人事異動とは?
組織内のマンパワー調整や人材育成など、様々な目的のために企業が社員を配置転換することです。 日本の企業は職務や職責を限定とした採用は行っておらず、ジョブローテーションを積極的に行い社員に様々な部署の仕事を経験させます。
部署間で異なる仕事を経験させることで社員の適性の把握・能力向上に努めるだけでなく、管理職に就いた場合でもスムーズに他部署との連携や部下の管理ができるよう導きます。
日本の人事異動の特殊性とは?
専門的なスキルを持った人材を該当の職種に充てる海外とは異なり、日本の場合は職責や職務を限定していません。 そのため出向や転籍が多くなるため、引継ぎ期間を考慮したアクセス権限を持たせる必要があります。
転籍や出向が多い
組織内の活性化や人材育成のため、規模が大きい企業ほど積極的に人事異動を行っています。 長年同じ業務内容やポジションで仕事を行っていると、マンネリ化に伴う仕事へのモチベーション低下を招き、作業効率低下や社員の能力の幅を狭めることにつながるからです。 また、一方で職場内の人間関係にトラブルがあった場合は業務の進捗にも影響するため、職場内の風通しを良くするためにも転籍や出向の処置が取られます。
そのため、人事異動が積極的に行われる年度末や期末は、システム管理者にとって大きな負担が発生する時期です。 社員の出向先や転籍があるたび、毎回新たな社員番号やアカウント情報の発行をしなければなりません。 さらに、新しいアカウント情報を発行した後、今まで使用していた過去のデータを引き継ぐ・紐づけるための作業が必要になります。
これまで人事システムとして使用されてきたAD(ActiveDirectory)での作業を効率化するためにはWindows PowerShellの活用など、一定以上のスキルや知識を持った人材の存在が求められます。 ただし、日本全体でIT系の人材不足が叫ばれている中、優秀な人材を確保するのは簡単ではありません。
さらに、人事異動が行われる年度末や期末は元々非常に忙しい時期です。 社内システムへの不正アクセス有無や社員からのパスワードリセットの対応など、従来のルーティンワークに加え、新入社員や退職する社員のアカウント情報の発行・削除の作業も平行しているため、業務負担が非常に大きくなります。
引継ぎ期間の考慮も必要
後任者にスムーズに仕事を引き継ぐため、異動後も旧アカウント情報を活かしておく必要があります。全く違う部署から移動してきた場合や中途入社者が業務を引き継いだ場合、想定よりも引継ぎ作業が長引くことも少なくありません。そうした場合は社員から延長要請を受けることもあり、細かい調整が必要になります。
規模が小さい企業であれば個別対応も可能ですが、人数が多くなると依頼の分だけシステム管理者が細かく管理しなくてはいけません。同じオフィスに担当者がいた場合は引継ぎ作業の進捗具合を確認することもできますが、現在はテレワークの導入もあり対面でのコミュニケーション機会は減少しています。
キッティングに対応したシステムは少ない
キッティングとは新入社員の入社や新たなPCの入れ替えに伴い、新しいPCをすぐに利用できるような体制に整えておくことです。周辺機器の接続やOS・ソフトウェアのインストールなどを事前に行い、他の業務への作業時間を確保するのが目的です。ですが、先付の雇用情報の取り込みに対応したシステムが少ないため、新入社員が入社する前には作業ができないのが現状となっています。
また、新入社員の入社する春先は人事異動で作業内容が多く、設定ミスやアカウント情報の放置などが起こりやすいリスクもあります。
人事異動におけるID管理が抱える3つの課題とは?
多岐に渡るAD上での作業を効率化するためには、スキルや知識を持った社員の存在が不可欠です。ADは情報を管理するためのシステムであり、導入するだけで効率性を上げるシステムではありません。人材がいない場合は、セキュリティツールを導入して効率性を上げていくことが求められます。
ActiveDirectory(AD)を使いこなすには管理者のスキルが大きく左右
ActiveDirectory(AD)はあくまで社内のアカウント情報を管理するためのシステムであり、導入するだけで業務負担を軽減するものではありません。作業を効率的に行うためにはPowerShellなどを使いこなすためのスキルと知識が求められます。既存社員にノウハウを持つ者がいなければ中途採用で補うといった方法もありますが、日本全体でIT・セキュリティ分野の人材は不足しており非常に難しい状況です。
そのため、人材や資金的な余裕が無い企業は他の方法を考えて作業を効率化する必要があります。例えば、クラウド上でID管理や認証機能を提供するIDaaS(Identity as a Service)の中には、ADで作成したユーザーIDを他のシステムに自動連携させる人事異動に柔軟に対応出来る機能を搭載したサービスもあります。人事異動に柔軟に対応出来る機能を活用すれば、セキュリティ分野へのノウハウが浅い企業も管理者の作業負担を大幅に軽減することが可能です。
アカウント情報の正確な把握
社員がどの部署に所属し、どのような仕事を行い、どのようなアクセス権限を持っているかが正しく把握できていない場合があります。ADの場合は手作業で変更作業を行っていくため、管理者が他の業務に追われている場合は漏れが出てしまい、実際の情報とAD上のデータでズレが生まれてしまうからです。ユーザー属性やアクセス権が正しく設定されていないと、本来はアクセスできないデータファイルも閲覧できてしまい、内部漏洩のリスクが向上します。また、未使用のアカウントが放置されていると、不正アクセスに悪用されるリスクも高まります。
ADを活用した作業内容が多い
システムのパスワードリセット、社員のアクセス権限の見直し、アカウント情報更新など、ADを活用した作業は多岐に渡ります。システム管理者はアカウント管理だけでなく、基幹システムを始めとしたシステムの管理・メンテナンス、自社の情報資産を守るためのセキュリティ対策の実施、社員からの問い合わせ対応など、様々なことに対応しなければなりません。
そのため、AD管理への対応時間が長くなると、その分他の仕事に手が回らなくなります。管理者への業務負担増大を避けるためにも、煩雑なAD管理の作業を自動化するAD運用管理ソフトの導入が必要です。
ID管理を放置することで生まれる3つのリスクとは?
