Oracle... Oracle Direct Seminar マニュアル統制による管理を続けますか！？ID統合管理を自動化した事例にみる導入の背景とその効果

<Insert Picture Here>

Oracle Direct Seminar

マニュアル統制による管理を続けますか！？

ID統合管理を自動化した事例にみる導入の背景とその効果

日本オラクル株式会社　

2Copyright© 2009, Oracle. All rights reserved.

Agenda

• ID管理の課題と解決ポイント

• 事例から見るOracle Identity ManagerのID管理

• Oracle Identity Managerの特徴

• Appendix・SQL Serverからの移行アセスメント

・MySQLからの移行相談・PostgreSQLからの移行相談・Accessからの移行アセスメント

・Oracle Database バージョンアップ支援・Oracle Developer/2000 Webアップグレード相談

・パフォーマンス・クリニック・Oracle Database 構成相談

・Oracle Database 高可用性診断・システム連携アセスメント・システムセキュリティ診断

・簡易業務診断・メインフレーム資産活用

無償技術サービスOracle Direct Concierge

http://www.oracle.com/lang/jp/direct/services.html


ID管理の課題と解決ポイント


セキュリティは、IT統制の大きな課題

1497回答社数

4.8729. その他

8.41268. 有効性のテストや評価は行っていない

17.42607. 特になかった

34.05096. IT統制におけるアクセス権限の設定等のセキュリティ管理

23.03455. 財務報告プロセスにかかわる規程類の整備

16.82514. サンプリングについて

31.14663. 業務プロセスにおける主要な統制上の手続

32.74902. 人的資源の育成・確保

31.34681. 文書化について

%社数

全体

(社)日本監査役協会　「第2回　財務報告に係る内部統制報告制度に関するインターネット・アンケート」調査結果[最終]http://www.kansa.or.jp/siryou/elibrary/el_011_090403.html

