従業員のオンボーディングとオフボーディングプロセスに IT 管理者が忙殺されないために
クラウドサービスが急速に普及する中、イノベーションに追いつきながらすべての企業が抱えるアプリケーション開発要求に対応しようとして、IT 部門はいくつかの新しくて複雑な問題に直面しています。 IT 部門は、社内プロセスのためだけでなく、顧客であるエンドユーザーのためにも、生産性とセキュリティを改善しようと絶えず努力しています。業務の最新化を目指す企業の IT マネージャーは例外なく、新規の従業員のオンボーディング、多数の異なるアイデンティティライフサイクルの管理、面倒なオフボーディングプロセスの監視という難題を抱えます。対応次第では、どれも大きなセキュリティリスクを引き起こしかねません。こうした重大な問題のいくつかについてご説明しましょう。
従業員とアプリの増加がアカウント管理の肥大化を招く
企業規模の拡大に伴って従業員が増加し、ますます多くのアプリをさらに多く利用するようになります。それと同様に、退職者のデータの持ち出しといった問題も発生するかもしれません。これらの問題の原因は、IT 部門が人事部門とエンドユーザーの両方からアカウントの作成やアクセス権およびライセンス割り当ての要求を受ける最終窓口になっていることです。エンドユーザーは実際にアプリを使用できるまで何日も、場合によっては何週間も待たされて不満をためています。多くの場合、ビジネスアプリの所有者が利用を承認し、新しい従業員のアカウントを作成するまで、IT 部門はアクセス権などに手出しができないからです。もちろんこれは、すべての関係者にとって不満が募る状況です。当社のパートナー ServiceNow 社が実施した最近の調査の結果によると、企業規模の大小を問わず 10 社中 8 社が、定常の業務プロセスを遂行するために依然としてメールやスプレッドシートなどの非構造化手動ツールを利用しており、中には直接出向いている例もありました。さらに、従業員のオンボーディングに自動化アプリケーションを利用している企業は 10 社中 1 社にも達していません。
従業員をオンボーディングすると、その従業員はさまざまなアカウントやパスワードを自分で管理する責任を負わされ、それは往々にして多くの IT チケットの発行につながります。おそらくは、仕事に使用する多数のアプリケーションのパスワードを覚えきれないからです。IT 部門とアプリの所有者がアカウントの作成、更新、削除に費やす時間をコストに換算すると、平均的な企業でおよそ 50 万ドルに達すると推測されます。
社内モバイルは従業員には役立つが、IT 部門の生産性を下げる
従業員のオンボーディングは始まりにすぎず、多くの企業には社内モバイル環境があります。これは、IT 部門にとって、閉鎖されるアカウントと開設されるアカウントを把握する仕事が増えます。更には、仕事に必要な数を超えて多数のアクセス権が集中する可能性があるゆえに、セキュリティリスクも生じさせる厄介な流れです。平均的なユーザーは、アクセスの待ち時間に年間で 300 分も費やしています。
変更要求に含まれる可能性があるのは、新しいロールや部門だけではありません。割り当てられた新しいアドレスや新しい電話番号も含まれます。IT 部門には、ダウンストリームアプリケーションを確実に更新し、従業員の個人情報の変更を人事部門に遅滞なく伝える責任があります。上記のような変更要求は些細に思えるかもしれませんが、平均的な企業はそのような作業に毎年最大 6,250 時間も費やす可能性があるのです。
転職・退職者のアカウント管理やデータ持ち出しの危険性
部門間で移動するユーザーもいますが、現在の従業員の特徴は会社間を移動することです。昔に比べてこの傾向は大幅に強くなっています。IT 部門としては、ユーザーが仕事を遂行する際に不便を感じるような状況を作り出さないため、従業員にできるだけ多くのアクセス権を付与したいところです。しかし、それらの従業員が機密性の高いアプリやシステムへのアクセス権を持ったまま離職すると、重大なセキュリティホールにつながるおそれがあります。
今は、サーバーのクラッシュのために IT 部門が徹夜することはなくなりました。一方で、離職した従業員についてすべてのアカウントの無効化を忘れたら、徹夜作業は避けられません。1 人の従業員のたった 1 つのアカウントが何らかの理由で有効なまま放置されただけで、セキュリティの抜け穴になりうるからです。あるセキュリティ調査によれば、「回答者の 13% 以上が、自分の古い資格情報を使って以前の雇用者のシステムにいまだにアクセスできる」という状況なのです。
ユーザーのオフボーディング、或いは給与や旅費精算システムのアカウントの無効化までも人事部門の仕事です。しかし、従業員が離職した数日後に初めて IT 部門がそのことを知るという状況が非常に多いのです。不本意に離職させられた元従業員が、何とかして会社に損害を与えるという気持ちが最も強くなるのがまさにこの期間です。それが現実になった場合、データ漏えいの平均コストは米国で 700 万ドルという巨額に達すると推定されています。この損害から回復したりコストは負担できたりする企業があるとしても、顧客との信頼関係は永続的に損なわれるおそれがあります。
オンボーディングおよびオフボーディングプロセスの自動化は最善のソリューションになるか
上記のさまざまな問題を解決するには、ユーザーのアイデンティティライフサイクルを統合し、ユーザーアクセスを管理するすべての個別システムを統合するとともにユーザーアクセス管理を自動化する必要があります。従業員が入社、離職、または異動したタイミングについての情報源である人事システムを、社内のユーザーに付与されるすべてのアプリケーションとアクセス権に接続することから始めます。多くの場合、これには Active Directory のような古いシステムとの重複が含まれるでしょう。オンボーディングおよびオフボーディングプロセスのエンドツーエンドの自動化は、IT 部門だけでなく、業務やエンドユーザーにもメリットがあると考えられます。
Okta の多くのお客様がこの自動化プロジェクトをどのように遂行したか興味をお持ちでしたら、ぜひこのブログの続編をご覧になってください。上記の問題すべてを Okta がどのように解決し、IT 部門の悩みを大幅に軽減できるかを詳しくご紹介いたします。