情報漏洩のリスク向上と管理者の業務負担が増大します。
未使用IDの分散はセキュリティリスクを向上
退職した社員のIDや出向した社員IDの放置など、アクセス権が有効な状態で未使用IDが多く残っていると情報漏洩のリスクが向上します。 外部からはID情報のハッキングリスクが上がるだけでなく、内部の社員が不正行為(内部犯行)に利用する場合も考えられるからです。 以前として情報漏洩の多くはID/パスワード管理の甘さを突かれてアカウント情報をハッキングされ、不正アクセスを許すパターンが非常に多くなっています。
また、犯罪者は近年企業がセキュリティ対策強化やサイバー攻撃への警戒を強めていることを理解しており、情報盗取の足掛かりとなりそうな管理が甘い箇所を徹底的に突いてきます。 一度でも情報漏洩が起きると取引先や顧客からの信頼が失墜し、今後のビジネスが大変厳しい状況に追い込まれるのは避けられません。
さらに、サプライチェーン攻撃のようにセキュリティ対策が甘い箇所を経由して、ターゲット企業の情報盗取を狙うパターンも増加しています、 自社の不備によって取引先の機密情報が盗まれた場合、取引停止はもちろん損害賠償を要求される可能性も十分に考えられます。 自社と取引先を守るためにも、不正行為につながるリスクを一つずつ潰していくことが必要です。
情報漏洩が起きた場合の企業への影響
| 想定されるリスク | 実被害 | |
| 内容 |
|
|
管理者の業務負担増大
業務で使用するクラウドサービスやアプリケーションが増えるにつれ、新しくアカウント情報を作らなければなりません。人事異動に柔軟に対応出来る機能を搭載したIDaaSを導入していない場合は、アカウント情報とサービスの紐付け作業を行う必要があるため、利用するサービスが増えるほど他の仕事に支障をきたします。
アクセス権の過剰付与による内部漏洩リスクの向上
現在の所属部署や人事異動に応じて適切なアクセス権限を付与しないと、本来アクセスできないデータファイルも閲覧できる状態にあり、内部漏洩のリスクが上昇します。 特に現在はテレワークやサテライトオフィスワークなど、オフィスでの出勤スタイルでは機能していた上司や同僚の監視の目も機能しなくなりました。 自由度が高い環境にあるため企業に対して不満を持っていた場合は、情報漏洩を行ったとしても不思議ではありません。
内部漏洩は社員の行動把握が難しいことが課題となっており、CASB(Cloud Access Security Broker)やSIEM(Security Information and Event Management)などの導入で、ユーザー行動の見える化を行い抑止力を上げることが重要です。
内部漏洩に踏み切る理由
- 給料や待遇への不満
- 人間関係のトラブル
- 多額の金銭的見返り
- 転職先でのポジション確立
ID管理を効率的に行うためにおすすめのツールとは?
ADManager Plus、CloudGate UNOの機能を紹介します。
ADManager Plus
ゾーホージャパンが提供しているAD上のID管理作業を効率化するためのセキュリティツールです。 ADManager Plusの特徴は、これまで手作業で行ってきた部分の一括更新・自動化ができる点です。
AD上のユーザー情報の更新や追加作業を一括で行うだけでなく、アカウント管理・ユーザープロビジョニング・グループ管理を自動化します。 また、これまで対応に時間を奪われていたパスワードリセットやアカウントロックなどの業務は自動で行ってくれるため、管理者の業務負担を軽減します。
そして、ワークフロー機能の活用によりプロセスを完結する前にいくつかのチェックポイントを設け、プロセスの精査に様々な設定を行うことが可能です。 例えば、一度も使用されていないアカウントの無効化、メンバーのいないグループの削除、パスワード更新が迫っているユーザーに新パスワードの作成を強制要求するなど、様々な作業を自動化できます。
CloudGate UNO
CloudGate UNOはインターナショナルシステムリサーチ社が提供しているIDaaSです。 ユーザーからの評価が高く、エステー・カシオ・三井ホームなど様々な業界の企業で導入され、導入企業は1,600社を超えました。 特徴はIDプロビジョニングとパスワードレスの認証機能を搭載している点です。
CloudGate UNOで作成したアカウント情報をクラウドサービスやアプリケーションへ自動で反映してくれるため、管理者の業務負担を軽減します。 また、プロビジョニングの単位はユーザー・グループ・組織単位で設定することが可能であり、Office365やGoogle Workspace で作成した資料を必要な人数に応じて閲覧許可を下すことができます。
そして、専用トークンを使いタッチするだけのFIDO U2F認証、Touch ID・Windows Hello・Androidを活用した多彩なパスワードレス認証機能を搭載しています。 煩雑なパスワード管理をする必要が無くなるだけでなく、コピーやハッキングされるリスクも軽減できるため、利便性と安全性を兼ね備えた本人認証が実現可能です。
CloudGate UNOの機能
| 機能 | 導入効果 | |
| プロビジョニング |
|
|
| ユーザー認証 |
|
|
| アクセス制限 |
|
|
| シングルサインオン |
|
