ID・アクセス管理とは、ユーザーとシステムを紐付けるID情報の付与や改廃を行い、システムに対して、ユーザーが適切にアクセスできるよう制御を行うこと。企業内にあるシステムや情報資産に対するユーザーのアクセスを管理する。今回、ID・アクセス管理をビジネスの変化から考察するために、下記3つの流れで説明をする。


　後半部では、ビジネス視点のID・アクセス管理の取り組みをイメージしてもらうため、具体的なB2Cサービスを題材として解説したい。

1．ビジネスを取り巻く内外の変化

　過去10数年で、企業のビジネスを取り巻く環境は変化し、ID情報はサービス利用やセキュリティ強化のために戦略的に活用されるものとなった。以下が、近年のビジネス変化とID・アクセス管理の取り組みへの影響だ。


　本図では、これまでの変遷が理解しやすいように、2000年代中盤から現在までを3つの時期（第一期、第二期、第三期）に分けている。第二期と第三期の境目は2010年前後のリーマンショックと東日本大震災であり、各時期のID・アクセス管理の「目的・背景」を記載している。

　第一期では、コンプライアンスを主な目的としたID・アクセス管理の導入が行われていた。たとえば、金融商品取引法に定める内部統制報告制度（いわゆるJ-SOX）対応のため、IT業務処理統制およびIT全般統制におけるコントロール（統制）として、業務システムやプロセスのIDや権限与奪の整備が行われた。

　これにより財務報告にかかわるシステムのデータ入力や利用における完全性および正当性の確保や人事イベントと連携したライフサイクル管理が行われ、人事異動や退職に伴うシステムアカウントの無効化や削除、定期的な棚卸しなどが実施された。

　第二期では、国内外の金融不安から世界的に経済活動が減速したため、企業は抜本的なコスト構造の見直しに着手し、これに伴うID・アクセス管理の見直しが行われてきた。

　たとえば、本業のビジネス以外のコストの増加を低減するために、商品の生産拠点やコールセンター業務、システムの運用などは海外移転を含む外部への委託が進められた。

　さらに、社員の働き方は変化し、テレワークの活用により、自宅や外出先から社内情報を扱う機会も増えていった。このようなビジネスの効率化を背景として、外部環境との連携を想定したID・アクセス管理の検討へ方向性を広げていった。

　第三期では、BCPなどの事業継続に関する投資が増え、第二期に比べてクラウド、データセンターの本格利用は促進された。

　また、国内企業へのサイバー攻撃の被害が増加し、大きな問題となったことで、金融機関や政府機関以外の業種でもセキュリティ投資が年々増えている状況だ。個人情報、決済情報などの保護はますます重要性を増し、サービスの強化のためにシステムやデータ管理を集約化したことで、より高度なセキュリティ対策が必要とされている。

　その他に、スマホやタブレット、家電製品、センサーデバイスなどの様々なデバイスとの連携がビジネス上で想定されるようになり、ID・アクセス管理の役割はさらに重要性を増している。

　こうした一連の流れは、ビジネスの収益とコスト、リスクとのバランスを考えたセキュリティ対策の投資が求められるようになっているものと言えよう。

【次ページ】ビジネスを成長させるためのID・アクセス管理とは