アイデンティティマネジメント導入のすすめ：SSOで始めるWebアイデンティティマネジメント（1/3 ページ）

これまでユーザー管理のアカウントは個別にシステム構築されることが多かった。しかし煩雑さと個人情報保護のコンプライアンス遵守のために、統合認証基盤によるシングルサインオン環境を構築するアイデンティティマネジメントが企業に求められている。　HP IceWall SSOを例に、導入の重要性と実際のシステム構築方法を紹介していこう。

[小早川直樹, 齊藤武雄, 山口晃, 皆川知子, 染井さやか（日本ヒューレット・パッカード株式会社），ITmedia]

アイデンティティマネジメントとは？

　IAM（Identity&Access Management）とは、ITシステムが抱えているユーザーアカウントを適切に、遅延なく管理する仕組みのことである。IAMはセキュリティ保護と密接に結びついている。例えば、企業の従業員のアカウントであれば、各従業員の職務権限に基づいて社内情報へのアクセス可能範囲を定める場合は多いだろう。

　また、情報漏えいを防ぐためには、異動や退職に伴って、アカウント権限の変更や停止を速やかに行うことが必要だ。これらは、すべてIAMによって行うことができる。IAMは私達がユーザー管理や認証と呼んでいるものを包括的に捉えるものである。

　近年ではWeb を利用したB2B、B2C 取引やサービスが活発であり、この手のシステムのユーザーアカウント数は爆発的に増加する傾向にある。企業にとって、外部ユーザーのアカウントは商取引にかかわることが多く、管理の不手際があれば企業としての信頼を損ねるばかりか、金銭問題へ発展する危険性を持っている。

　さらに個人情報保護法の施行により、企業は顧客情報の取扱いに慎重さが求められているほか、投資者保護を目的として経営者による内部統制を義務化した米国の法律「SOX 法」（サーベンス・オクスリー法）の日本版の制定も取り沙汰されており、社会全体の情報セキュリティに対しての関心が高まっている。これらはインターネットの浸透によるシステム利用状況の変化と無縁ではなく、正しく設計されたIAMは企業にとって必須になっていると言えよう。

　従来型の個別システムごとに最適化されたアカウント管理では、時代が求める要件を満たせなくなりつつあるからである。

システム管理者は沈黙する

　前述のように、Webによるシステムの高度化はサービスの多様性を生み出し、利用者は常に増え続けている。さらに、サービスの利便性の追求に伴いシステム自体が複雑になり、各アカウントのアクセス権限も複雑化する一方である。このようなシステムやアカウントの複雑化はより多くのコンピュータリソースを消費するため、管理者はアクセス集中時のレスポンスタイムの悪さに頭を悩ませている。

　このような管理者の悩みの一方で、経営者は新たなビジネスチャンスを獲得することに熱心である。彼らは現在稼働しているレガシーなシステム資産やイントラネット、さらにグループ会社やアウトソーシング会社のシステムと密に結合する事でそれらが手に入るのではないかと考え、しばしば十分なシステム検討の余地なくシステムやアカウントの早急な結合を要求する。

　こうした結果、出来上がったシステムはシンプルな設計とはほど遠く、複雑で、巨大なものに膨れ上がり、また定期的にシステム障害を引き起こす、カオス化したものになってしまう。

---

　以上の話は、ただの例だろうか?

　いや、現実にこのようなシステムは私達の身近で稼働しているのである。システムは日常的な運用をこなすだけで精一杯という状況であり、セキュリティにまで手が回らない。システム管理者だけが、会社自体の存亡を左右するような自社システムのセキュリティ問題の存在を知っている……などという非常に心臓に悪い状況も、今やさほど珍しくないのだ。

　IAMの導入は、システムのセキュリティ対策の万能解とはいえないが、少なくともアカウント情報管理とユーザー認証におけるセキュリティ基盤を整え、システムをシンプル化してセキュリティ対策を講じやすいシステム環境を実現するという観点では、非常に有効である。

　本稿では、IAM実践のための基礎知識から効果的な設計・導入方法までを、順を追って説明する。