SSO支える統合認証基盤、7割近くの企業が導入に前向き：ID管理をスッキリさせるIAMのお役立ち度（3/3 ページ）

アクセスするごとに異なるID・パスワードの使用が求められ、利便性が悪いWebアプリケーション。システムごとにポリシーも違うことからさまざまな問題点が浮かび上がっている。

[富永康信（ロビンソン），ITmedia]

3つのステップが内部統制を適切に機能させる

　上記の制御（強制）と説明責任を実現するには、3つのステップがある。

　1つは、システムにおけるIDとアクセス権の定義。誰がどのシステム／データを、どのような役割・目的で使うのかという権限の付与の機能。2つ目は、IDに与えられた権限の強制。定義されたアクセスの許可と、定義されていないアクセスの拒否を明確に実行する部分である。

　そして3つ目が、アクセス制御の説明責任。ログを取ることによって、上記で強制されたアクセス制御の監査証跡とその完全性の担保、アクセス違反の早期発見などを厳格に行う。

　このように、最初にIDのルール決めを行い、そのルール通りに強制し、最後にログを取るという3つのステップを統合認証基盤が担うことで、内部統制が適切に機能することになる。言い換えれば、この3つのどれかが欠けているシステムであっても、統合認証基盤によって内部統制が必要なレベルにまで補完されるということになる。

　次回は統合認証ツールを例に、具体的な効果を探っていく。