いま企業に求められるID管理基盤とは 〜多様化するITシステム運用の切り札 |
企業が抱えるITシステムにとってID管理の重要性が増している。1度のログインで複数のITシステムを利用可能にするシングル・サイン・オンサービスの提供という利便性ばかりでなく、情報基盤の柔軟性やセキュリティ向上の面でもID管理が果たす役割は大きい。いま企業に求められるID管理とはどんなものか。エンタープライズシステムに詳しいITコンサルタントの栗原潔氏が、リバティ・アライアンスの下道高志氏に話を聞いた。 |
ID管理が提供する利便性 | ||
リバティ・アライアンス 日本SIG セクレタリー 下道高志氏 |
栗原 最初に下道様とアイデンティティ管理(以下、ID管理)の関わりについて教えてください。
下道 私はリバティ・アライアンスという団体のスポークスパーソンを担当しています。リバティ・アライアンスは、ID管理のオープンな標準化を推進している中立的コンソーシアムです。
栗原 情報システムにおけるセキュリティの重要性については改めて説明する必要はないと思います。企業のIT部門に対して重要と考える案件の調査をする際に『セキュリティ』が項目に入っていると必ず1位になってしまうので、調査としての意味がなくなってしまうくらいです。セキュリティ基盤の重要構成要素であるID管理が企業にとって極めて大きな役割を果たすという点も、あえて説明の必要はないと思いますが、まずは基本に立ち返って、ID管理が提供するメリットについて教えてください。企業内のユーザーにとってはどのようなメリットがあるでしょうか?
下道 今日の企業における典型的ユーザーは、多くのユーザーIDとパスワードを管理することを求められています。これは、ユーザーにとってやっかいというだけではなく、かえってセキュリティが悪化している状況です。頭で覚えられる限界を超えるとユーザーは結局紙にメモしたりすることになるからです。また、ユーザーがパスワードを忘れてパスワードリセットを行う状況が頻繁に発生すると管理部門の負担も増しますし、ユーザー自身の生産性も悪化します。ID管理が提供するSSO(シングル・サイン・オン)機能により、ユーザーが管理しなければならないユーザーIDとパスワードのペアの数を大きく減少できます。一度ログオンしておけば、再度のIDとパスワードの入力なしに権限があるシステムやリソースにアクセスできるようになります。これは、ユーザーの負担を減らすだけではなく、セキュリティの向上にも大きく貢献できます。
栗原 同じようなことは自分のブラウザにパスワードを記憶させておけば実現できるという考え方もあると思いますが。
下道 そのようなやり方は確かに簡便かもしれませんが、本当に安全と言えるでしょうか。フィッシングやトロイの木馬などの手法でパソコン内の情報を盗まれる可能性もあります。ノートパソコン本体を紛失するリスクもあります。また、今、『自分のブラウザ』とおっしゃいましたが、実際には、会社のパソコンだけではなく、家のパソコン、持ち歩き用のセカンドパソコン、さらに、携帯電話やデジタルテレビなど、コンピュータ以外の機器からのアクセス等々を考えれば、もう『自分のブラウザ』という考え方自体が成り立たないと思います。
統一的なID情報管理の重要性 | ||
テックバイザージェイピー 代表取締役で弁理士、ITコンサルタントの栗原潔氏 |
栗原 では、企業のシステム管理者にとってのメリットはどうでしょうか?
下道 ユーザーの場合と同様に、今日のシステム管理者もシステムごとに個別のユーザー情報を管理しなければならなくなっています。このような状況は管理負荷を大きく増します。先に述べたようにパスワードを忘れたユーザーのためにパスワードリセットをしてあげる負荷だけでも、頻繁に発生すれば大きな問題となります。さらに、統一的なID管理基盤がない状態はリスク管理という観点からも問題です。例えば、ある社員が退職したとします。当然ながら、その社員のIDを社内システムから迅速に削除し、企業の情報にアクセスできないようにする必要があります。ここで、ID情報が個別のシステムごとに管理されていると一部のシステムでIDを削除し忘れるというリスクが増してしまいます。これは内部統制的な視点から言えばあってはならないことです。もう1つの観点として、企業の吸収合併があるでしょう。今後、さまざまな形で企業組織の統廃合が増えていくと思いますが、そこで重要になるのがユーザー情報の統合です。統一的なID管理の基盤があれば、ユーザー情報の統合が足かせになって組織統合後の生産性が低下するというケースも減っていくでしょう。
栗原 このような問題を解決するために、例えばActive Directoryなどの1つのディレクトリ製品にユーザー情報を統合すればよいという発想が既にあったと思いますが。
下道 Active Directoryが優れたテクノロジであるかの議論は別として、1つの製品にすべてのユーザー情報を物理的に集約するのは現在では合理的なアプローチとは言えないと思います。企業内にはレガシーのディレクトリ・サービス、UNIX系のディレクトリ・サービス、アプリケーション独自のディレクトリ・サービスなど多様なユーザー情報管理基盤が存在します。さらに、企業間の連携や企業内システムとクラウド・サービスとの連携などの必要性も考えると多様性はさらに増加します。これらの多様性を許容しつつ、連携させて1つのシステムとして運営していくための連邦型アプローチ(フェデレーション)のソリューションが不可欠だと思います。リバティ・アライアンスのテクノロジはそのようなフェデレーションを提供する代表的ソリューションです。
集中型ID管理と連携型ID管理の違い(クリックで拡大) |
日本は世界で最もID管理を必要としている国 | ||
栗原 では、サービス提供者にとってのメリットはどうでしょうか?
