 |
   |
| Up Front Opinion|Another side Talk|巻頭特集|Open Source Solutions|ソフトウェアライセンス| IT活用 |売れるショップ|ビジネストレンド|イベント |
 |
||
| 2006年5月時点の情報を掲載しています。
|
||
 業務改革・改善のためには、どのようなIT活用の方法があるのだろうか。パッケージ化されたアプリケーションの利用によって、どこまで効率は上げられるのか。あるいは、ビジネス系アプリケーションの使いこなしによって改善が図れるのか。そうした視点から、IT活用について考えていく。今月はセキュリティとコンプライアンスについて考察する。 セキュリティの最も基本となる統合ID認証とは 個人情報保護法の施行に合わせて、社内に散在する個人情報を一ヵ所に統合したり、利用者制限を設けて安全性を確保するため、何かしらの対策を実施している会社は多いのではないだろうか。セキュリティの基本は、「制限」にある。これまでのIT活用の基本は、必要な情報をいつでも誰でも簡単に手に入れられることであった。しかし、セキュリティという観点になると、それは反対になる。きちんと管理された情報が、あらかじめ承認された人だけに、必要最低限に届けられることが、もっとも重要な仕組みとなる。そのために、ITでできることの第一歩が、統合ID認証の確立である。 この統合ID認証とは、シングルサインオン(SSO)と呼ばれることも多い。つまり、社内のネットワークにひとつのユーザー名とパスワードでログインして、すべての利用権が統合的に安全に管理されている状態を目指すものだ。いたってシンプルな目的だが、これを実現している企業は少ない。たとえば、社内のネットワークにはWindowsのActive Directoryによるログイン処理を行っているのに、社内ポータルでは別のユーザーIDを入力し、さらにグループウェアでも違うIDが必要になる、というケースは多いのではないだろうか。さらに、業務用アプリケーションごとにユーザーIDが違う例も多い。 こうしたIDの乱立が起きてしまう背景には、アプリケーションを導入した時期の違いや、ネットワークを構築したときのアーキテクチャの違いがある。多くの企業では、段階的にシステムを導入してきたために、構築した時点のオープンシステムに合わせて、ログインIDやユーザー名の管理が、まったくバラバラになっているのだ。もちろん、こうした会社の情報システムでは、ユーザーIDに関する統一化されたポリシーもなければ、しっかりとした管理も行われていない。 記憶に新しい某大手通信系企業の情報漏えい事件でも、退職した社員のユーザーIDが残っていたために、不正にアクセスされて顧客情報が流出してしまったのだ。こうした事件を起こさないためには、退職と同時にユーザーIDが迅速に削除される社内体制を整備することはもとより、IDそのものの管理が一元化されていなければならない。そのためには、全社規模で統合化できるID認証基盤技術を導入する必要が問われている。 コンプライアンスに欠かせない業務処理の透明化とID認証の重要性 一方、日本版SOX法に向けた対策のひとつに、企業としての説明責任や承認プロセスの明確化といったテーマがある。不正経理や利益操作ができないようにするためには、日々の業務処理において適正な承認プロセスが行われているか、経理担当者が単独決済ではなく、複数承認によるチェック機構を維持しているかなど、業務の流れを改めて見直す必要が出てきている。こうした課題に対して、いまITソリューションとして注目されているのが、先月も紹介したワークフローシステムである。 ワークフローシステムの基本は、電子承認プロセスの実現にある。これまで、紙で回覧していた稟議書や申請書に伝票などの書類を電子化し、それを設定した承認者に対してネットワークで回覧し、承認を得て行く仕組みである。いわば、電子伝票処理だ。ワークフローによる電子伝票処理の効果は、二週間以上かかっていた承認時間が、半分から二日という短時間になるということだ。その効果に加えて、いま注目されているのが、コンプライアンスに貢献するプロセスの透明化と説明責任の実現である。 ワークフローがない会社では、ひとつの売上や請求処理に対して、そのすべてを紙に書いて明確化する必要がある。売上だけではなく、購買や借り入れなど、決済に関わるすべての業務を透明化し、その説明を明確にしていかなければ、企業としてのコンプライアンスは確立できない。それを手作業で行うことは、現在の企業活動において不可能とはいえないものの、膨大な手間と時間とコストがかかることは事実だ。それをさらに、定期的に監査しながら報告書も作成することを継続していくと考えると、IT化しなければ合理化も省コスト化もできないのだ。こうした観点から、ワークフローシステムの導入を検討するケースも出てきている。 ワークフローの実現においても重要になるシングルサインオン ワークフローを導入するにあたって、どのような製品を選ぶかは、実際の作業において重要なポイントとなるが、それに加えて重要なテーマが、先に解説したシングルサインオンの確立になる。ワークフローシステムでは、印鑑の代わりにログインしている個人のユーザーIDが、すべての基本になる。つまり、誰かが不正にログインして承認してしまえば、コンプライアンスの根幹が崩れることになる。反対に、適正なユーザーIDの管理が行われていれば、代理承認や承認フローの修正なども、きちんと記録され監査証跡として残すことができる。このような目的において、すべての基本がユーザーIDの正当性と健全性になってくる。 さらに安全性を高めるのであれば、社員ICカードや指紋認証などと組み合わせて、PCの利用そのものをガードすることが、必要になるケースもある。もちろん、あまりにもセキュリティを固めすぎて、利用者の利便性を欠いてしまえば、IT本来の利活用を促進できなくなる心配はある。しかし、これまでのオープン化一辺倒だったシステム構築の方向性から、管理と監視を前提としたシステム基盤を考える必要が出てきている。シングルサインオンは、理屈としては簡単な仕組みであるが、それを実際に全社規模で導入するには、IT部門だけの努力では実現されない。 人事や総務に危機管理室など、人を司る部門との連携をとって、足並みを揃えた導入への取り組みが求められている。加えて、社員教育も重要だ。単にIDカードやログイン認証で縛るのではなく、企業構成員としてどうあるべきか、セキュリティとコンプライアンスに対する意識や必要性を教育し啓蒙していく活動も求められる。 こうした状況になってきたのも、ITがこれまでのような「便利な文房具」という役割を越えて、企業活動そのものに不可欠なインフラとしての責任を担っているからだ。それだけに、企業の中でITに関わる人たちにも、これまで以上の意識や取り組みが求められているのだ。
|
■統合ID認証(シングルサインオン) シングルサインオンなら一度認証を受けるだけで、LANへの接続、社内Webなどのすべての機能が利用できる。  |
|
 |
||
 |
||
本紙の購読申込み・お問合せはこちらからCopyright
2006 Otsuka Corporation. All Rights Reserved.