the日本のid管理(id&it management conference 2013)
DESCRIPTION
2013/9/18, 20 に開催されたID&IT Management Conference 2013の資料。JNSA IdM-WGメンバによるパネルディスカッション。TRANSCRIPT
日本ネットワークセキュリティ協会(JNSA)
/ アイデンティティ管理WG
伊藤忠テクノソリューションズ株式会社
富士榮 尚寛
THE 日本のID管理(SI編)
~要求仕様策定のポイント~
WG 紹介
• 利用企業の目線(非技術)
• 結成 8 年目、メンバ数 45+(ベンダ、コンサル、SI)
• 時代ごとのテーマ
– 内部統制、クラウド、グローバル、ロール管理、特権ID 管理
• 成果物
– クラウド環境におけるアイデンティティ管理ガイドブック
– エンタープライズロール管理解説書
Copyright (c) 2000-2013 NPO日本ネットワークセキュリティ協会 Page 2
WG成果物
• ID 管理システムの導入プロセスを企画~導入後の評価まで解説
• アンチパターンや導入事例を紹介
Copyright (c) 2000-2013 NPO日本ネットワークセキュリティ協会 Page 3
改訂版クラウド環境におけるアイデンティティ管理ガイドライン
要求仕様の策定とRFP作成
出典:ITmedia エンタープライズ
-キーワードでわかるシステム開発の流れ「第5回 RFPの書き方」
- http://www.itmedia.co.jp/im/articles/0710/18/news125_3.html
Copyright (c) 2000-2013 NPO日本ネットワークセキュリティ協会 Page 4
【目的】解決したい課題や達成したい目的・目標を明確に伝える
【記載すべき内容】• システムの目的や背景・課題• 対象業務や求められるシステム機能• 開発体制や推進要件に関する諸条件
ID管理システム導入のプロセス
• 第6章 ID管理システム導入指針より
Copyright (c) 2000-2013 NPO日本ネットワークセキュリティ協会 Page 5
このフェーズでは、現状を分析し、課題を明確化したのち、ID体系や最終的なToBeとして統合ID管理システムが管理する対象
システムの範囲、統合後のシステム概要と共にそれに対しての導入ロードマップを示す必要がある。
企画要件定義
設計実装・テスト
移行 評価
教育・トレーニング
企画フェーズのプロセス
Copyright (c) 2000-2013 NPO日本ネットワークセキュリティ協会 Page 6
RFP作成における主要プロセス
目的の明確化
• 実施の目的
– 統合ID管理システム導入目的の明確化
– 導入を阻む要因の明確化
• インプット情報
– ビジネス目標
• 実施内容
– ビジネス目標の洗い出しと優先順位づけ
– 課題のヒアリング
• 成果物
– ID管理に関する現状の問題点リストCopyright (c) 2000-2013 NPO日本ネットワークセキュリティ協会 Page 7
現状分析
• インプット
– ID管理に関する現状の問題点リスト
• 実施内容
– 問題点の優先順位づけ(目的との整合性)
– ID管理に関する業務の詳細なフロー
– 社内システムを構成するHW、SWの棚卸
• 成果物
– 業務フロー
– システム棚卸票Copyright (c) 2000-2013 NPO日本ネットワークセキュリティ協会 Page 8
計画案作成
• インプット
– ID管理システム導入の目的
– 現状分析の結果
• 実施内容
– 必要なシステム構成要素の定義
– プロビジョニング対象システムの定義
– それぞれの優先順位、ロードマップの定義
• 成果物
– システム全体概要図
– 導入ロードマップCopyright (c) 2000-2013 NPO日本ネットワークセキュリティ協会 Page 9
RFP作成の実際
• ベンダの売り込み先行
– 魔法のツール。なんでも解決してくれる
– RFPには製品機能が羅列が中心
• SIer任せ
– 目的や課題をざっくり伝えるのみ
– 解決方法はSIerが提案した内容を信じる?
• コンサルの言いなり
– 実現性は?絵にかいた餅になっていないか
Copyright (c) 2000-2013 NPO日本ネットワークセキュリティ協会 Page 10
提案内容の検証・比較が出来ているのか?• ツール選定が目的になってしまっていないか?• 導入すべき機能が本当に必要なのか?• 本当にその機能を入れたら課題が解決するのか?
ディスカッション
• 良いRFP・悪いRFPとは?
• 誰が作るべきか?
• 作るために必要なもの(スキル)は?
Copyright (c) 2000-2013 NPO日本ネットワークセキュリティ協会 Page 11
参考)何社にRFPを出すか?
Copyright (c) 2000-2013 NPO日本ネットワークセキュリティ協会 Page 12
コメント・RFIであれば5-7社まで、RFPについては3社以下・2社だと少ない
Copyright (c) 2000-2013 NPO日本ネットワークセキュリティ協会 Page 13