アイデンティティマネジメント導入のすすめ：SSOで始めるWebアイデンティティマネジメント（2/3 ページ）

[小早川直樹, 齊藤武雄, 山口晃, 皆川知子, 染井さやか（日本ヒューレット・パッカード株式会社），ITmedia]

なぜIAMが注目されるのか?

　IAMを正しく再設計することによって、情報セキュリティレベルは向上し、円滑なアカウント管理も実現する。以下にIAMが注目される理由を挙げる。

　これらはどれも昨今のシステム要件から生じるものである。

ユーザー数やロールの増加
社内外のさまざまなユーザーがシステムにアクセスする必要がある。さらにユーザー数は増加し、ユーザーに与えるアクセス権限（ロール）も複雑化している。

管理システム数の増加
サーバが増えてしまい、ユーザーの登録や変更、削除の手順が複雑になっている。

認証方法の多様化
社外から機密情報へアクセスする際にセキュリティ強度を上げる必要から、さまざまな認証方式が混在して利用されている。

ユーザーの利便性向上
ユーザーは複数のシステムにログインする必要性がある。統一されたアカウントや認証方式でないと、ユーザーの利便性が失われてしまう。

アイデンティティ情報の多様化
ID やパスワード以外にも氏名や役職、所属組織、グループ、デジタル証明書などを統合的に管理する必要性がある。

迅速なアイデンティティ管理の要求
情報セキュリティや業務効率化の視点から、ユーザー管理を遅滞なく行う必要がある。

---

　IAMが正しく設計されていないシステムでは、これらの要求には応えられない。増殖や拡張を繰り返したシステムはアカウント管理が個別に最適化されており、管理対象となるデータは分散している。

　このような状態に問題があることは分かっていても、複雑化したシステム全体を再構築することは容易ではない。コストや時間がかかり、課題も多い。スパゲティ化したシステム全体をひもとくことは、パズルを解くようなものである。

　そこでまずIAMから統合化する方法を提案したい。IAMの再構築はシステム全体に統合的なセキュリティ基盤を提供する。IAMによって全般的なシステムの認証や認可がシンプルになれば、セキュリティレベルの向上が見込まれ、新たなシステムを追加する場合でも、アカウント管理や認証・認可はIAMで実装されたレベルが基準となり、それ以上の複雑化を避けられる。

IAMのスタック構造

　IAMのアプローチ方法はITソリューションベンダーによってさまざまではあるが、ここでは一例としてHPの提唱する構造について解説しよう。

HPが提唱するIAMスタック構造

　HPのアプローチはIAMをスタックとして捉えるものである。このようにIAMをレイヤー化して考えるのは、各層がコンポーネント化されて疎結合された状態にあるほど、構造として柔軟であるという考え方による。

　ここでは管理対象をユーザー管理・アクセス制御管理・プライバシー管理の3つに区分する。ユーザー管理は認証、アクセス制御管理は適切なアクセス権限の付与、プライバシー管理はユーザー情報を守ることである。この3つの機能を、4層構造で構成する。

第1層 データリポジトリ層
認証などに伴う情報やユーザーの個別情報などを格納、参照するための技術。

第2層 ライフサイクル層
あらかじめ決められたルールに従って、ユーザー情報を提供する「プロビジョニング」の技術。ユーザーアカウントの利用開始から失効までの一連のライフサイクルはここで管理される。

第3層 セキュリティ層
認証・アクセス制御・監査機能を提供するための技術。

第4層 サービス層
IAMの実現レベル技術。後述のSSO（シングルサインオン）はこのレイヤーに存在する。