ニュース
2004/02/24 22:38:00 更新
アイデンティティ管理に力を入れるRSA、SSL-VPNやDRMとも「好相性」
アクセスさせるべき人にアクセスを許し、不正な人物には締め出す――そういったセキュリティ環境を作り上げるには、アクセス/アイデンティティ管理が重要な役割を担う。
RSA Conference 2004のセッションは、「暗号技術」や「標準」、あるいは「ハッカーと脅威」といった具合に、いくつかのテーマごとにまとめられている。「アイデンティティおよびアクセス管理」もその1つだ。
国内ではまだあまりポピュラーではないが、アイデンティティ/アクセス管理とは、ユーザーがいったい誰であり、どんな属性を持っており、どのような環境/状態にあるのか――そういった一連の情報を把握し、それに基づいてどのリソースやアプリケーションにアクセスを許可するかを管理し、場合によってはアカウントの生成/削除までも行う、というアプローチだ。ここからは、単にセキュリティが強化されるだけでなく、投資効率を高めるというメリットが生まれるという。
以前来日した米RSA Securityのプロダクト・マネジメント、マーケティング担当上級副社長、ジェイソン・ルイス氏は、アイデンティティ管理が推進される背景には、3つの要因があると述べていた。1つは、セキュリティリスクに対処し、各種規制に対応するという企業コンプライアンス上の必要性。2つめは、効率的なアクセス管理によるコストの削減。そして3つめは、ビジネスのオンライン化を進め、事業をグローバルに拡張して新たな収益源を作り出す、という前向きの効果だ。
アイデンティティ管理が事業を後押し
ルイス氏によると同社は、暗号ツールキットの「BSAFE」やアクセス管理/シングルサインオンを実現する「ClearTrust」といった製品、さらにはパートナープログラムを通じて、アイデンティティ管理の実現を支援していく、という。
アクセス制御を実現する製品は、既に他社からも多数リリースされている。しかしルイス氏によれば、ClearTrustには、対応する認証方式やアプリケーションの幅広さ、パフォーマンスの高さといったいくつかの強みがあるという。
同社はさらに、新しいアーキテクチャ「NEXUS」を実現することにより、いっそうの差別化を図る方針だ。このNEXUSを、複数の製品にまたがる共通プラットフォームとすることにより、導入/管理作業をより簡素化し、1カ所からの集中管理や優れたアイデンティティ管理を可能にするという。管理権限の委譲や、後々の監査に利用できるアクセス記録はその例だ。
RSAセキュリティではNEXUSを長期的な取り組みと捉えている。ClearTrustのほか、認証サーバ「ACE/Server」やその他の新製品においてもNEXUSプラットフォームをサポートし、「各種規制への準拠を支援し、リスクを減らし、セキュリティを高めていく」(ルイス氏)。
アイデンティティ管理は、企業コンプライアンスを実現し、事業拡大を支援する「イネーブラーだ」だとルイス氏。単なる1つのセキュリティ技術ではなく、ビジネス上の利益をもたらすという意味で過去のセキュリティ製品とは異なるという。
トライアルも開始されたSAML
アイデンティティ/アクセス管理と密接な関係にあるのが、複数の企業にまたがって情報がやり取りされることもあるWebサービスの世界だ。パートナーやサプライヤー、顧客とがコミュニケーションを取り合う中で、ユーザーに負担をかけることなく、適切なアクセス制御を実現するための手段として、協調型(フェデレーテッド)アイデンティティ管理が注目されている。
これを実現する枠組みが、SAMLやLibertyといった標準仕様だ。ClearTrustはこれら標準を、深いレベルでサポートしている。つまり、最新版であるSAML 1.1をサポートし、SAML Assertionの発行と受け入れの両方を行えるほか、SAML/SOAPメッセージに対する電子署名の付加/検証機能などをサポート。「米国のいくつかの先進的企業では、ClearTrustとSAMLを導入して、パートナーとの間で協調型アイデンティティ管理を実現している」(ルイス氏)。
ちなみに、Webサービスのセキュリティ標準をめぐっては多様な動きがあり、複数の標準が存在している。ルイス氏は、状況が若干混乱していることは認めながらも、「RSAセキュリティはそのすべてをサポートすることにより、業界における“ピースメーカー”の役割を担っていきたい。標準間の橋渡しを行い、複雑さをなくしていく」という。
SSL-VPNやDRMとの連携も
アイデンティティ/アクセス管理は、SSL-VPNやDRMといった最近注目の分野においても強く求められている技術だ。これらと親和性の高い技術だ、と言い換えてもいいだろう。
たとえばSSL-VPNの場合、クライアント側にWebブラウザさえあれば、安全にさまざまなリソースを利用できる。しかしそれは、最初のユーザー認証がきちんとなされればの話だ。場合によっては、権限を持たないユーザーがアクセスを試みてくる可能性もある。
こう考えていくとSSL-VPNでは、いったい誰がアクセスしているかを把握することが重要になる。「SecurIDやKeonは、そういったときに必要な強固な認証技術を提供する。またClearTrustは、SSL-VPN単体では実現が困難な高度なアクセス管理を実現する。一連の製品とSSL-VPNは補完しあう組み合わせだ」(ルイス氏)。
DRMとアイデンティティ管理もすばらしい組み合わせになるという。たとえばマイクロソフトは、ユーザーに応じて文書の閲覧や印刷といった操作を制御できるDRM機能をOfficeスイートに追加している。これを推し進め、「よりきめ細かいアクセス管理やコンテンツ配信を実現するために、ClearTrustとの連携について、話し合いを開始している」(同氏)という。
関連記事
目指すはアイデンティティとアクセスの管理、RSAセキュリティが新戦略RSAセキュリティがSSO製品「RSA ClearTrust 5.0日本語版」を投入、SAMLにも対応関連リンク
RSAセキュリティ[高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
