企業の成長を妨げる情報システムサイロ化の罠

機密情報や個人情報。企業には外部には絶対漏らしてはならない情報が数多く存在している。昨今企業の存続に関わる情報漏えい事件が多発している中で、情報セキュリティへのより強固な対策は必要不可欠である。

しかし、多くの企業で次のような「危険なパスワードの管理」が未だに行われているのが実情である。

さてここで1つ問いたい。
「社員の“パスワード管理への認識の甘さ”に危機感を覚える経営者はどのくらいいるのだろうか?」

実際は、現場で働く社員が「危険なパスワード管理」をしていることで、いつ情報漏洩が起こってもおかしくないのが現状だ。この原因となっているのが情報システムのサイロ化だ。情報システムのサイロ化とパスワード管理。これらは一見別々の課題に見えるが実は密接に関連している。

複数部門間の連携が疎かになる情報システムの「サイロ化」
出典元:ITの常識が変わる!成長する企業はなぜSSOを導入するのか

情報システムのサイロ化とは、企業内の各部門が他部門との連携をすることなく、自らの業務の部分最適化のみを優先した業務システムを別々に立ち上げて運用している状態をいう。元々サイロとは穀物などを貯蔵するタンクのことだが、英語圏では「窓がなく周囲が見えない」という意味も含んでいる。

サイロ化されたシステムは情報システム部門のガバナンスが効いていないために、効率が悪いだけでなくセキュリティ面にも問題があるケースが多い。サイロ化した業務システム同士ではパスワードもバラバラで、社員は多くのパスワードを使う必要があり、結果として「危険なパスワード管理」を行ってしまう。例えば生体認証のように、パスワードに依存しない高度な認証の仕組みを導入しようとしても、ガバナンスが効いていない状態ではそれも難しい。

情報システムのサイロ化を解消し、セキュリティの入り口である認証を改善することは多くの企業にとって急務である。これらの課題をどのように解決すればいいのだろうか。
※認証:コンピュータやネットワークを利用する際に、利用者が本人であるかどうかを確認するための手順

――この課題に対し、「シングルサインオン(SSO)(※)を導入することによって全て解決できる」と話すのは、SSOに20年以上取り組んでいる日本ヒューレット・パッカード株式会社の小早川 直樹氏と山田 晃嗣氏。驚くことにSSOを導入することにより認証を効率的・効果的に強化するだけでなく、情報システムのサイロ化の問題を解決し、情報システムに全体最適化をもたらすことによって、企業全体の競争力強化に寄与することが可能だというのだ。

今注目を集めているSSOは救世主となるのか? 「企業が陥りがちなSSOへの3つの誤解」から紐解いていこう。
※シングルサインオン(SSO):ユーザーが一度認証を受けるだけで複数の業務システムへのアクセスを可能にする仕組み

「SSOは社員に楽をさせるだけ」
という誤解

日本ヒューレット・パッカード株式会社
IceWallソフトウェア本部 マーケティング&ビジネス開発
シニアプロダクトマネージャー 山田 晃嗣氏

――情報システムにおける認証の仕組みについて、多くの課題を抱えているといいます。今回、『成長する企業はなぜSSOを導入するのか』の書籍出版に至った経緯を教えていただけますか。

山田 晃嗣さん(以下山田):我々のお客さまの中にも「システムのサイロ化」についての問題を抱えているお客さまが多くいらっしゃいます。その解決策としてSSOが有効である、という事実はあるのですが、実際は多くのお客さまがSSOで十分に解決できることをまだ理解していないように感じられます。一部の成長している企業が理解し、実践しているSSOの本当の活用法を広く認知して頂きたく、今回の書籍化を決めました。

――企業が抱えているSSOへの「誤解」とはどのようなものがあるのでしょうか?

山田:大きく3つあります。1つ目は「SSOは社員に楽をさせるだけのもの、という誤解」。2つ目は「パスワードは多ければ多いほうが安全、という誤解」そして最後が、「SSO製品は機能本位で選択するべきだ、という誤解」です。中でもSSOのことを単に「社員のID・パスワードの管理を楽にするだけのツール」と認識されているお客さまが多いのです。

――「SSOは社員に楽をさせるだけのものではない」ということですが、SSOを導入することで企業が受けるメリットには、どのようなものがあるのでしょうか?

山田:企業にあるさまざまな業務システムにアクセスするためには、セキュリティのために必ず「認証」が必要で、そのほとんどでパスワードによる認証が行われています。SSOを導入することにより確かに社員の負荷は減ることになるのですが、それよりもSSOシステムにより認証、アクセス、監査、運用を集中管理することでシステム全体を効率的・効果的に強化するだけでなく、サイロ化の問題も改善します。そして、企業全体をガバナンスが効いた変化に強い企業へと変革してくれるのです。

小早川 直樹さん(以下小早川):経営者の皆さんはSSOと聞くと、社員の利便性を上げて楽をさせるだけのものという誤解があるため、コストをかけてまで入れる必要はないと考えるケースが多いのではないでしょうか。しかし、SSOによってセキュリティを向上させることができ、運用やコストの軽減にも有効だと気付いてほしいと思います。社員からセキュリティ担当者、システム担当者、経営層まで、すべての役割にベネフィットを与えることもできるのがSSO導入のメリットなのです。

SSO導入による役割とベネフィット

ITの常識が変わる!
成長する企業はなぜSSOを導入するのか

この1冊でSSO(シングルサインオン)のメリットと導入実例がわかる、経営者・CIO・CTO・情報システム担当者必見の書。

暗証番号やパスワード運用ミスによる情報漏えいや企業競争力低下――。こうした「認証の運用課題」は今や、企業経営にも大きな影響を及ぼすといっても過言ではない。そんな中、1回の認証手続きでネットやサービスにアクセスできるSSOが、企業の情報システムの課題を一挙に解決するシステムとして注目を浴びている。SSOの導入により「認証のサイロ化」を防ぎ、業務効率化、運用コスト削減、セキュリティと生産性の向上を実現できるのだ。

本書ではまず、企業に明日起こってもおかしくない「認証に関する様々なリスク」を紹介し、認証が企業の経営課題となっていると警鐘を鳴らす。さらにパスワード認証の利点と欠点、パスワード認証を強化する多要素認証の仕組みを解説する。

中盤からはSSOの方式や機能、導入によるメリット、クラウドサービスとのSSOを行うフェデレーションの仕組みをSAMLを例として詳しく掲載。また実際にSSOを導入した3社(運輸・流通業界、IT・サービス業界、金融業界)のケーススタディにより、導入の際の注意事項や成果なども紹介する。最終章ではFIDO、FinTech、ソーシャルログインといった注目の認証技術も紹介した。

http://ec.nikkeibp.co.jp/item/books/263800.html