サイボウズの情シスの鶴村です。
この記事では、システムのアカウント棚卸を自動化する方法を説明します。
社内システムの数や社員数が増えるほど、システムのアカウント数も増えて管理コストが高くなってしまうことは情シスのよくある悩みだと思います。
そこで、サイボウズで実際に運用している、kintoneとRPAを活用したアカウント棚卸の自動化について紹介します。

この記事での「アカウントの棚卸」とは、運用する各種システムのアカウント（ID）のチェック作業です。
退職者アカウントの削除漏れがないか、不明なアカウントが存在していないか、などを確認するために行います。

RPAとは、PC上で行う業務をロボットによって自動化するソフトウェアです。
RPAを使うと、人が日常的に行っているマウス操作やキーボード入力などの操作手順を記録し、それを自動実行できます。
人が画面操作するのと同じように、ロボットが複数のアプリケーションやツールを操作して実行できるので、定型業務の効率化に有効です。
また、ロボットを実行するタイミングをスケジュール指定すれば、バックグラウンド実行や定期実行が可能です。

サイボウズ情シスでは、棚卸作業の自動化で以下の課題を解決しようとしました。

以前は、年1回棚卸をしていました。
しかし、この運用では、アカウントの削除漏れがあった場合、最長で1年アクセスできてしまうアカウントが放置されてしまいます。
セキュリティリスクの回避のために、すばやく漏れを発見できるしくみが必要でした。

棚卸を年1回でまとめて実施する場合、対応が必要なアカウントを照合する作業の手間に加え、アカウントの削除漏れの件数に比例して対応、原因調査、再発防止策の実施に時間がかかってしまいます。
なるべくコストをかけずに実施したいと思っていました。

では、ここから具体的にサイボウズ情シスで行われた、アカウントの棚卸作業を自動化する方法を説明します。
構築する全体像のイメージは次の図です。
ここでは、「名刺管理システム」、「安否確認システム」、「財務管理システム」の3つの外部システムがある場合を例としています。

使っている外部システムは、企業によってそれぞれ異なると思いますので、実際は自社の状況に置き換えて考えていただければと思います。

社員名簿アプリの用意

kintoneアプリにて、マスターとして社員名簿アプリを用意します。
この社員名簿は、各システムのアカウント一覧と照らし合わせるための情報として利用します。

サイボウズでは社員名簿もkintoneを利用していますが、別のシステムで社員名簿を管理している場合、別のシステムからエクスポートしたCSVをkintoneアプリにインポートしてください。
CSVインポートについては ファイルからレコードのデータをアプリに読み込む を参照ください。

紹介する社員名簿アプリのフィールド例は、次のとおりです。
「*」は必須フィールドです。

アカウント一覧アプリ（各システムごと）の用意

名刺管理システム、安否確認システム、財務経理システムのアカウント一覧をそれぞれkintoneアプリとして作成します。
ここで作成したアプリに、RPAで毎日自動インポートを行います。

このkintoneアプリ作成時、「はじめから作成」とするより、各システムからエクスポートされたファイルを使ってCSVを読み込んで作成するとスムーズです。
CSVインポートについては ファイルからレコードのデータをアプリに読み込む を参照ください。

今回は、名刺管理ツールを例として、以下の構成でアプリを作成するとします。

1. （別システムで社員名簿を管理している場合）社員名簿を更新するロボをつくる。
   • 別システムから社員名簿の一覧をエクスポートし、kintoneの社員名簿アプリにインポートします。
2. システムのアカウント一覧をエクスポートして、kintoneの各アカウント一覧アプリにインポートするロボをつくる。
   • 退職処理でアカウントを削除しているシステムの場合、消えたアカウントがエクスポートされず、kintoneアプリに反映できず残ってしまうため、インポート前にレコードの全削除が必要です。
   • また、アカウントが社員名簿と同一の書き方でない場合、そろえるためにロボ内で情報の加工が必要です。
     たとえば、アカウント「sample」が、システム側のアカウントで「<sample@example.com>」となっている場合、アカウント一覧アプリへのインポート前に@以降を消す加工を入れます。

関連レコード一覧の作成

各アカウント一覧アプリに 「関連レコード一覧」 フィールドを作成し、以下のように設定します。

一覧の作成

前述の関連レコード一覧の情報は絞り込み条件としても使えます。
検索条件を反映させた一覧を作成します。
こうすることで注意して見たい情報のみ確認できます。

名刺管理ツール管理アプリの一覧例は次のとおりです。

そして、退職者または休職者なのに有効になっているアカウントだけを絞り込んで「退職者アカウント確認」一覧を保存します。

アカウント一覧アプリが複数できあがったら、それらをkintoneスペースで一元的に確認できるようにします。
次のように、スペースの 「アプリ貼り付け」機能 で各アカウント一覧アプリの「退職者アカウント確認」一覧を貼り付けます。

このスペースを定期的にチェックさえすれば、退職者・休職者にも関わらずアカウントが使用状況になっているシステムのアカウントを把握することが可能になります。

サイボウズの情シスでは、他のシステムも同様にアカウント一覧管理アプリを作成しています。
それらを1つのスペースにまとめて貼り付けることで、各システムのアカウントを一元管理しています。
定期チェック用のスペースは、週1回の朝会にてメンバー全員で確認しています。
スペースのイメージは次のとおりです。

補足

サイボウズでは、システムのアカウント棚卸の他に、次のような項目の定期チェック（週1回）もしています。 作業には漏れがあるものなので、アカウントの棚卸に限らず、漏れがあってもすぐに気付ける体制を整えるようにしています。

• 各種問い合わせ窓口の確認（期限が近い案件、案件の相談、担当振り分け）
• 作業漏れ確認（入社時のアカウント作成、権限付与等の作業漏れ確認）
• デバイス確認（管理ツールが入っていないデバイス、一定期間アクセスがないデバイス、セルフセットアップ待ち一覧、退職者から戻ってきていないPCなど）
• デバイスや備品の在庫数
• 定期作業の担当者確認

サイボウズでは、配属管理（人事管理）や入社退職の依頼窓口（情シス管理）もkintoneアプリで行っています。
そのため、棚卸で漏れを発見した時は、関連レコード一覧で、対象者の情報をすぐに確認できます。
そして、退職済みで作業に漏れがあるか等を確認します。

用途ごとにさまざまなシステムを導入すると、各システムで情報がサイロ化されてしまいます。
部署ごとでkintoneが導入されている場合も同じです。
この場合、漏れが発見できなかったり、漏れを発見しても原因調査に時間がかかります。

1ヵ所に情報が集めることで、今回のような棚卸や、漏れの原因調査の時間が大幅に削減できます。
情シス業務以外でも、より多くの従業員が、必要な情報を得ることができます。
全社でひとつのkintoneを利用することが理想的ですが、統合が難しい場合は、RPAを活用するなどして、ひとつのkintoneに情報を集めていくとよいと思います。

この棚卸自動化により、セキュリティの向上と、年に一度の棚卸という大仕事をなくすことができました。
本設定は、コーディングをすることなく、画面操作だけで完結します。
特別な知識も不要で、すぐに取り組めるので、ぜひ一度お試しください。

このTipsは、2024年5月版kintoneで動作を確認しています。