見出し画像

社内システムのパスワードリセットを、本人確認しつつ自動化する

housako

社内でなりすまし事件が発生!?

プルルルル・・・(電話の音)
(私) はい、システム部です。
(女性)電子決裁システムパスワードを忘れてしまって・・・
(私) パスワードをリセットしますね。ID(社員番号は)?
(女性)xxxxxxです。
(私) 確認します・・・
    あれ?男性の名前ですが社員番号間違えてません?
(女性)いえ、部内の○○さんから頼まれまして・・・
    それと、外出中なので代理で承認してほしいって・・・
(私) それ、ダメでしょ。。。
    本人から連絡するよう伝えてもらえます?
(女性)わかりました・・・

これ、先日発生した話です。パスワードを部内で共有するところまでシステム的に制御できないのでこれ以上追及しませんでしたが、今のパスワードリセット運用に問題があることが判った以上、早急に対策する必要があります。そこで、融通が利かない変な忖度をせずルール通りに淡々と仕事をこなしてくれるコンピュータにさせることにしました。

この電話があった日、丁度IT部門の統括部長と雑談する機会があり、「実は今日こんなことがあり、PowerAutomateDesktopを使って解決するアイデアがあるんですけど・・・」と話してみたら、二つ返事で「やってみろ」との事。思わぬお墨付きを頂き、実行することが決定しました。

いや、ちょっと待て。今月は収益認識基準変更対応や、電子決裁システムに追加する決裁書類の新フォーマットとフローの作成のほか、社内ポータルシステムの移行と発注システムの移行もあって、既にスケジュールガチガチなんですけど。。。
・・・やるしかないですね。PowerAutomateDesktopは操作性が良く短時間にフローを構築できるので何とかなる、かな???

課題(理想と現実とのギャップ)

  1. 電話受付では、厳密な本人確認が出来ない。

  2. 対象システムの管理者が在社していないとき、リセットできない。

  3. 電話の都度、システム部のメンバが対応に手を取られる。

目標到達点(理想)

  1. 誰が相手でも厳密に本人確認の上でパスワードリセットする。(統制)

  2. 申請したらいつでもタイムリーにパスワードリセットされる。(利便性)

  3. 余計な電話と対応を削減する。(効率化)

解決手段

RPA専用パソコンにPowerAutomateDesktopを常駐させ申請を24時間監視。申請を検知したら、当該システムの権限者リストと突合すると同時に、本人のIDでリセット申請されているかチェックしたうえでパスワードをリセットする。リセットしたら、申請者本人に自動メールで完了を通知する。

概要図


予備の解決手段

権限者リストとの突合を自動化する部分の技術的な解決が出来ない場合、及び間に合わない場合、統制上の問題を解決することを優先し、解決するまでの間、以降の処理を手動で行う形で運用開始する。
(本人確認できるだけの情報を得た後の処理だけ、従来通りの手動対応。)

必要な物

  • RPA専用パソコン(既にあるものにPADを同居させる)

  • 電子決裁システムの権限者リスト(社員番号、氏名、メールアドレス)

  • Formsの入力フォーム(または、パスワードリセット専用メール)

私は電子決裁システムとメールシステムの管理者権限、及びMicrosoftライセンスを持っているので、上記に挙げた必要なものは全て揃えられます。

ロードマップ

今回のテーマは統制に関係するので、短期間で対応します。
大枠は本日を起点として、下記のようにします。

  • 1週目:部内承認と試作

  • 2週目:見つかった技術的課題の解決とシステム稼働

  • 3週目:社内リリース判断

本稼働に向けた計画(ガントチャート)

設計

今の運用は、こんな感じです。

  1. 電子決裁システムのパスワードを忘れた方本人がシステム部に電話する。

  2. 電話を受けたシステム部員は、ID(社員番号)を控えて管理者に連絡。

  3. 管理者は社員番号で対象者を特定。リセットしつつ初期パスワードをメールで本人だけに送付。

一番の問題点は、ステップ2の部分で、本人確認出来ていると言い切れないところです。

目指す運用は、こんな感じです。

  1. 電子決裁システムのパスワードを忘れた本人が指定のFormsに入力する。

  2. Formsの入力をPowerAutomateDesktopで検知し、電子決裁システムのユーザ一覧と突合して権限者か否かを判断する。同時に、Formsに含まれる登録者情報(メールアドレス)が、申請した社員番号の人物と一致しているかどうかを判別する。

  3. 突合の結果不一致である場合、または申請者とIDが一致しない場合は、自動メールで本人とシステム管理者にリセット不可の連絡を行う。

  4. 突合の結果権限者と一致し、且つ申請者とIDが一致した場合、パスワードリセットのフローを実行する。このとき、初期パスワードは類推できないようランダム文字列で払い出す。

  5. メールでパスワードリセット通知を受け取った者は、初回ログイン時に任意のパスワードに変更することを強制される。

申請方法は、Formsのほかに専用メールへの送信も検討しています。
難関であると想定しているステップ3の突合が技術的に解決できない場合、解決できるまでの間、以降の処理を手動で行います。

今回の総括

社内システムのパスワードリセットで、同様の悩みを抱える管理者の方は多いのではないでしょうか。取り組みの結果は、後日報告致しますので参考にしていただければと思います。
(スケジュール的に本当に大丈夫か、ちょっと不安です。。。)


この記事が気に入ったらサポートをしてみませんか?