問１４－１現在課題となっている点

IT統制におけるアクセス権限の設定等のセキュリティ管理が一番の課題に


ID管理の重要性

必ずシステムに“ID”(システムID)を作成する必ずシステムに“ID”(システムID)を作成する

• ITシステムを利用するためには

• ITシステムでの業務遂行、事故防止をするためには

使う“人”に応じて“システムID”に権限を紐付ける使う“人”に応じて“システムID”に権限を紐付ける誰が？いつ？どこに？何故？どのように？アクセスできるのかを

明確にする

誰が？いつ？どこに？何故？どのように？アクセスできるのかを

明確にする

•監査対応で重要なこと

情報のアクセス・操作に利用される“システムID”を確実に管理する

情報のアクセス・操作に利用される“システムID”を確実に管理する

“人”と“システムID”が連動した管理が必要


ID管理の現状と課題

検出事項

退職者のユーザーIDの削除または権限の停止

検出事項共有IDについて、パスワード守秘状況、ID管理状況が把握できていない

検出事項

ID作成・権限変更に関する証拠・証跡の整備

改善要求度：高改善要求度：高改善要求度：高

運用側の課題

•組織や業務の変更対応

•定期的なID棚卸

•業務拡大に応じたシステムの追加対応

利用側の課題

•多数のID/パスワードの自己管理

•システム毎のパスワード変更

•多種多様な異なるID申請方法

経営側の課題

•ID管理、セキュリティ対策の維持コスト

•IDにまつわるポリシー徹底と運用

•監査への継続対応

システム個別に対応

簡易バッチにて対応

指摘事項例


ID管理を考える上での3つのポイント

監査対応の監査対応の効率化効率化

セキュリティセキュリティレベルのレベルの向上向上

• 退職者IDの残存• 共有IDの使い回し• 不要な権限付与• 不明確なID申請経路

• IDにまつわる証拠・証跡の収集

• 監査対応用レポート作成• システム毎のID棚卸

管理コストの削減管理コストの削減利便性の向上利便性の向上

• 手作業によるID登録・改廃• 組織や業務の変更対応• システム毎のID/パスワード管理• パスワード変更対応


管理コストの削減・利便性の向上~システムによる自動化を使ったコスト削減

導入前導入後年間管理コスト（1年間の作業時間数・金額）

ユーザ追加 0.2 0.05ユーザ変更 0.08 0.02ユーザ削除 0.04 0.01

合計 0.32 0.08年間換算コスト $18.66 $4.05

ヘルプデスクコスト（1年間の作業時間数・金額）パスワード関連 0.22 0.04

新規作成/権限付与等 0.4 0.15合計 0.62 0.19

年間換算コスト $18.60 $5.70

エンドユーザ（1年間の作業時間数・金額）パスワード入力 16 6.2

アカウント情報変更 8.5 5.55合計 24.5 11.75

ユーザあたり生産性コスト $962.50 $402.50

年間コスト総合計 $999.76 $412.25コスト削減額 $587.51コスト削減率 59%

ユーザ数１万人の企業（米国）におけるID　情報統合前と統合後で比較する管理コスト削減例：

＊2006年5月　The Radicati Group,Inc　試算による

管理者：$60/時間ヘルプデスク：$30/時間エンドユーザ：$35/時間

総削減額：$587.51×10,000＝$5,875,100（約7億500万円）削減率　：59%

担当職務業務の種類 IDM導入前 IDM導入後削減率 IDM要素

管理者ユーザ追加・変更・削除

18.7分 4.05分 78% プロビジョニング

ヘルプデスクパスワード管理、プロビジョニング要求

37.2分 11.4分 69% 一元管理

エンドユーザアカウント変更作業等

27.5時間 11.75時間 57%SSO、セルフサービス、ワークフロー


監査対応の効率化~手動統制からシステムによる自動統制へのシフト

　　　　　図表28-マニュアル統制および自動化された統制のアプローチの比較

　　　　　　マニュアル統制のアプローチ　　　　自動化された統制のアプローチ

総統制数 500 総統制数 500

統制ごとの文書化所要時間 1時間統制ごとの文書化所要時間 3時間

文書化総所要時間 500時間文書化総所要時間 1,500時間

統制ごとの平均サンプルサイズ 10 統制ごとの平均サンプルサイズ 1

テストされるサンプル項目数 5,000 テストされるサンプル項目数 500

サンプルごとのテスト所要時間 30分サンプルごとのテスト所要時間 30分

テスト総所要時間 2,500時間テスト総所要時間 250時間

総所要時間 3,000時間総所要時間 1,750時間出典; ITガバナンス協会　2006年9月「COBIT for SOX 2nd Edition」

経営者は、自動化された内部統制が過年度に内部統制の不備が発見されずに有効に運用されていると評価された場合、評価された時点から内部統制が変更されてないこと、障害･エラー等の不具合が発生していないこと、及び関連する全般統制の整備及び運用の状況を確認及び評価した結果、全般統制が有効に機能していると判断できる場合には、その結果を記録することで、当該評価結果を継続して利用することができる。

（金融庁企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）」）


Oracleによる解決策～ Oracle Identity ManagerによるID管理

ID配信

不正

ID検知

ID削除

Oracle IdentityOracle IdentityManagerManager

棚卸プロセスの自動化や監査レポートによる監査対応の効率化

ID管理の自動化とセルフサービス機能による運用・管理コストの削減

退職者の迅速な削除、申請・承認の標準化によるセキュリティレベルの向上

ユーザー情報取得

パスワード権限割当て

ＩＤ作成

ＩＤ削除

証跡の保持・確認

申請・承認棚卸

ＩＤ作成





システム個別に対応

簡易バッチにて対応

ＩＤ削除

ＩＤ作成

ＩＤ削除

ＩＤ作成

ＩＤ削除

ＩＤ作成

ＩＤ削除

申請・承認


事例から見るOracle Identity Managerの導入効果


事例：サークルKサンクス様

•派遣社員のID管理に課題があると監査法人からの指摘

•手作業によるシステム毎のID管理により管理コストが増大

•システム毎にあるパスワード管理に関するユーザ負荷の増大

•退職社員IDの削除に人手を介し時間がかかる

背景と課題

基幹システム(Oracle Database)

情報系システム(Oracle Database)