下道 サービス提供者がユーザーのID情報を必要なときにID管理基盤から取得するモデルは、ユーザーにとっても大変メリットのある方式です。ID管理基盤はユーザー認証機能だけではなく、ユーザーの属性情報、例えば性別や年齢、嗜好、過去の買い物情報、アクセス履歴などを管理してもよいでしょう。このとき、サービス提供者はこれらをID管理基盤から取得し、活用することでユーザーにとって魅力的なサービスを提供することができます。一方で、ユーザーは、自分に関するすべての情報を提供することを好まないことも多いでしょう。属性管理機能を活用することで、ユーザーは信頼できるサービス提供者だけに対して自分が望む属性だけを開示することができるようになります。自分に関する情報は自分でコントロールするというプライバシー管理の大原則が実現できます。サービス提供者にとっては、各ウェブサイトで共通に用いられる情報をID管理基盤に集約させることでユーザー情報流出リスクを抑えられることも重要です。
栗原 ID管理の重要性については疑いのないところだと思います。しかし、正直言ってまだ広く普及したとは言い難いと思うのですが、その理由はどこにあるのでしょうか。
下道 1つには、課題の解決がテクノロジだけでは済まないという点があるでしょう。例えば、サービス提供者間でID情報を連携しようとすると、単なるテクノロジ的な接続性だけではなく、ビジネス上の取り決め、例えば、収益をどのような割合で分配するかなどの議論が必要になります。これは時間を要するプロセスです。また、ID管理基盤の実装サイドの都合で言うと、本質的にグローバル対応が必要となりますので、各国の法慣習、個人情報保護制度などに対応する必要があります。これも時間を要するプロセスです。また、企業が社内だけで閉じたシングル・サイン・オンのソリューションを実現しただけで安心してしまい、そこで進歩が止まっているということもあるかと思います。確かに社内のシングル・サイン・オンの実現は重要ですが、これからは1つの企業だけでサービスを提供するのは不可能になっていきます。将来を見据えて一歩先に進むことが重要でしょう。
栗原 特に、日本でのID管理の普及がもうひとつ見えにくい傾向があると思うのですが。今後の普及の見通しについてはどうお考えでしょうか。
下道 リバティ・アライアンスについては、日本でも政府関係を中心に着々と普及が進んでいます。そもそも、初期の実装を最初に実現したのは日本国内の組織です。とは言え、一般ユーザーの目に触れにくいということはあるかもしれません。一般に、日本人は安全性を極めて重視し、信頼できるサービスを使いたいという意識が極めて高いと思います。例えば、生命保険の加入率の高さなどにこの意識が表れています。また、言うまでもありませんが、デジタル機器の利用やさまざまなオンライン・サービスの活用という点では日本は世界でも先駆的です。そう考えてみると、日本は世界で最もID管理を必要としている国と言ってよいかもしれません。
OpenIDとリバティ・アライアンスのアプローチの違い | ||
栗原 ID管理の分野における注目度という点ではOpenIDが話題になることが多いように思えますが。
下道 確かに、OpenIDは『敷居の低さ』を最優先にしたテクノロジであるため取っつきやすいという点はあるでしょう。しかし、リバティ・アライアンスのアプローチはOpenIDとは違います。安心が先か、簡便さが先かという選択においては、リバティ・アライアンスは安心を優先しています。早くからID情報のガバナンス(統治)やアシュアランス(保証)のガイドラインや仕様策定に取り組んでいるのはそのためです。おそらく、OpenIDは簡便さを優先しているのでしょう。しかし、OpenIDでは、例えば、多額の金銭を扱うなどの重要性が高い取引ではまだ不十分な点があるため、ID情報のガバナンス、アシュアランスなどの点で機能強化が行われています。一方、リバティ・アライアンスも簡便さを軽視しているわけではなく、例えば、オープンソース化、REST(Representational State Transfer)対応などの点で拡張を続けています。両者は最初の入り口こそ異なっていますが、目指す最終的な目的地はそれほど変わらないと思います。また、もちろん、リバティ・アライアンスとOpenIDは相互排他的な選択肢ではなく、相互運用性の確保に向けた取り組みも始まっています。
栗原 相互運用性の確保は重要だと思いますが、トラフィックの増大による性能への影響はないでしょうか。
下道 確かにレイテンシの影響は慎重に検討する必要があるでしょう。
栗原 クラウド化が進行すれば、地球の裏側まで行って認証処理を行うというケースも増えてくると思います。そうなるとレイテンシの影響はますます大きくなりますね。
下道 確かに重要な検討事項ではありますが、そのような問題は適切なシステム設計で解決できると思います。ユーザーとのやり取りはできるだけステートレスに行い、本当に重要なところだけしっかり認証処理を行うなどのアプローチです。新世代のシステム開発者にとっては腕の見せどころと言えるのではないでしょうか。
栗原 今後、クラウド・コンピューティング的なパラダイムが企業の世界でも普及して行くにつれ、堅牢なID管理は不可欠な要素となっていくと思います。その意味で、中立的かつ包括的な標準化団体であるリバティ・アライアンスの役割はますます大きくなっていくと思います。
下道 私もそう信じています。これからもいろいろな動きがあると思いますのでご期待ください。
|
リバティ・アライアンス日本SIG | |
Liberty Alliance |
提供:リバティ・アライアンス 日本SIG
企画:アイティメディア 営業本部
制作:@IT 編集部
掲載内容有効期限:2009年4月15日
クラウドコンピューティング時代に求められるアイデンティティー管理とは? クラウドコンピューティング時代の本格的な到来を迎えようとしている今日、アイデンティティー管理基盤の整備は最も重要なセキュリティ戦略の1つだ。企業は果たしてどのようなアクションを取るべきなのだろうか? |
リバティ・アライアンス日本SIG | |
Liberty Alliance |