全員のリストと所定のシステムのアカウントを自動的に比較するスクリプトを前もって準備しておく。

　すべての関連システムですべての解除対象アカウントを特定したら、次のステップは、それらのアカウントを削除するか、無効にすることだ。会社の既存のポリシーを基に、アカウントを無効にすべきか、削除すべきかを判断することになる。削除するのが理想だが、幾つかのもっともな理由から、会社がアカウントを保持しなければならない場合もある。例えば、会社が電子メールにアクセスしなければならない、あるいは監査証跡の継続性を確保しなければならないといった理由がある。アカウントの無効化や削除は、確立されたプロセスにできるだけ忠実に従って行う必要がある。急いで作業を進めるときに、わざわざ独自の工夫を加えようとするのは無駄な努力だ。削除しない解除対象アカウントがある場合は、それらのパスワードをランダムで非常に複雑なものに変更した上でアカウントを無効にしなければならない。

　IBMの「Tivoli Identity Manager」やOracleの「Identity Management」のような自動プロビジョニング製品を持っている場合、それらを利用して、デフォルトポリシーに従ってアカウントを無効にしたり削除したりできる。この無効化や削除は、HRフィードが雇用形態やワークフロー、プロビジョニング解除ポリシーに基づいて一連のイベントを引き起こすことで、通常のプロビジョニングプロセスと同じように簡単に実行されるだろう。

　会社が自動プロビジョニング製品を持っていない場合や、持っていてもそれがすべてのシステムをカバーしていない場合は、スクリプトを作成すべきだ。このスクリプトには、最初のステップで作成された解除対象アカウントのリストを与えることになる。また、このスクリプトはシステム構築の下流工程、つまり開発やQAの担当者によるテストを受けなければならない。レイオフの際には、ただでさえ本番環境の運用に一時的に支障が生じる。スクリプトの不備でそれ以上の支障を招くのはもってのほかだ。

　前もってスクリプトを作成して社内で承認を得ておけば、作業を行う上で大きなプラスになる。そのスクリプトは適切な開発とテストを経たものということになるからだ。このスクリプトの開発とテストはアカウント解除プロセスの構成要素だが、スピードが要求される状況では、やっつけ仕事になりがちだ。

●ユーザーアカウント解除のベストプラクティス

　会社の解雇プロセスがどのようなものであれ、人事部門と密接な連携を取ることが欠かせない。一般的に、情報セキュリティ・IT管理担当者は、標準ポリシーの規定から離れてアカウントをどう扱うかを決定する立場にはないからだ。どのアカウントを削除するかを決定したり、アカウントの無効化や削除のタイミングを標準プロセスとは異なる時間帯に設定することは、セキュリティチームの担当外だろう。例えば、自動化製品がHRフィードに基づいてアカウントを午前5時に削除することになっている場合、セキュリティチームは、そのプロセスを臨時に正午に開始する権限を認められていないはずだ。アカウント解除ポリシーは明確に定め、周知しなければならない。適切なルートで書面による別の指示がない限り、このポリシーに例外なく従う必要がある。解除プロセスはできるだけ客観的かつ公平なものでなければならない。

　レイオフの際に起こり得る痛い失敗の最たるものの1つは、保持すべきだったアカウントを削除してしまうことだ。こうした失敗を想定し、アカウントの復元プロセスなどを含むフォールバック計画を策定しておくとよい。また、誰がレイオフ対象者かをヘルプデスクが判別できるようにしておく必要もある。会社に不満を持った社員がアカウントの有効化とリセットを電話で依頼してきても、ヘルプデスクが応じないようにするためだ。

　数カ月以内に人員削減を行う可能性がある企業は、対象人数にかかわらず、アカウント解除プロセスは同様なものになるだろうということを頭に入れておこう。社員の大量解雇に対応できるツールとプロセスが整備されていないのであれば、今の時点から、解除対象アカウントの特定とその無効化、削除を行うためのスクリプトを作り始めるとともに、人事部門にアカウント解除プロセスを十分に理解してもらうようにしなければならない。

本稿筆者のデビッド・グリフェス氏は、RBS Citizens Bankの業務統合・リポーティング担当副社長。同行は資産・預金規模で米国の商業銀行上位10行の一角を占める。同氏は職務の一環としてエンタープライズアイデンティティー＆アクセス管理部門を統括し、同行の成長モデルのサポートに加え、幾つかの監督機関の規制に対するコンプライアンスの維持を担当している。フレーミングハム州立大学でコンピュータ科学の学士号を取得。CISSP（公認情報システムセキュリティプロフェッショナル）やCISA（公認情報システム監査人）などの資格を持つ。

【関連記事】
・ ID管理/アクセス管理システムの導入ステップ
・ CAがIAMスイートの新製品、第一弾はID管理ツール
・ユーザーID統合管理システム

http://headlines.yahoo.co.jp/hl?a=20090204-00000017-zdn_tt-sci