Microsoft Active Directory

Lotus Notes

Oracle Internet Directory

対象システム


解決ポイント①　ID作成・情報変更・削除の自動化　~対象システムへのID作成・削除

ユーザー属性に基づいたルールによる配信ポリシーの適用

配信ポリシー①

配信ポリシー②

配信ポリシー

自動配信自動削除

配信ポリシーによるID作成・削除

Oracle IdentityOracle Identity ManagerManager

対象システム

配信属性

配信権限

ルール③

ルール②

ルール①ユーザー情報取得

人事イベントと連携し、ユーザー情報の変更に伴うシステムIDの作成・権限変更・削除の自動化を実現


解決ポイント①　ID作成・情報変更・削除の自動化　~対象システムへの権限変更

ユーザー属性変更に伴う配信ポリシーの変更

データ閲覧者ポリシー

配信ポリシー

自動権限変更

配信ポリシーによる権限変更


人事イベントと連携し、ユーザー情報の変更に伴い権限変更の自動化を実現

データ管理者ポリシー

ルール②

ルール①

職務変更データ取得データ閲覧→データ管理

配信ポリシー変更

データ閲覧権限　→　データ操作権限


解決ポイント①　ID作成・情報変更・削除の自動化

配信ポリシーの設定

配信ポリシーにて配信する属性値

Webインターフェースによる容易設定


Password = ABC

Webインターフェースによるパスワード変更

対象システムに変更されたパスワードを即時反映

Password = ABC

Password = ABC

解決ポイント②　パスワードの一元管理とセルフサービス化


パスワード同期

システムのパスワードを1つに統合しWebセルフサービスによるパスワード管理を実現

Password = ABC


解決ポイント③　申請/承認の標準化・システム化

標準ワークフローエンジンによりIDの申請・承認のシステム化と承認経路の透明性を実現

申請者

承認後に対象システムへID作成

WebインターフェースによるID利用申請

リソースに応じた承認フロー

Oracle Identity Manager

ID利用申請 ID作成

システムA用ワークフロー

承認者A

システムB用ワークフロー

承認者B 承認者C


解決ポイント③　申請/承認の標準化・システム化　~ワークフロー・承認者の動的変更

申請者に応じた承認経路により厳密なID利用経路の設定が可能

社員区分：正社員

申請者A

申請者B

申請者C

社員区分：契約社員上長：A

社員区分：契約社員上長：B


ID配信

システムA利用申請

ID配信

システムA管理グループ

グループ承認

上長A

上長承認

上長B

管理グループ

グループ承認


解決ポイント③　申請/承認の標準化・システム化

申請

承認

ワークフロー設定

Webインターフェースでの申請のトラッキングも可能

GUIベースでワークフローの設定が可能


•派遣社員のID管理に課題があると監査法人からの指摘

•手作業によるシステム毎のID管理により管理コストが増大

•システム毎にあるパスワード管理に関するユーザ負荷の増大•退職社員IDの削除に人手を介し時間がかかる

事例：サークルKサンクス様における導入効果

背景と課題

申請/承認の標準化・システム化

ID作成・情報変更・削除の自動化

パスワードの一元管理とセルフサービス化


•派遣社員のID管理など内部統制(J-SOX法)への対応

•ID管理業務の電子化、自動化により管理効率を高め、コストを低減

•定期的なパスワード変更作業の簡易化などによるユーザ利便性の向上

•退職者IDの即時削除によるセキュリティレベルの向上

導入効果


事例：某製造業企業様

•人事イベントとシステムIDの連携が手動で行われており運用コストが増大

•システム毎に異なるID申請方法、承認経路によりユーザの負荷が増大

•ID棚卸や不正IDのチェックができておらず不正アクセス・操作対策が弱い

•IDに関する操作の証跡収集に時間がかかる

背景と課題

情報系システム(Oracle Database)

Microsoft Active Directory

対象システム


解決ポイント④　不正ID操作の検知


UserAUserBUserCUserD

配信済みID一覧

UserID : UserALast Name : UserFirst Name : AEmail : [email protected]

