SSO支える統合認証基盤、7割近くの企業が導入に前向き：ID管理をスッキリさせるIAMのお役立ち度（2/3 ページ）

[富永康信（ロビンソン），ITmedia]

　以上のような現状から、さまざまな環境に対応した共通のセキュリティ基盤となる「統合認証基盤」が必要とされ始めている。統合認証基盤があれば、認証／アクセス制御の一元化による開発コスト、運用管理コストの削減とセキュリティの向上が見込める。さらに、各ユーザーが1つのID・パスワードで必要なシステムを利用できるシングルサインオン（SSO）を活用することで、利便性が格段に向上する。また、アクセス制御／認証／監査ログを1カ所で集中管理することが可能になり、アクセス権の設定漏れなどの人的ミスも防げるというわけだ。

多くの企業にSSOが浸透

　数多くのID・パスワードを管理する手間から開放されるSSO導入が、加速化している。IDC Japanが2006年12月に実施した、500名以上の従業員を有する国内の企業・組織を対象とした調査（*図2〜4）によると、SSOを「導入済み」としている企業は30％におよび、「検討中」と回答した企業が37.3％もあるなど、アイデンティティ／アクセス管理（IAM）ソリューションの中ではハイエンドな技術であるにもかかわらず、かなりの比率でSSOが浸透しつつあることが分かる。

　また、SSOを導入、もしくは検討している理由について、「パスワードの管理対策」「ユーザーの利便性」（同率、58.8％）、「内部統制構築」（47.1％）と続く中、協業企業間のアプリケーション連携への必要性も1割以上存在することは、企業連携による競争優位性を確保する動きが増えていることを示している。

　事実、アンケートでは、ユーザーの業務効率の向上や管理コストの低減、システム管理者の業務効率改善などの効果が認められている。

図2●IAMソリューションの導入状況（クリックで拡大）

図3●SSOを導入した／導入を検討している理由（クリックで拡大）

図4●SSOを導入した効果（クリックで拡大）

* 図2〜4の出典：IDC Japan、2007年2月（日本CAホワイトペーパー「アイデンティティ/アクセス管理に関する国内企業の現状と課題〜課題解決に向けたCAセキュリティソリューションの分析」［201365］）

内部統制における認証基盤の必要性

　ところで、新会社法や日本版SOX法対応などで「内部統制が有効である」と評価されるためには、ログから分析されるところの「現在の業務プロセスが定義された通りに運用されている」「定義に従っていない運用がない」といった状態が担保されていることが重要となる。つまり、定義された業務プロセスを定義通りに実行させる仕組みの導入が必要となる。それも統合認証基盤の役割となるわけだ。

　ここでいう定義とは、業務プロセスにおいてシステムをどのように利用するかという定義書に「システムの利用条件」を明記すること。そして利用条件では、4W1H（What：どのシステム・データを、Who：誰が、When：いつ・どのタイミングで、Where：どこから、How：何を使って）を担保することで、適切に制御（強制）しているという説明責任が課せられている。