ID Lifecycle Management

IDライフサイクル管理（Identity Lifecycle Management）とは、組織におけるユーザーIDの作成（入社）から変更（異動）、無効化・削除（退職）に至るまでの一連のプロセスを体系的に管理する仕組みです。従業員、契約社員、パートナー、顧客など、あらゆるタイプのIDに対して、適切なタイミングで適切なアクセス権を付与・変更・剥奪することで、セキュリティと業務効率の両立を実現します。

IDライフサイクル管理の中核となるのがJoiner-Mover-Leaverプロセスです。「Joiner（入社・参加）」ではアカウント作成と初期権限の付与、「Mover（異動・昇格）」では権限の変更と旧権限の剥奪、「Leaver（退職・離脱）」ではアカウントの無効化とすべてのアクセス権の剥奪を行います。このプロセスの自動化と確実な実行が、IDライフサイクル管理の要です。

手動によるID管理は、組織の規模が拡大するにつれてミスや遅延が増加し、セキュリティリスクの温床となります。退職者のアカウントが削除されずに残存する「孤立アカウント（Orphaned Account）」は、攻撃者にとって格好の標的です。IDライフサイクル管理を自動化し、人事システム（HRシステム）と連携することで、これらのリスクを大幅に低減できます。

Joiner-Mover-Leaverプロセス

Joinerプロセス（入社・オンボーディング）では、新入社員や新規契約者のIDを作成し、職務に応じた初期アクセス権を付与します。人事システムでの採用登録をトリガーとして、Active Directory、メールシステム、業務アプリケーションなどへのアカウント自動作成が行われます。初期パスワードの安全な配布や多要素認証の設定も、このプロセスに含まれます。

Moverプロセス（異動・昇格）は、最も管理が難しいフェーズです。部署異動や役職変更に伴い、新しい職務に必要な権限を付与するだけでなく、旧職務の不要な権限を確実に剥奪する必要があります。この「旧権限の剥奪」が行われないと、権限の蓄積（Privilege Creep）が発生し、過剰な権限を持つユーザーが増加します。

Leaverプロセス（退職・オフボーディング）では、退職日にすべてのアカウントを無効化し、一定期間後に完全に削除します。VPNアクセス、クラウドサービス、社内WiFiなど、すべてのアクセス経路を漏れなく遮断する必要があります。

オンボーディング・オフボーディングの自動化

IDライフサイクル管理の自動化では、人事システム（HRIS）を「唯一の信頼できる情報源（Single Source of Truth）」として位置づけます。入社日、退職日、所属部門、役職などの人事情報の変更をトリガーとして、IDプロビジョニングシステムが自動的にアカウントの作成・変更・無効化を実行します。

代表的なIDプロビジョニングツールとしては、SailPoint IdentityNow、Saviynt、Microsoft Entra ID Governance、Okta Lifecycle Managementなどがあります。これらのツールはSCIM（System for Cross-domain Identity Management）プロトコルを使用して、クラウドアプリケーションとのID同期を自動化します。

孤立アカウント（Orphaned Account）の危険性

孤立アカウントとは、実際のユーザーが存在しないにもかかわらず、システム上で有効なまま残存しているアカウントです。退職者のアカウント削除漏れ、プロジェクト終了後のテストアカウントの残存、統廃合されたシステムのサービスアカウントなどが代表的な例です。

孤立アカウントは定期的な利用がないため、不正利用されても検出が困難です。攻撃者が孤立アカウントを発見・悪用した場合、正規のアカウントとして活動するため、セキュリティ監視をすり抜けるリスクがあります。組織のIT資産管理において、孤立アカウントの定期的な検出と削除は最も優先度の高いタスクの一つです。

アクセス再認証（Access Recertification）

アクセス再認証は、ユーザーに付与されているアクセス権が現在の職務に対して適切であるかを、定期的に確認・承認するプロセスです。通常、各ユーザーの上長やリソースオーナーが、付与されている権限を一覧で確認し、継続の必要性を判断します。

再認証は一般的に四半期ごとまたは半期ごとに実施され、承認されなかった権限は自動的に剥奪されます。マイクロ認証（Micro-Certification）と呼ばれる手法では、特定のイベント（異動、プロジェクト終了など）をトリガーとして即座に再認証を実施することで、定期的な一括レビューよりもタイムリーな権限管理を実現します。

プロビジョニングとデプロビジョニング

プロビジョニングはアカウントの作成とアクセス権の付与、デプロビジョニングはアカウントの無効化・削除とアクセス権の剥奪を指します。自動プロビジョニングでは、人事システムの情報に基づいて、ユーザーの属性（部門、役職、勤務地）に応じたアクセス権を自動的に付与します。

デプロビジョニングは特にタイムリーな実行が求められます。退職者のアカウントが無効化されるまでの時間が長いほど、不正アクセスのリスクが高まります。ベストプラクティスとしては、退職日の業務終了と同時にすべてのアクセスを遮断し、データの引き継ぎが完了した後にアカウントを完全に削除するプロセスが推奨されます。

• 01
  人事システムとの自動連携の構築：人事システム（HRIS）をIDライフサイクルの唯一の信頼できる情報源として定め、入社・異動・退職の情報変更をトリガーとしたアカウントの自動プロビジョニング・デプロビジョニングを実装してください。手動プロセスへの依存を最小化し、タイムリーかつ正確なID管理を実現しましょう。
• 02
  退職者アカウントの即時無効化プロセス：退職日の業務終了と同時にすべてのアカウント（Active Directory、VPN、クラウドサービス、業務アプリケーション）を無効化するプロセスを構築してください。特にリモートアクセス手段の即時遮断を優先し、退職者による不正アクセスの時間的余地を排除しましょう。
• 03
  孤立アカウントの定期的な検出と削除：月次または四半期ごとに、人事システムのユーザーリストとIT系システムのアカウントリストを突合し、孤立アカウント（人事システムに対応する人物が存在しないアカウント）を検出してください。検出されたアカウントは調査の上、速やかに無効化・削除しましょう。
• 04
  定期的なアクセス再認証の実施：少なくとも半期ごとに、すべてのユーザーのアクセス権を上長またはリソースオーナーが確認する再認証プロセスを実施してください。承認されなかった権限は自動的に剥奪し、権限の蓄積（Privilege Creep）を防止しましょう。
• 05
  異動時の旧権限の確実な剥奪：部署異動や役職変更の際には、新しい職務に必要な権限の付与と同時に、旧職務で付与されていた権限を確実に剥奪するプロセスを実装してください。「権限の追加だけで削除しない」運用は、権限の肥大化につながる最大の原因です。
• 06
  IDライフサイクルイベントの監査ログ記録：アカウントの作成、変更、無効化、削除、権限の付与・剥奪のすべてを監査ログに記録してください。誰がいつどのような変更を行ったかを追跡できるようにし、コンプライアンス要件の充足とインシデント対応に活用しましょう。