日本版SOX法への対応で、「アイデンティティ管理」の市場が急拡大している。手掛けるソリューションプロバイダはまだ少なく、製品ベンダー間でパートナー争奪戦の様相を呈している。
「内部統制がキーワードになって以降、ユーザー企業からの引き合いは5倍以上に増えた」。ネットマークスの高木経夫アドバンスドソリューション事業部Identity Managementグループマネージャは、アイデンティティ(ID)管理ソリューションへのニーズの高まりを、こう説明する。同社は4年前からID管理のビジネスを手掛けているが、今年に入って問い合わせが急増しているという。
野村総合研究所(NRI)の佐々木慶秀基盤ソリューション事業本部基盤プロダクツ事業部グループマネージャーも「企業の導入機運が本格化し、現在はまさに予算化のタイミング。来期は売り上げの大きな伸びが期待できる」と話す。
「格段に予算化しやすくなった」
ID管理は、企業内に散在するさまざまなシステムのユーザーIDを一元管理するシステムである。エンドユーザーへのユーザーIDの発行やパスワード管理、既存IDの変更や削除、そしてそれらの作業を手順化するワークフローなどの機能を備える。
従来、ID管理システム導入の主な目的は、ユーザーID管理を自動化して管理負荷を軽減するというものだった。しかし負荷の軽減だけでは、設計や開発を含めて数千万円以上といわれるコストを予算化できる企業はそう多くない。「ユーザー数が少なくとも数千人以上、あるいは1万人を超すような大企業に限られていた(サン・マイクロシステムズの田中克哉Sun Javaソフトウェア・ソリューション本部セールス&ソフトウェアビジネス推進部部長)。
それが、2005年4月の個人情報保護法の施行をきっかけに状況が変わってきた。ユーザー企業はセキュリティを重視して、コンプライアンス(法令順守)対応の目的でID管理の導入を考えるようになったのだ。
加えて昨年後半から、日本版SOX法への対応という新たな要件が注目されるようになった。そのため、これまで情報システム部門からのボトムアップ型が中心だった導入の意思決定は、トップダウン型に変化。「ユーザー企業は格段に予算化しやすくなっている」(ネットマークスの高木マネージャ)のである(図1)。
 図1●内部統制への対応でアイデンティティ(ID)管理市場へのニーズが変化 [画像のクリックで拡大表示] |
IDC Japanによると、2005年の国内の「アイデンティティ/アクセス管理(IAM)」の市場は、前年比22.3%増の382億円。2005年から2010年は年間平均13.6%の成長率で、2010年には723億円に達すると予測している(図2)。
 図2●アイデンティティ管理、アクセス管理製品の国内市場予測 |
アクセス管理の基盤に
ユーザーIDの統合管理基盤となるシステムは通常、「アイデンティティ(ID)管理」と「アクセス管理」の二つに分類される(図3)。前者はユーザーIDの発行や変更、削除のプロセスを、定義されたルールにのっとって統合管理するシステム。後者は、ID管理システムで管理されたユーザーIDの属性に従って、認証やアクセス制御を実行するシステムだ。従来は、個々のシステムのセキュリティ強化の目的で、アクセス管理から先に実装する企業が多かった。
 図3●「アイデンティティ管理」と「アクセス管理」で構成されるユーザーIDの統合管理基盤 |
ただし、日本版SOX法への対応を考えた場合、ID管理を避けては通れなくなる。財務データの正確性を証明するためには、「関係するシステムへのアクセスに不正がなく、データの改ざんがないことを担保し、それを証明する」仕組みが不可欠。そのためには、アクセス管理の前提として、アクセスするユーザーIDが正しい手順で発行され、職務に合った権限を持っているかどうかが、監査の対象になるのだ。
実際、米国におけるSOX法施行後の調査では、内部統制を監査するときの指摘事項として最も多かったのが、ID管理の項目だという。だが数多くのシステムを持ち多数のユーザーを抱える企業では、その対応を手作業で済ませるのは非現実的。いきおいITの活用が不可欠になる。ITによる内部統制対応の標準フレームワークである「COBIT」にも、ID管理の必要性が定義されている。
