SSO支える統合認証基盤、7割近くの企業が導入に前向き：ID管理をスッキリさせるIAMのお役立ち度（1/3 ページ）

アクセスするごとに異なるID・パスワードの使用が求められ、利便性が悪いWebアプリケーション。システムごとにポリシーも違うことからさまざまな問題点が浮かび上がっている。

[富永康信（ロビンソン），ITmedia]

このコンテンツは、オンライン・ムック「運用管理の過去・現在・未来」のコンテンツです。関連する記事はこちらでご覧になれます。

Webアプリケーションセキュリティの現状

　近年、ビジネス環境でさまざまなWebアプリケーションが使われるようになっていることで、Webアプリケーションのセキュリティが重要視されている。だが、その現状はどうだろうか。

　Webアプリケーションにかかわるユーザー、つまり一般向けのWebアプリケーションのサービスを利用するエンドユーザーである顧客、企業内の業務アプリケーションを利用する社員、そして、提携関係にあるパートナーが、eコマースやCRM、ERP、パートナーエクストラネットなどのサービスを利用する際、OS、ユーザー情報、ベンダーごとのセキュリティ構造などが各Webアプリケーションにひも付けされ、システムごとにパスワードポリシーも違うことから、さまざまな問題点が浮かび上がってくる（図1）。

図1●Webアプリケーションにおけるセキュリティの問題点（出典：日本CA）

アクセス制御や認証、監査ログを集中管理

　まず、システム構築の観点では、1つのシステムを追加する際に、認証やアクセス権付与の設定など、基盤となる仕組み作りに手間が掛かり、各アプリケーションのユーザーストアにユーザー情報を持たせるとなると、機能の実装コストも増える。さらに、さまざまなシステムの下にさまざまな環境がひも付いている現状から、セキュリティ管理コスト、メンテナンス管理コストも増えてしまう。

　一方、利用者側からは、業務システムごとに異なるID・パスワードの使用が求められ、極めて使い勝手が悪いという印象を持たれてしまう。

　そして管理者の視点では、業務システム単位で個別に認証管理／アクセス管理／監査が必要ということになると、セキュリティに一貫性や標準がなく、一元化された監査の仕組みもないという現状では、内部統制上、大きな問題となるだろう。