加速するクラウドの普及と相まって、増加し続けるIDとパスワード。アイデンティティ情報に関わる運用コストの増加や不正アクセスなどの問題は、多くの企業にとって悩みの種となっています。導入費用を抑えてこれらの問題を対策するためには、OSSによるアイデンティティ管理システムの導入が有効です。
業務の多様化により、企業内で利用するシステムの数は増加の一途をたどっています。これらのシステムは認証や認可のために、IDとパスワードをはじめとするアイデンティティ情報を必要とします。
しかしアイデンティティ情報は、一般的にシステム間で共有されることなく散在しているため、ユーザーもシステム管理者も適切に管理することが難しくなっているのが現状です。このような状況の下でさまざまな問題が発生しています。
今年の3月下旬以降、国内サイトで相次いで不正ログイン事件が発生しました。当初、原因は、ツールを使ってIDとパスワードをランダムに入力し、ログインできるまで繰り返す「ブルートフォース攻撃」であると考えられていました。しかし調査が進むにつれて、あるサイトで漏えいしたIDとパスワードを別のサイトのログインに流用する「パスワードリスト攻撃」であることが分かりました。
パスワードリスト攻撃は、ユーザーが同一のIDとパスワードを複数のサイトで使い回すことに目を付けたものです。利用するシステムが増え過ぎたため、ユーザーがIDとパスワードを覚えられなくなっていることが原因といえます。
この他にも、アイデンティティ管理の不備に起因する事件や事故が多発しています。
2012年12月には保険会社を退職した元社員が、退職後も抹消されていなかった自分のIDを利用し、情報を盗み出す事件がありました。不正アクセスの履歴は3年にわたって確認されたと公表されています。これは、ユーザーだけでなく管理者も、増え過ぎたシステムに対応できなくなっている状況を表しているといえます。
クラウドサービスはインターネットにつながる環境であればアクセスが可能であるため、退社後に漏れなく速やかに利用停止する必要があります。しかし、システムの複雑さや人材の流動性が増す中で、その防止が難しいことは容易に想像できます。
また、パスワード再発行のために設定した他者の「よくある質問」の「回答」を推定し、パスワードを取得してアカウントを悪用するような事件も度々発生しています。パスワード再発行機能は、パスワードを忘れたユーザーとパスワードを再発行する管理者の両者の負担を軽減するために考案されたものですが、それが不正アクセスの糸口になることもあるのです。
このような機能を導入しなければならない背景には、各システムが要求する複雑なパスワードポリシーも影響しています。
ユーザーが利用するシステムが1つだけであれば、パスワードポリシーを満たす複雑なパスワードを設定し、定期的に変更することも可能でしょう。しかし、現在のようにシステムが複数ある状況で、全てを頭の中に入れておくことは現実的に不可能です。
結果としてユーザーは、パスワードを書いた付箋をPCに貼っておいたり、「2013April」のような推測されやすいパスワードに定期変更するようになります。不正アクセスを防止する目的で導入されたパスワードポリシーが、逆に不正アクセスを生み出す要因となっているのです。
このような事件が示すように、現在の日本においてアイデンティ管理の重要性は十分に認識されているとはいえません。多くの経営者にとってアイデンティ管理とは、IDを管理することであり、シングルサインオンによる利便性が得られるという程度の認識で、運用コストの削減やセキュリティ/コンプライアンスのリスク管理に結び付いていないのかもしれません。
一方海外の企業では、利便性だけでなくセキュリティの観点から、SalesforceやFacebookなどのクラウドサービスのアイデンティティ情報をマスタデータとして、社内システムと連携するようなケースも見られます。しかし古い考え方を持つ日本の企業では、クラウド上で管理されたアイデンティティ情報を利用すること自体に懐疑的なことも少なくありません。
そんな中ではありますが、今年の3月4日、5日に国立情報学研究所とOpenID Foundation Japanの共催で「JAPAN IDENTITY & CLOUD SUMMIT 2013」が開催されました。アイデンティティ管理の関係者が一堂に会する日本初のアイデンティティサミットです。国内だけでなく海外の専門家や政府関係者など、この分野の専門家がアイデンティティ管理に関する世界的なトレンドや企業の取り組みについて説明しました。
ちょうど「マイナンバー法案」によってアイデンティティ管理に対する社会的な関心が高まっていたこともあり、広い会場に入りきらないほどの参加者が集まりました。国内においてもアイデンティティ管理の重要性が徐々に認識されるようになってきたことを感じました。
「データ連携」が新たな価値を生むために必要な「アイデンティティ」の課題
http://www.atmarkit.co.jp/ait/articles/1304/05/news008.html
Copyright © ITmedia, Inc. All Rights Reserved.