統制の鍵となるシステムセキュリティ保証とは：セキュリティツールで作る内部統制（4）（3/3 ページ）

[中島 浩光，＠IT]

アイデンティティ統合管理を行う前に

　アイデンティティ統合管理システムは、ID情報・アクセス権情報の一元管理を行うとともに、ID情報・アクセス権情報の変更をプロビジョニング機能により各システムに対して連携を行うシステム（ソフトウェア）です（下図参照）。また、最近ではCAの製品も含め、アイデンティティ統合管理を行うパッケージソフトウェアがいろいろ出てきています。

アイデンティティ統合管理システムイメージ

　一見簡単そうに見えますが、実際に導入するに当たり、以下について事前に確認することが重要です。

1. 各システムにおけるID管理方式
   
   　システムにおけるユーザーIDの管理方式はいろいろあります。テキストファイルで管理している場合もあれば、DB、LDAPで行っている場合もあります。また、管理している項目もさまざまで、それらの項目が各システムで多様な目的・形で使われています。
   
   　アイデンティティ統合管理システムを使ってID情報を一元管理する場合、各システムで管理されている項目も一元管理され、それらの項目に変更が生じた際は反映する必要がありますが、こういった変更によってシステムに不具合を来たすこともあり得ます。
   
   　また、IDを「削除」する場合、論理削除でよいのか、物理削除しなければいけないのか？ は各システムでのIDの利用の方式によって変わってきます。
   
   　メジャーなOSやディレクトリ、パッケージアプリケーションであれば、アイデンティティ統合管理ソフト側でも多くは対応していますが、カスタムメイドのアプリケーションやOSであっても独自の拡張や利用の仕方を行っている場合、連携をする際に注意が必要になってきます。
   
   
2. 各システムにおけるアクセス制御方式
   
   　ID情報と同じように各システムにおけるアクセス制御をどのように実施しているかも重要になります。
   
   　アイデンティティ統合管理システムはIDにひも付く役割（グループ）を管理していますが、以下の4点を確認する必要があります。
   
   ・各システム側に役割・グループといった概念があるのか
   ・どのように管理されているのか
   ・役割・グループがIDとひも付けられ、それによるアクセス管理をしているか
   ・実際に各システム側のアクセス制御の方式が、アイデンティティ統合管理システムで連携して管理できるようなものであるか
   
   　場合によっては、まったく連携できないということもあり得ます。
   
   
3. 各システムとの連携の技術的ハードル
   
   　アイデンティティ統合管理システムと業務システムが連携するには、ID管理・アクセス権情報管理についてAPIが公開されているとか、構造が公開されており、外から触っても問題ないことが確認されている必要があります。
   
   　そのため、外から触れない構造やブラックボックスになっていたりすると、連携自体技術的に不可能ということになってしまいます。
   
   
4. ネーミング標準
   
   　ユーザーIDの新規作成を行うに当たっては、各システムでのネーミング標準に合わせてユーザーIDを作成する必要があります。各システムでのユーザーIDの作成はアイデンティティ統合管理システムのプロビジョニング機能によって自動的に作成されるため、ユーザーIDとしてどのような文字列を作るのか、を各システムのネーミング標準に従ってアルゴリズムとして表現する必要があります。
   
   　従って、ネーミング標準がない場合もそうですが、アルゴリズムとして表現できない場合にはユーザーIDの自動作成はできないため、そのシステムとの連携ができないということになってしまいます。
   
   
5. 各システムでの役割ベースアクセス管理＝業務プロセスの定義と運用の徹底
   
   　（1）〜（4）までの条件をクリアしているとしても、アクセス権管理の「中身」がきちんとしていなくてはいけません。アイデンティティ統合管理システムにおいてはアクセス権情報を役割ベースで管理しています。従って、アイデンティティ統合管理システムとアクセス権情報を連携させるためには、各システム側が役割ベースでのアクセス権管理を実際に行っている必要があります。
   
   　役割ベースでのアクセス権管理を各システムで行うには、どの機能をどの役割がどのような権限で使うのかが適切に定義されている、つまり、業務プロセス上で誰がシステムのどの機能を使うのかが定義され、定義に沿った運用が行われている必要があります。
   
   　つまり、業務プロセスの定義とその中でのシステムの利用のされ方がきちんと定義されていることが大前提であり、それが行われていないということは、各利用者のアクセス権の必要性が説明できない、ということになります。
   
   　また、アクセス制御自体に問題がある場合、アイデンティティ管理が適切になされたとしても、システムのセキュリティを保証できなくなるため、アイデンティティ統合管理以前にアクセス制御自体の改善が必要といえます。
   
   

　上記のことから、各システムにおけるID管理作業、適切なアクセス制御の実施がされていない状態でアイデンティティ統合管理システムを導入することは、危険ともいえます。そのため、各システムでのID管理方式、適切なアクセス制御が導入されていることが、アイデンティティ統合管理システム導入の前提であり、かつ、導入する範囲やアプローチを慎重に検討したうえで導入する必要があるのです。

Profile

中島 浩光（なかじま ひろみつ）

日本CA株式会社　カスタマーソリューションアーキテクト

1993年、アンダーセン・コンサルティング（現アクセンチュア）入社。同社の技術グループにおいて、幅広い業種のITプランニング、SI全般、運用、情報セキュリティ、プロジェクト管理などを経験。2000年ころから情報セキュリティを中心に活動。

2005年1月にCAに入社、2006年6月より現職。現在、セキュリティ製品を中心に顧客へのソリューション提案、アセスメントの実施、セミナーでの講演などを行う。

東京工業大学理工学研究科経営工学修士課程修了

「セキュリティツールで作る内部統制」バックナンバー

• 内部統制におけるコンピュータの運用とEUC
• プログラム変更はIT全般統制のもう1つの鍵
• 日本版SOX法でプログラム開発に求められるもの
• 日本版SOX法に必要なセキュリティポリシーとは？
• “正しいログ”と日本版SOX法の関係は？
• IT統制のキモとなる認証とアクセス制御とは
• 統制の鍵となるシステムセキュリティ保証とは
• 日本版SOX法対応のためのIT内部統制とは？
• 内部統制におけるITとCOBITの関係は？
• 日米SOX法や内部統制とITの関係を理解しよう！