UserAの配信情報

直接ID追加UserAUserBTest01UserCUserD

ターゲットシステム

UserID : UserALast Name : UserFirst Name : AEmail : [email protected]

直接属性変更スケジューリングされた不正ID操作検知

システム側での不正ID作成や不正ID属性操作の定期的検知を実現

不正に作成されたID(test01)の検出

不正に変更された属性情報(Email) の検知


解決ポイント④　不正ID操作の検知

不正属性変更

本来あるべき値不正変更された値

不正ID操作をレポートとして適宜確認が可能



解決ポイント⑤　情報収集の自動化とレポーティングの簡素化

不正ID情報ユーザー情報履歴

データベース

ID配信履歴ワークフロー履歴

監査に必要なIDに関する情報をデータベースに保持

・・・・・・・・

ユーザー・リソース・アクセス履歴

リソース・アクセス・リスト履歴

ユーザー・プロファイル履歴

削除済ユーザー

・・・・・・・・・

操作情報や履歴情報を確認するための約40種類のレポートを標準装備

情報蓄積

レポート

IDに関する操作の証跡・証拠の自動収集とレポーティングを実現


解決ポイント⑤　情報収集の自動化とレポーティングの簡素化

リソース・アクセス履歴

ユーザー・リソース・アクセス履歴

レポートのCSV出力や弊社BIツールで確認も可能


解決ポイント⑥　棚卸・監査対応プロセスのシステム化

棚卸依頼作成から、監査人へのレポート作成までをシステムが継続的に実施


棚卸の設定定期的な依頼

棚卸実施

棚卸進捗確認

棚卸レポート作成

各システムのID棚卸を一箇所に集中させ、自動化・プロセス化を実現


•人事イベントとシステムIDの連携が手動で行われており運用コストが増大

•システム毎に異なるID申請方法、承認経路によりユーザの負荷が増大

•ID棚卸や不正IDのチェックができておらず不正アクセス・操作対策が弱い

•IDに関する操作の証跡収集に時間がかかる

事例：某製造業企業様における導入効果

背景と課題

•権限を含めたIDライフサイクル管理の自動化により管理コストの軽減

•ID申請方法の一元化によりユーザー利便性の向上と証跡の可視化を実現

•ID棚卸と不正IDチェックの自動化によりセキュリティレベルの向上

•IDに関する操作履歴情報の一元管理による効率的な監査対応を実現

導入効果

申請/承認の標準化・システム化

ID作成・情報変更・削除の自動化

パスワードの一元管理とセルフサービス化


棚卸・監査対応プロセスのシステム化

不正ID操作の検知

情報収集の自動化とレポーティングの簡素化


Oracle Identity Managerの特徴


特徴① : パッケージとしての優位性～内製化システムに対する優位性

内製化によるID管理

　状況の変化　コンプライアンスやセキュリティ対策の

ために、コストが押し上がる

コンプライアンス実現費用

セキュリティ対策費用

パッケージ導入は初期費用が必要

システムの複雑さ（システム数 / ユーザー数などの関数）

コスト

（構築コスト

/ ランニングコストなど）

Oracle Identity Managerを導入

• 必要な機能だけを実装する手組みは一見安価だが、維持運用の体制を確保する費用を考えると中長期的にみてコストは増大する

• 一般的な必要機能を備えているパッケージ製品は、業務環境の変化に柔軟に対応でき、長い目で見るとメリットは大きい


IDライフサイクル管理(登録/変更/削除)の一元管理・自動化役職やユーザ属性に基づいた的確な職務分掌柔軟な承認フローを定義可能なワークフローエンジン/設定ツール各種変更イベントの履歴保持や閲覧、ID棚卸など監査対応

