コンプライアンス目的のID管理には「プロセス」や「記録」が不可欠、オラクル

日本オラクルは、日本版SOX法対応支援の一環として、アイデンティティ／アクセス管理分野への取り組みを強化していく方針を明らかにした。

[高橋睦美，ITmedia]

　日本オラクルは4月18日、Fusion Middleware製品群に含まれるアイデンティティ（ID）／アクセス管理製品群「Oracle Identity and Access Management」を軸に、この分野への取り組みを強化していく方針を明らかにした。6月をめどに30人規模の専任部隊を立ち上げ、日本版SOX法対応の一環として関連ソリューションを提案していく。

　同社執行役員、システム事業推進本部長の三澤智光氏は、米国におけるSOX法対応の課題として、企業内外のセキュリティが挙げられていると指摘。中でも「企業内のアプリケーションアクセスコントロールの不備が多い。逆に、この部分をしっかり行えば、監査を受けたときの透明性をより確保できるということでもある」と述べ、日本版SOX法対応においてもID／アクセス管理が重要な役割を担うとした。

　ID／アクセス管理自体は目新しい分野というわけではない。しかし、「コンプライアンスを達成するためのID管理には、従来の製品が提供してきた単なるシングルサインオンやアクセスコントロールだけでなく、ID発行の管理／承認プロセスの統合やログの取得／保全といった機能が求められる」（日本オラクルのシステム事業推進本部、Fusion Middlewareグループ担当シニアマネージャ、北野晴人氏）という。

コンプライアンス達成のためには、今まで実現してきたID情報の統合に加え、管理プロセスやログの統合が重要だと述べた北野氏

　そのため同社では、2004年から2005年にかけて相次いで買収してきたOblixやThor Technologiesといった企業のテクノロジを活用し、シングルサインオンにとどまらず、承認ワークフローを組み入れたプロビジョニングやログ管理、レポーティングといった部分をカバーする製品群を提供していく計画だ。

　例えば、7月下旬に投入予定のプロビジョニングツール「Oracle Xellerate Identity Provisioning」では、ID発行に関連する業務ワークフローを構築し、誰が承認を行ったかといった一連の処理に関連するログを記録できるほか、監査のためのレポート出力が可能だ。また、ID情報だけでなく、アクセスコントロールに必要な属性／権限情報もまとめて配布できることも特徴という。

　さらに、「これまでの製品では、既存のアプリケーションとのつなぎこみの部分を開発するのに多くの工数とコストを要していた」（北野氏）。これに対しオラクルでは、Javaベースのアダプタ開発支援ツールを提供し、この部分を容易に開発できるようにするという。

　将来的に「SOAに基づいて複数のシステムが連携するWebサービスの世界においては、認証が非常に重要になってくる。また、ID管理／統合がしっかり実現されていなければならない」（三澤氏）ことからも、日本オラクルでは一連の製品群を戦略的に重要なものと位置付け、2007年度には10億円の売り上げを見込むという。