ID管理の導入は内部統制システム構築への第一歩：今、見直されるアイデンティティ管理（1/3 ページ）

コンプライアンスを目的とするか、アカウント連携を図るのか――。ID管理システムの構築モデルは、組織の目的やシステム環境に合わせて内容も変わってくる。それぞれのID管理システムの構成の違いをみてみよう。

[�ﾔ嶋秀規、岡本孝，ITmedia]

本記事の関連コンテンツは、オンライン・ムック「今、見直されるアイデンティティ管理」でご覧になれます。

�ﾔ嶋（ぬてじま）秀規／岡本 孝（アクシオ）

　これまでIDM（アイデンティティ管理）の導入の準備や構築時の注意点に関して紹介してきたが、今回は筆者がこれまで一般企業や大学に対して構築してきたIDMの構成を、以下のようなモデルに分類して紹介しよう。

◆コンプライアンス対応型IDMモデル

　図1に示すような各システムの中央にハブのような形でIDMコアを配置して、人事システムを源泉とした定型的なインプットと申請・承認機能を持つワークフローからIDMコアに対して属性情報が提供されるモデルである。

図1●コンプライアンス対応型IDMモデル

　このモデルには2つの特長がある。1つは、インプットでのワークフロー機能によりアカウントの申請から承認を可視化できること。2つ目は、IDMコアから直接連携対象システムに対してプロビジョニング管理を行うことで、末端のシステムにまでアカウントの管理が可能となることである。

　証跡管理やトレースを詳細に実施することで各種コンプライアンス要件を満たす構成を容易とするIDMモデルであり、コンプライアンスや内部統制をIDM導入の主目的とする最近の一般企業における標準的なモデルだといえる。

◆多段階型IDMモデル

　集約可能な連携対象システムをまとめて、多段階にIDMを構成したモデルである。図2のように、IDMコアからみると連携先となるのはLDAPやActive Directoryである。さらに、そのLDAPやActive Directoryを末端のシステムが参照するという多段階の構成となる。

図2●多段階型IDMモデル

　連携という視点からみると、今後のシステムの統一化が図りやすく、連携システムの集約によりIDMで連携するシステムの数を減らすことができるので、コスト面でのメリットがある。しかし、上述したコンプライアンス対応型モデルのように、IDMコアから直接末端のシステムまでの連携制御を行っていないため、証跡管理などをIDMに一元化することは難しい。コンプライアンスよりもプロビジョニングに主眼を置いたモデルといえる。

　ただし、この構成の応用パターンとして、管理対象となるシステムやアプリケーションをLDAP対応化させ、認証後の認可（権限）情報までLDAPへの集約が図れる場合、その機能はコンプライアンス対応の視点からも有効となり得る。そういった意味では単純に、コンプライアンス対応に不向きなモデル、というわけではない。