2002年7月、米国で企業に内部統制の強化を求める企業改革法（SOX法）が施行された。日本国内でも新会社法、金融商品取扱法（いわゆる日本版SOX法）など、企業統治を厳正化する動きが高まっている。

ファイザー株式会社（グローバルに事業を展開する製薬大手ファイザー社の日本法人：以下ファイザー）は、米国SOX法に対応するため、IT統制を支えるユーザーアイデンティティ管理の基盤を強化する取り組みを進めてきた。

企業活動とITが切っても切れない関係にある以上、内部統制はIT統制に通じている。そしてIT統制に欠かせない1つの要素が、高度なユーザー情報管理体制の構築だ。管理者がユーザー情報管理を厳密に行うことで、システム上の資源にいつ、誰が、どんなことをしたか把握できるまた、アカウントごとにアクセス権のレベルを設定するにも、ユーザー情報を一元管理する仕組みが不可欠だ。

そこで、ファイザーは重複アカウントの排除、ActiveDirectory（AD）の導入、ID・従業員ID・シングルディレクトリサービスとのデータの同期などを経て、全社員11.5万人のIDの認証・管理・認可・グループ管理を行う「Identity&Access Managementサービス」（以下、I&AM）のデリバリー構想を立ち上げ、移行を進めている。目的は情報アクセスの容易化とセキュリティの向上だ。

I&AMの基盤となる認証・認可方式には、シングルサインオン（SSO）ベースでアクセス制御できる「Oracle Access Manager」が採用された。オラクル社のアイデンティティ管理とアクセス管理のソリューション「Oracle Identity and Access Management Suite」のコンポートネントの1つである。

I&AMの構成は下図の通り。構築のポイントは、「統合ディレクトリの設置」「Oracle Access Managerによる認証・認可」「グローバルの人事システムであるPeopleSoftとの連携」の3点だ。

数あるアプリケーションに対する認証・認可にはOracle Access Managerのほか、LDAPやWindows統合認証や既存SSOサービスも採り入れているが、新規アプリケーションや既存の戦略的なSOX対応やGｘPなど、重要なアプリケーションにはOracle Access Managerを最優先に推奨している。また、すでにあるアプリケーションのうち、廃止予定のものは認証・認可方式を変更しない、既存SSO基盤対応のものや戦略的でないものは個別のアプリケーションごとに対応するのではなく、既存SSO基盤とI&AMを統合する、などアプリケーションのタイプごとに認証・認可の方式を決定している。

日本のシステムへのI&AM適用を実施しているのが、同社CITエンドユーザ・ワークプレースマネージメント部メッセージング＆アカウントサービス課のシニアマネージャー、CISA・福崎巧氏と、同課の星谷みよ子氏だ。業務アプリケーションの開発や運用を行う部署と協働しながら、日本の社員約6000人のユーザーアイデンティティ管理を手がけている。

福崎氏は、I&AM導入のメリットを2点挙げる。 「1つはSOX法の職務分離に対応できることです。IDコントロールは、業務システムを開発する部でなく我々が行います。最終的に管理を一元化できれば、監査に対してエビデンスを示しやすくなるし、運用も簡便になる。実際、移行を済ませた分については手動で行っていたID登録業務を廃止しています。結果としてコストメリットも見込めるでしょう。もう1つは、新規アプリケーションのセキュリティのインフラがグローバルで1つになること。個別に設計して実装していたのを、I&AMを標準仕様として定義することで、同じ品質で製品が稼動する環境を提供できるようになります」

SOX法では退職者IDを24時間以内に削除することが求められ、これも課題の1つだった。だが、I&AMに退職者のID削除を自動化する機能「Automatic de-Provisioning」を構築したことで、24時間以内に退職者の情報を読み取って自動的に停止するプロセスが確立できたという。

星谷氏は、「以前は日本の全社員のアカウントと人事情報を毎月突き合わせていました。さらに、SOP（作業標準）の作成、エビデンスの洗い出し、管理者のサイン――と、プロセスを作って監査サイドに説明しなければいけなかったんです。一貫したプロセスを包括的に実装することで、オペレーションももちろん容易になるし、監査時の説明も簡素化できました。

Oracle Access Managerを装備したI&AMのIT統制は実を結びつつあるようだが、「Oracle Identity and Access Management Suite」の日本初の事例ということで、当初は手探り状態だったという。「複雑に連携するシステムに手を入れることの難しさを痛感しました。オラクルのエンジニアと検討を重ねた末、ようやく技術的な課題の解決に至りました」と福崎氏。通常の認証システムと違い、今回はアプリケーション群が連なる2つのSSOの上にOracle Access Managerをかぶせるという、イレギュラーな手法が求められた。「特に最先端の製品については、現場に入って顧客側の環境を理解してくれないと作業が滞りかねませんから、現場経験のある技術者に協力を仰げて感謝しています」と、福崎氏はオラクルと今後も協調していく方針を語った。

一方で両氏は、IT統制の強化には、エンドユーザーや関係部署との連携が不可欠と説く。

社内各部の担当者にしてみれば、日常の業務を優先せざるを得ないこともあるだろう。重要だが緊急でないことは、つい後回しにされがちだ。そこでコンプライアンスを遵守することの重みを関係者に粘り強く訴えることが重要だという。

星谷氏は、今後の課題にディレクトリの品質を高めてアクセスコントロールを向上させることを挙げ、それには業務アプリケーションを開発する側の協力が欠かせないと述べる。「私たちの役目はインフラを用意すること。さらに、それをどう使うかというニーズを引き出すことでもあります。これまで以上に他部署と歩調を合わせて、I&AMを発展させていきたい」と意気込みを語った。

福崎氏も「よいサービスを提供するには、ユーザーの立場で考えること。情報や状況をシェアしながら進めることが大切です」と口を揃える。

「社会的風潮として個人情報の取り扱いが厳重になっているし、パソコンの使用も厳しく管理されています。IT統制は2008年ごろまでには社会的に必ず導入される仕組みであり、アイデンティティ・マネジメントはその根幹です。我々の進んでいる方向は決して間違っていません」（福崎氏）

さらに星谷氏は、「セキュリティのROIは見えにくく、本当に導入すべきか迷っている経営者の方もいるかもしれませんが、IT統制のうえでプロセス化は重要です。できるだけ早く着手して、リスクと対策を早めに洗い出すといいと思います」と言葉をつないだ。

今後、ファイザーはI&AMによるアイデンティティ・アクセス管理をさらに発展させ、現在導入を検討しているOracle E-Business Suiteをはじめ多数のアプリケーションに適用していくという。

日本版SOX法では、米国版にない「ITの利用」が構成要素に加えられている。日本企業もIT統制の強化を免れることはできない。ファイザーの取り組みは、多くの企業にとって重要な示唆となるはずだ。

※1 Oracle Access Manager の旧製品名称はOracle COREid Access & Identity です。

本事例の内容は、2006年7月時点のものです。