こうした状況を受け、ベンダーのID管理製品も増えている。日本IBMの「Tivoli Identity Manager」(2003年4月発売)、日本ヒューレット・パッカードの「HP OpenView Select Identity」(2004年8月発売)サン・マイクロシステムズの「Sun Java System Identity Manager」(2004年9月発売)といった先行製品に加え、今年に入ってからも製品投入が相次いだ。日本CAは今年1月に「CA Identity Manager」を発売、日本オラクルも「Oracle Identity Manager」を2月に出荷した。NECは2007年1月、ID管理の新製品「SECUREMASTER/EIM」を出荷する計画だ。
リピート商談につながる
日本版SOX法への対応は、すべての上場企業で必要になる。製品ベンダー各社の声を総合すると、従業員数が1000人以上の企業なら、ID管理ソリューションの販売ターゲットになる。数千人以上の企業をターゲットにしていたこれまでに比べ、格段に潜在ユーザー数は増える。
さらに、ID管理製品導入の市場は日本版SOX法施行前に限った特需ではなく、継続的に拡大が見込めそう。NECの田中伸佳第一システムソフトウェア事業部セキュリティグループシニアマネージャーは、「商談の波は二つある。日本版SOX法の施行前に導入するユーザーのほか、施行後に監査で指摘を受けてから導入するユーザー企業も少なくないはず」とみる。ソリューションプロバイダにとっては、継続的に大きなビジネスチャンスが期待できる市場なのだ。
ID管理ソリューションを手掛けることは、ユーザー企業との長期的な関係を築く契機にもなる。ユーザー企業が将来新しい業務アプリケーションを導入するときには、必ずID管理システムとの連携が必要になるため「リピート商談につながる」(アクシオの岡本孝企画室長)からだ。
少ないパートナーを奪い合う
だが現状では、ID管理を手掛けるソリューションプロバイダは少ない。製品ベンダー各社は「パートナーを奪い合っている状況」と口をそろえる。2000年からID管理ソリューションを手掛けているアクシオでは、「ベンダーから協業の申し出は多いが、すべてには対応しきれない」(岡本室長)状況という。アクシオのID管理ソリューションの担当者は、数年前に比べ倍増しており、今後さらに拡充していく計画だ。
新しくID管理ソリューションを手掛けるパートナーを開拓しようという動きもある。NECは、来年出荷予定のSECUREMASTER/EIMをパートナーを通じて拡販する狙いで、既存の販売パートナーに取り扱いを呼びかけている。
サン・マイクロシステムズは今年10月、パートナー網の拡大を狙って、ID管理ソリューションを対象とする新たなパートナープログラム「IDMビジネスパートナー・プログラム」を開始した。技術情報の提供やトレーニングといった支援のほか、参加するパートナー間の情報共有のコミュニティも提供していく。
ワークフローやログが重要に
ID管理ソリューションのビジネスには、独特の難しさがある。企業内のあらゆるユーザーIDを統合管理するため、関連する組織すべてとのやり取りが不可欠だからだ。また、企業内の組織や職務権限の見直しが必要になることもあり、単にID管理システムの機能要件を決めるだけでは済まなくなることもある。NRIの佐々木グループマネージャーは「ユーザー企業の人事戦略の提案から始めなければならないこともある」と話す。
これまでID管理を手掛けてきたソリューションプロバイダにとっても、内部統制の視点での新たなノウハウが必要となる。
例えば、ユーザー企業内の担当者や管理者ごとに申請や承認といった権限を分離する「職務分掌」の確立はその典型だ。人事上の役職とシステムへの権限を対応付けてユーザーIDを各システムへ配布する「プロビジョニング」機能が、その中核となる(図4)。ユーザーIDの発行権限や、発行申請、承認、発行のプロセスを定義してシステムに組み込む「ワークフロー」や「ログ管理」の機能の活用も不可欠になる。
 図4●内部統制対応で必要とされる主なID管理機能 [画像のクリックで拡大表示] |
これらのノウハウを持つことを前提にすれば、ID管理システムには、ユーザー企業の全社的内部統制プロジェクトとは独立して売り込めるというメリットがある。
内部統制への対応では、ユーザー企業の多くはまず、ITに限定しない全社的な内部統制方針を検討する。その上で、具体的な統制の実装のためにITの必要性に落とし込んでいく。しかしこのアプローチでは、個々のITシステムの導入を決定して実装にたどり着くには、かなりの期間を要する。
しかしID管理は、企業の共通基盤となるソリューションであるため、財務管理などの業務プロセスの見直しとは別に、先行して導入することが可能だ。「内部統制におけるID管理の重要性さえ認識してもらえば、商談を進めることができる」(ネットマークスの高木マネージャ)。ソリューションプロバイダにとっては、大きな狙い目だ。