特徴① :パッケージとしての優位性～充実した標準機能

コーディングを最小化する製品設計思想　-設定レベルでの多彩な動作変更が　可能　-カスタマイズを容易に取込む仕組み　を用意

ID管理に必要な機能を標準パッケージ機能として装備


特徴② : 接続性～対象システム追加時の対応

・対象システム- LDAPサーバー- Database- OS

・追加対象システム- ERPシステム- グループウェア-手組みアプリケーション

第1次フェーズ第2次フェーズ第3次フェーズ

・追加対象システム(グループ会社) - ERPシステム- グループウェア-手組みアプリケーション

【プロジェクト例】

アダプター・ファクトリー- GUIのアダプタ開発ツール- コーディングを軽減し設定で実現

アダプター・ファクトリーで、既存の部品を組み合わせる方式での開発、細かい仕様の実装はJavaによるコーディングも可能

各システム向けに提供するコネクタで対応

コネクターパックが対応しきれない配信要件に対しても、アダプター・ファクトリーでカスタマイズを実装可能

1. DatabaseやOSからERPを対象にする場合

2. 手組みアプリケーションを対象にする場合

充実したコネクタと優れた開発ツールにより対象システム追加時のコストを削減


特徴③ : 拡張性～対象規模(システム数、ユーザー数)拡大の対応

各種処理を実行する基盤としてとしてOracle WebLogic Serverを利用ユーザ情報や履歴情報の格納リポジトリとしてOracle Databaseを利用スモールスタートからのスケールアウトも自由自在

アプリケーショ

ンサーバ層

データベース

サーバ層

Cluster

連携

RAC


Oracle WebLogic Server

Oracle Database

アプリケーショ

ンサーバ層

データベース

サーバ層

Cluster

RAC


Oracle WebLogic Server

Oracle Database

連携企業の成長のに合わせ無停止で無駄のないシステムの増強が可能

企業の成長のに合わせ無停止で無駄のないシステムの増強が可能

対象システム・ユーザーの増加に応じた段階的な投資が可能


特徴③ : 拡張性～グローバル対応

グローバルの法律に対応可能なコンセプトを元に設計・実装標準で多言語対応機能を実装

OracleIdentity Manager

人事システムA取り込み

配信

配信配信

配信

ActiveDirectory

LinuxOS

Databse

カスタムアプリケーション

一拠点からの集中管理・運用が可能

人事システムB取り込み利用者に応じた言語にて操作可能

海外拠点も含めた一元的な管理が可能


特徴④ : サービス～確立された導入と保守サービス

導入テンプレート「OIM Accelerator」

　プロジェクト成果物の雛型、ツール、　方法論を使ってOIMを早期導入する　サービスです。

• 全世界約7,000人のサポート専任エンジニア• 日本のカスタマーサービスセンター

• ID管理製品専任サポートエンジニアを配置• 日本人による24時間365日の日本語サポート

• 日本に製品パッチ作成部隊を配置

導入サービス

保守サービス


まとめ

監査対応の監査対応の効率化効率化

セキュリティセキュリティレベルのレベルの向上向上

管理コストの削減管理コストの削減利便性の向上利便性の向上

Oracle Identity ManagerによるID管理をご検討下さい。


Appendix


【タイトル】年末カレンダー応募【必要情報】１、ご登録の氏名２、ご登録の貴社名、所属部署名３、受講された2009年11月・12月開催のセミナタイトル４、現在ご検討中のシステムについてなど、Oracle Directに相談されたい　　ことなどございましたら記載ください。

年末ダイセミ受講感謝キャンペーン

　　　　Oracle Direct Seminarを御愛護頂き、誠にありがとうございます。感謝の気持ちを込めまして、合計100名様にWendy2010年版カレンダーをプレゼントいたします。11月・12月に開催のダイセミを2つ以上受講頂いた方が対象です。是非皆様奮ってご応募下さい!!

応募方法応募方法 [email protected]

必要情報を明記のうえ、メールでご応募ください。当選者の発表は発送をもってかえさせて頂きます。

プレゼントの送付先は、セミナ登録時にご登録されている貴社住所宛てに送付させて頂きます。お客様の登録情報に、a.貴社名、b.部署名、c.役職名、d.住所が正しく登録されていることをご確認ください。a,b,c,dの情報が正しく登録されていない場合はご応募が無効となりますのでご注意下さい。お客様情報の変更はこちらから実施頂けます。

http://www.oracle.com/technology/global/jp/membership/index.html


OTNOTN掲示版×ダイセミ　でスキルアップ掲示版×ダイセミ　でスキルアップ!!!!

