アイデンティティ ガバナンスの実現で、全従業員1,700人のアイデンティ管理業務を効率化

SaaSの積極的活用に伴い煩雑化するアイデンティティ管理に課題

セブン-イレブンをはじめとするセブン＆アイグループの各店舗に加え、空港や駅、商業施設、観光地などでも、あらゆる場所でセブン銀行ATMを目にする機会が増えている。セブン銀行では、1日約250万人が利用する社会インフラのひとつに成長したATMをさらに進化させ、お客様の「あったらいいな」の想いを超えた新たな価値提供に挑戦。2023年9月より、ATMの新サービス「+Connect（プラスコネクト）」をリリースした。第一弾では、認証機能を活かした口座開設の手続きや、住所変更、在留期限の更新などを行うことができ、ATMが単なる現金入出金の端末から、簡単便利・あらゆる手続きができるサービス プラットフォームになろうとしている。

そんなセブン銀行の強みを起点とした事業展開を成長戦略に掲げた中期経営計画では、持続的成長を支えるための企業変革を重要な柱の一つに位置付けている。2021年には、働く社員の意識や企業文化、進化し続けるテクノロジーの両面から変革をドライブするCX（Corporate Transformation）プロジェクトを立ち上げ、全社横断でDXへの取り組みを進めてきた。また、新しい金融機関のあり方が問われるなかで、時代や環境の変化に対応した価値創出を実現すべく、早い段階からSaaSを積極的かつ戦略的に採用して業務を効率化・高度化してきた経緯もある。

SaaSの活用機会が拡がるにつれ煩雑さを増していくのが、アイデンティティ管理である。同社では、一人のユーザーが平均して10～20システム、多い人で30～40システムを利用しているという。システムごとに異なるユーザーID（アカウント）・パスワードの管理を強いられるユーザーの負荷は想像に難くないが、管理者の負荷はさらにそれを上回るものがある。しかも、従業員約1,700人分のアイデンティティを手作業で管理するとなると非常に煩雑で、統制も容易ではない。実際、人事異動や組織変更、入社・退社に伴うアカウントの登録や削除、アクセス権限の設定作業には多大な時間と労力を要しており、効率化は喫緊の課題だった。セブン銀行の石原氏は、こう説明する。

「たとえば、人事異動の際には発令から施行までたった1週間しかない中で100名～200名にも及ぶユーザーの権限変更を手動で行うことになります。銀行という業種の特性上、エビデンスとして必ず利用者からの申請をもって変更処理を行うというルールが徹底されており、総務部門と情報システム部門の約10名が連携し、ほぼ専任でこの作業に当たっていました。

また、アクセス権限棚卸では、複数システムのユーザーID登録情報を手作業で抽出してExcelシートにまとめたものを各部門に配布し、その後回収したシートの集計・確認、レポートの作成までを含めると半年近くを要していました。もともと紙で回覧していたものをExcelでの運用に切り替えたものの、あまりに非効率で担当者の負荷が高く、年1回の棚卸がやっと、という状況でした。そもそもアイデンティティ管理上のリスクを考えると年1回で良いのかという問題もあり、早い段階で解決策を検討する必要があったと言えます。」

アイデンティティを可視化し、ガバナンスを強化

「アイデンティティの可視化は一丁目一番地です。何を置いても、ここを中心に整備しないと全体最適は測れません。全社規模でガバナンスを強化していくには、個別に導入したシステムに対して後からアイデンティティの統合を図るアプローチより、最初に整備したアイデンティティ管理基盤上に各システムを乗せていくほうが効率的かつ効果的であるのは間違いないでしょう」と石原氏が語るように、社内システムDXの主要施策として全社規模でのアイデンティティ ガバナンスの実現が求められる中、同社はクラウド型アイデンティティ管理ソリューションであるSailPoint Identity Security Cloudの導入を決定した。

複数ソリューションを比較検討した結果、従来から重視されてきたアイデンティティ管理機能に加え、先進的なアイデンティティ ガバナンスと管理機能（IGA）を有すること、特に、課題感を抱えていたアクセス権限棚卸の自動化機能を有することが評価のキー ポイントになった。SailPointがガートナー社のマジック クアドラント レポートIGA部門において6年連続でグローバル リーダー企業に選出された実績も、信頼性と安定感に優れた製品として同社の意思決定を大きく後押しした要因である。

