社員が倒れてしまったら、どのようにしてその穴を埋めるか 前回は、パンデミックの発生により出社できなくなった場合に備えた対策をご紹介しました。ただそこには、仕事をする社員自体は健康である、という前提がありました。では、社員が新型インフルエンザに倒れてしまった場合は、どうすればいいでしょうか。当然、誰かがその社員の仕事を代行しなければなりません。誰が誰の代行者を務めるのか。倒れた本人の頭の中には、"彼(彼女)にやってもらおう"という目算がたつことでしょうが、本来ならば、こうした代行者の体系はあらかじめ組織として明文化しておき、情報システムでも即応できるようにしておきたいものです。 適切な代行者に適切な権限を与えること では、代行者は迅速に決まったとしましょう。その人物はある権限を持って仕事を行うことになりますが、具体的にどのような権限を持つことになるのか、これもあらかじめ整理をし、説明可能にしておく必要があります。そうでなければ、任された本人や周りが混乱してしまいます。他人の仕事というのは、案外見ているようで見ておらず、知っているようで知らないものなのです。加えて、システム側にも備えが必要です。代行者をうまくチェックできる体制がないと、不用意にセキュリティレベルを落としたり、コンプライアンス違反を招いたりすることになってしまいます。脅威につけこまれるスキが生まれるとしたら、まさにこういうタイミングです。 演劇では、主役が倒れた場合の代役を必ず決めておき、セリフや動きを覚えさせて万が一のときに備えますが、中断を許されない営みという意味においてはビジネスも同じこと。"非常時であっても秩序は乱さない"という高いモラルで組織形成を行うことが重要です。 いくつかの権限をセットにして運用する『ロール管理』という考え方 ITの世界には、権限管理を行う上での概念として"ロール"というものがあります。ロールとは、一言でいえばいくつかの権限がセットになったものです。例えば営業という職務に与えられる権限として考えられるものに、顧客への納入価格決定権、在庫の引き当て権、交際費や交通費の利用権などがあります。これらをシステム利用上の具体的な権限とひもづけて一まとめにし、営業担当者ロールとしてグループ管理するのです。そうすれば、パンデミックの際も、するべきことは代行者に指名された人物に対してしかるべきロールを付与するだけです。これを、企業に存在する権限セットの数だけ用意して包括的に管理していこうというのが、エンタープライズ・ロールという考え方です。ただ、実際に企業規模でロールを定義していくのは大変な作業です。ロールというのは、部門や役職の単位で単純にまとめられるものではなく、あらゆるケースを洗い出した上で体系化しなけばらないからです。 ロール管理に特化したSun Role Manager サン・マイクロシステムズには、この業務をITの力で強力に支援するロール管理専用のアプリケーションがあります。それがSun Role Managerです。 企業情報システム上の存在する、非IT資産を含めたあらゆるユーザ情報を、Identity Warehouseというリポジトリに蓄えることができ、それによってユーザアクセス権限のマトリックスを一元的に作成することが可能になります。何より特徴的なのは、ロールの自動生成ができることです。Sun Role Manager では、Identity Warehouseをマイニングすることによって、ユーザに対してすでに割り当てられている権限を探りだし、それをベースにロールの雛型を提案することが可能なのです。後はそれを微調整するだけですむため、非常に短期間でエンタープライズ・ロールを完成させることができます。私たちはこれをボトムアップアプローチと呼んでいますが、このような手法を取るのは、企業における現実の権限体系が非常に複雑であることを考慮してのことです。もちろん、人事マスター情報などを元にしたトップダウンアプローチに基づいたロール生成を行うことも可能です。 Sun Role Managerはさらに、生成されたロールにコンプライアンス違反が包含されていないかどうかをチェックする監査機能、付与されたロールが適切かどうかを承認するためのサーティフィケーション機能、IT用語をビジネス上の言葉に解説する機能などを有しており、エンタープライズ・ロールのライフサイクル管理を高い次元で実践できます。実際、世界最大手の金融機関A社では、それまで35万ユーザのメインフレームに対する2000万に上る権限の管理・チェック業務が紙ベースで行われていたために、その効率・精度が向上しないという課題に悩まされていました。そこでA社はSun Role Managerを導入。アクセス権限の認証と証明を自動化するとともに、 最新のユーザ、ロールなどを格納するリポジトリを構築、ユーザの権限レビュープロセスの大幅な改善を実現させました。これにより、ロールを設計し、調整するための基盤も確立されたといいます。 権限遂行を支援するSun Identity Manager、Sun OpenSSO Enterprise  図1 「Sun IAM ソリューション全体像」
一方、そのように整理された権限を確実にチェックしながら遂行できるようにしようというのがアクセス管理という考え方です。最もベーシックなレベルは、ID・パスワードを入力して照合できればシステムにアクセスできるというものですが、これが万全な仕組みではないことは、日ごろの業務の中で実感されていることでしょう。 Sun Identity Managerは、企業に存在する様々なシステムのアクセス管理を包括的に実現する製品で、これを利用することでアクセス権限の設定、検証、 是正、報告を容易に行えるようになります。例えばアイデンティティプロビジョニング機能は、システム上の既存アカウントをリンクによって自動的にひもづけることによって、ユーザのアカウントを一つの集合とするもの。リンクされたアカウント"群"に対して、その利用上で発生するパスワードや属性の変更、無効化/有効化などの作業も一元的に実行できます。新規アカウントもそれぞれのシステム固有のID体系に基づいて自動生成できるため、アクセス管理にまつわる業務負荷を大きく軽減可能です。 また、既存のアクセス権限に対してスキャンをかけることによってコンプライアンス違反を発見する、アイデンティティ監査も簡単に行えるため、発見的統制を実施することもできます。実際にユーザを認証するという局面においては、Sun OpenSSO Enterpriseが全面的にサポートします。WindowsのActive Directory認証、Windowsドメイン認証、ワンタイムパスワード製品による認証、ブラウザや社員証に格納された X.509(クライアントデジタル証明書)による認証、生体認証と豊富な認証機能を有し、自らデータベースを搭載して高速な認証処理が可能であるとともに、既存システムへの改修が最低限ですむ方式での実装、厳格なアクセス制御が可能な実装、どちらにも対応しています。 こうした製品から構成するサン・マイクロシステムズのIAM(Identity and Access Management)ソリューション(図1)。こうしたソリューションを活用することで、出社できない社員が続出するような事態に陥っても、代行者が適切なシステムに適切にアクセスし、認められた権限の中で正しく業務を遂行できる、秩序だった組織を実現でき、それはつまり企業活動の日ごろのコンプライアンスレベルを大きく向上させることにつながっていきます。
| Sun Fun Times
|
||||||||||||||||||||||||
| | ||||||||||||||||||||||||
印刷用ページ