※OTN掲示版は、基本的にOracleユーザー有志からの回答となるため100%回答があるとは限りません。　　ただ、過去の履歴を見ると、質問の大多数に関してなんらかの回答が書き込まれております。

このようなお客様に、Oracle Technology Network(OTN)の掲示版の活用をお薦めします。

・セミナー中に解消できなかった疑問点を解消したい！・セミナー終了後に疑問点が出てきた！・一般的なその解決方法などを知りたい！

セミナーに関連する質問については、OTN掲示版の

「データベース一般」へ

http://otn.oracle.co.jp/forum/index.jspa?categoryID=2

39Copyright© 2009, Oracle. All rights reserved.Copyright Oracle Corporation Japan, 2009. All rights reserved.

Oracle University Live Virtual ClassOracle University Live Virtual Class無料ミニセッション参加でOracle University LVCコースが15% OFF！

インターネットを通じてライブで研修に参加できるOracle University Live Virtual Class(Oracle University LVC)のスキルアップ応援キャンペーンです。

その①1時間のOracle University LVC無料ミニセッション開催！オラクルユニバーシティの人気講師が、定番＆最新の研修コースから気になるトピックをピックアップしてお届けします。

その②参加者全員に、期間限定でOracle University LVCコース15%OFFをプレゼント！

無料ミニセッションお申し込み

スキルアップスキルアップ応援キャンペーン応援キャンペーン

データベースミドルウェア

ビジネス・アプリケーション

Oracle E-Business Suiteの新機能から、Siebel、PeopleSoft、JD Edwords、Agileの入門コースまで、気になるトピックが勢揃い！

『パフォーマンスチューニング』『Data Warehouse』などにピンと来た方、必見です！

http://education.oracle.co.jp/lvc_session_0911/

http://education.oracle.co.jp/lvc_session_0912/

無料セッション＆割引詳細

無料セッション＆割引詳細

（開催日：11/2、11/12、11/13）

（開催日：11/20、11/27、12/3、12/4）


運用

構築設計

IT 企画

経営企画

業務改善計画の作成支援• 業務診断サービス• BIアセスメントサービス

システム企画の作成支援•業務診断サービス•BIアセスメントサービス

RFP／提案書の作成支援•BIアセスメントサービス•メインフレーム資産活用相談サービス•仮想化アセスメントサービス•Oracle Database 構成相談サービス•Oracle Database 高可用性クリニック

システム構築時の道案内•Access / SQL Serverからの移行•MySQL / PostgreSQLからの移行•Oracle Database バージョンアップ支援•Oracle Developer Webアップグレード•システム連携アセスメントサービス

システム運用状況の診断•パフォーマンス・クリニック・サービス•システム・セキュリティ診断サービス•データ管理最適化サービス

ITプロジェクト全般に渡る無償支援サービスOracle Direct Conciergeサービスメニュー


http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28

Oracle Direct 検索

あなたにいちばん近いオラクル

Oracle Directまずはお問合せくださいまずはお問合せください

Web問い合わせフォームフリーダイヤル

専用お問い合わせフォームにてご相談内容を承ります。

※フォームの入力には、Oracle Direct Seminar申込時と同じ　　ログインが必要となります。※こちらから詳細確認のお電話を差し上げる場合がありますので、ご登録さ　　れている連絡先が最新のものになっているか、ご確認下さい。

0120－155－096　※月曜~金曜　9:00~12:00、13:00~18:00

　　（祝日および年末年始除く）

システムの検討・構築から運用まで、ITプロジェクト全般の相談窓口としてご支援いたします。

システム構成やライセンス/購入方法などお気軽にお問い合わせ下さい。


以上の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント（確約）するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。

Oracle、PeopleSoft、JD Edwards、及びSiebelは、米国オラクル・コーポレーション及びその子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標の可能性があります。

Documents

Oracle... Oracle Direct Seminar マニュアル統制による管理を続けますか！？ID統合管理を自動化した事例にみる導入の背景とその効果