また、今後周辺にさまざまなセキュリティ ソリューションを実装していくことを踏まえても、SailPoint Identity Security Cloudが最小権限の原則を基本とするゼロトラストの考え方を根幹で支えるインフラになり得ることや、ネットワーク構成やシステム構成に依存しないSaaS製品であることは強みになると判断した。

人事異動に伴う設定変更やアクセス権限棚卸の工数を大幅に削減

こうして2023年7月、全社でSailPoint Identity Security Cloudの本格稼働・運用が開始。現在、セブン銀行の従業員や契約社員、常駐社員、子会社社員を含む約1,700人のアイデンティティが同ソリューション上で管理されている。導入後にまだ大規模な組織変更や人事異動のタイミングを迎えていないため、その効果を定量的に評価できる段階にはないものの、同社の期待値は高い。

「SailPoint Identity Security Cloudの導入を機に、人事システムが持つ情報と連携してプロビジョニングを自動化できるようになったのは大きな前進です。たとえば入社に伴う権限設定についても、少なくとも入社してすぐに仕事を始められるだけの最低限の権限は自動的に付与できるようになり、入社日まで十分な時間がない場合も慌てることがなくなりました。これから迎える人事異動においても、手間のかかる設定変更のプロセスから貴重なリソースが解放され、業務量が大幅に削減されるだろうという実感はあります。」（石原氏）

一方で、同社が製品の目玉として評価していたアクセス権限棚卸機能については年度末に向けて試行を進めており、これまで半年近くを費やしていたアクセス権限棚卸の工数を3分の1から4分の1程度に削減できると見込んでいる。また、SailPoint Identity Security Cloudによるアイデンティティの一元化によりアクセス権限情報が可視化されることで、「アイデンティティ ガバナンスの実現という当初の導入目的を達成できそうです」（石原氏）と手応えも十分だ。

実装にあたっては、SailPointが提供するプロフェッショナル サービスを利用。柚木氏はその貢献について、「アクセス権限棚卸機能の活用事例が国内に少なく、手探りで進めた部分も多かったのですが、SailPoint社の実務担当の方には当社の業務要件に合った実装方法を技術面で密にサポートいただき、おかげさまで効率化の目途が立ちました」と語る。

アイデンティティガバナンスを高度化しゼロトラスト実現の要に

「SailPoint Identity Security Cloudそのものが進化し続けているので、SaaS製品ならではのメリットを取り込みつつ自社の成功につなげられるよう、現在もSailPoint社と相談しながら進めています」と柚木氏が説明するように、SaaS製品を導入した理由の一つが最新機能の活用にある。製品の進化と共にアイデンティティ ガバナンスのあり方をより良い方向に進化させられることへの期待だ。

現在は、目の前の課題解決に必要な機能の活用に留まるが、今後は自社にとって有用な機能を精査しつつ、活用範囲を拡げていきたい考えである。具体的には、管理対象のシステムを社内共通システムから全システムへと段階的に増やしていくと共に、その先にはアイデンティティ ガバナンスの高度化を見据える。

「アクセス権限棚卸も定期的なイベントとして実施するのではなく、将来的には常時監視によりリアルタイムにガバナンスを効かせられる環境を整えるのが理想です。また、並行して導入を進めているワークフロー管理基盤で受け付けたユーザー個別のアクセス権限申請情報と連携してさらなる自動化を進める計画があるほか、AIや機械学習を活用したモニタリング機能や分析機能によりセキュリティリスクの検知を行うなど、製品の先進性を活かして従来の手動のアプローチでは不可能だったような新たな価値を生み出していきたいですね」と石原氏。

セブン銀行がSailPoint Identity Security Cloudで構築したアイデンティティ ガバナンス管理の基盤は、業務の効率化・高度化を目指す社内DXへの取り組みにおいて、SaaSの積極的活用を支えるゼロトラスト実現の要としても、ますますその重要性を増すことになりそうだ。