PR
統合ID管理ツールの最新動向 - 賢いセキュリティ対策 Part4
社内に分散する複数のシステムを対象に、IDの作成-変更-削除といったライフサイクル全般を効率的に管理するのが統合ID管理ツールだ。ID管理の集中化によるコスト削減が見込めるほか、年度更新時など一斉に人事情報が変更される時期でも、迅速かつ適切にID付与業務を遂行できる(図4-1)。
統合ID管理ツールが備える中核的な機能は「プロビジョニング」だ。ユーザーのIDやアクセス権限を一元的に管理し、その内容を社内に複数あるシステムに対して、しかるべきタイミングで自動的に反映させる。元となる人事情報システムのマスターデータを取り込めるのはもちろん、多くの製品は新規ID作成の申請/承認などを効率化するワークフロー機能も備える。パスワードのリセットなど上長の承認が不要な手続きについては、ユーザー自身で対処できる「セルフサービス」機能を用意。最近では、IDの作成-変更-削除の情報をログとして記録する監査対応の機能を強化する製品も増えている。
自社のID管理ポリシーにマッチした機能を備えているかどうかは、製品選択のポイントの1つだ。人事異動の際のアクセス権限の管理を例に、どういうことか説明しよう。
統合ID管理ツールでは、人事上の異動発令のタイミングで「新しい」職権に応じたアクセス権に一律に変更するものもあるが、日本企業の文化に応じて、2〜3週間など限られた期間で旧・新のアクセス権限を両方持てる期間を設けたり、ワークフローについても新旧の上長による複数承認ルートを設けられる製品もある。単なる機能要件だけでなく、このような業務要件にも照らして検討することが欠かせない。
導入を成功させる3つのポイント
統合ID管理ツール導入を成功させるために一番大切なのは、ツール導入前に、どのようなID管理体制を築きたいのかを明確にしておくことだ。具体的な目標を設定しないままツールを選択してしまうと、導入後に機能不足が発覚して運用にかかる手間や時間を減らせなかったり、後からカスタマイズに迫られて追加投資を余儀なくされたりといった問題に直面してしまう。
まず第1に、ID管理の現状と理想像をきちんと整理しておくことが重要となる。現状の業務の実態に照らして、正社員/派遣社員/取引先従業員といったユーザーカテゴリーを掌握するとともに、職務分掌に応じた権限を総ざらいする。併せて、入社/異動/退社や役職変動、出向、休職など、どのようなタイミングで、どのような設定変更をしているかを棚卸しする。
この現状認識に基づき、妥当性を検証しつつ、どのようなID管理・運用を行うべきかという明確な目標を立てる。これによって、自社に必要なID管理の機能を洗い出すことができるので、ツールを選択しやすくなる。
第2に、社内にどのようなシステムが存在するのかを見渡し、どれを優先的に統合ID管理の対象とするかを順位付けする。管理の対象となり得るのは、OSやDB、ミドルウェア、各種アプリケーションなど広範囲にわたる。欲張って最初からすべてに取り組むのは失敗が伴いやすい。各システムごとに、ID管理上の業務が発生するイベントがどの程度の頻度で起こるかを調べ、優先度を判断するとよい。
そして第3に、対象システムと統合ID管理ツールの接続方法を特定する。そのシステムがLDAP(Lightweight Directory Access Protcol)など外部連携を図る標準的なプロトコルを備えていれば、多くの場合、ツールが標準搭載する機能で接続できる。一方、手組みのシステムなどID/権限の管理が独自方式の場合は、接続のためのアダプタを個別に用意しなければならない。
大切なのは、現状で見えているシステムとの連携だけを考えるのでなく、将来的に連携の対象とする予定のシステムや、連携の範囲を拡大するための拡張性を考慮しておくことである。
[主要な統合ID管理製品一覧]
市場投入されている統合ID管理製品をみると、ソフトウェアのほか、アプライアンスやSaaS形式での提供などもあり、顔ぶれは多彩だ。
多くの製品が標準搭載するのが、ID作成や変更などの申請・承認用のワークフロー機能だ。他のワークフローシステムとの連携を図る製品もある。
ユーザーに権限を自動付与する際に重要となるのが、ポリシー設定機能だ。権限の付与形式によって、ロールベースとルールベースの2つに大別できる。ロールベースは、営業部長、人事部スタッフといった役職ごとにあらかじめ権限をセットとして用意し、各ユーザーに割り当てる。一方のルールベースは、個人属性を基に、論理式によって選択的に権限を割り当てる。たとえば営業部長であれば、営業部用と部長用の権限を付与する、といった形式だ。
エンドユーザーがパスワード変更などを自らできるようにし、管理者の負担を軽減するセルフサービス機能を備える製品も増えている。
個人向けで注目されるOpenID、今後は企業用途も視野に
統合ID管理と密接な関係がある認証技術の分野で注目され始めたのが「OpenID」だ。これは、単一IDで複数のWebサイトの認証を実現する仕組みを指す。OpenIDを取得すれば、別々のIDとパスワードを逐一入力することなく複数のWebサイトにログインできる(WebサイトがOpenIDに対応していることが条件)。利用者の利便性が高まるし、サイト運営者のID管理の負荷を軽減する側面もある。
1つの機関のみが排他的に認証するのではなく、規定に沿っていれば誰もが認証機関としてサービスを提供できるオープンな枠組みで運用している。ブログやSNS(ソーシャルネットワーキングサービス)といった個人向けサービスの分野で利用が広がりつつあり、日本でもヤフーやミクシィなどの対応業者が登場し始めた。
SaaSをはじめとしてインターネット系の技術を社内システムに適用する動きが活発化する中、OpenIDを企業内や企業間のID管理/シングルサインオン基盤として利用しようという試みもある。セキュリティをどう担保するかといった課題は残しているが、これから注目されるキーワードの1つとなる。 (本誌)
- 山口 雅史
- NRIセキュアテクノロジーズ セキュリティコンサルタント
本誌は、読者登録いただくことにより、毎月無料でみなさまのお手元まで直接お届けいたします(書店などでは販売していません)。
企業の情報システムを担当する方々や事業部門のIT担当の方々、およびIT関連プロフェッショナルの方々を対象に、実践的に役立つ情報を掲載、幅広く業務にご活用いただけます。
- データセンター見積もりは「DC完全ガイド」
最新iDCやテクノロジ・製品情報が満載。iDC事業者・サービスカタログで見積もり資料請求にも対応 - レンタルサーバー比較検索「RS完全ガイド」
共用・専用・VPS、国内1600以上のレンタルサーバー/ホスティングから最適なサービスを比較検索 - クラウド比較検索「クラウドサービス完全ガイド」
企業に役立つクラウド関連記事、製品・サービス情報
