[運用]
Windowsで構築する、クラウド・サービスと社内システムのSSO環境 第1回

2.クラウドでのセキュリティ対策とアイデンティティ管理の役割

Microsoft MVP
Identity Lifecycle Manager
伊藤忠テクノソリューションズ株式会社
富士榮 尚寛
2010/08/04
Page1 Page2 Page3 Page4

クラウド・コンピューティングにおけるセキュリティ対策

 初めに、従来の社内システムとクラウド・コンピューティングにおいて、セキュリティの考え方が異なることを理解しておく必要がある。

ネットワーク境界の違いによる課題
  従来の社内システムでは、あくまでも信頼できるネットワーク境界の中の特定されたユーザーのみを対象としてサービスを提供してきた。そのため、ファイアウォールやIDS(侵入検知システム)などで境界防御さえしっかり行っていれば、セキュリティ上、内部ネットワーク上を流れるデータについてはそれほど意識を向ける必要はなかった。しかし、クラウド上のサービスを導入することにより、ネットワーク境界はインターネット上まで拡大してしまうため、実質存在しないに等しい状態となってしまう。

 こうなると、これまでのようなネットワーク層での境界防御の考え方は通用しなくなるので、まずは上位層であるアプリケーション層での対策、具体的には認証行為によるアクセス元の正当性確認が必要となる。同様に内部ネットワークだからある程度許されていた非暗号化データや重要データのやりとりについても、暗号化やデータの絞り込みなどの対策が必要となる。

クラウド・サービスの利用により考慮すべきセキュリティ上の課題
クラウド・サービスを導入すると、社内システムにおける内部ネットワークの境界が実質的にインターネット上にまで拡大する。そのため、ファイアウォールによるネットワーク境界での防御といった従来のセキュリティ対策だけでは通用しなくなり、アプリケーション層での認証やアクセス元の正当性確認、通信データの暗号化、データの絞り込みといった対策が必要になる。

新たに必要なセキュリティ対策
  次に、これまでは境界内に存在するのは信頼できる社内アプリケーション・サービスのみであったため、そのセキュリティ対策といえば、アクセスしてくるユーザーに対する認証や認可を行うことが主流だった。しかし今後はアクセス先のサービスがインターネット上に存在するため、フィッシングなりすましなどの不正行為への対応も必要となり、利用対象となるサービス側の信頼性・安全性に対する担保も併せて必要となる。

比較項目 社内システムの利用 クラウド・サービスの利用
セキュリティ境界となる層(防御手段) ネットワーク層(ファイアウォールやIDS) アプリケーション層(認証)
伝送経路に対する警戒度合い 低(それほど気にしない) 高(暗号化必須、最低限のデータ以外は流さない工夫が必要)
認証(信頼)対象 ユーザー(ID、パスワードなど) ・ユーザー(場合によりID、パスワード以上の強度が必要)
・利用対象サービス(サーバ証明書などによる正当性の担保)
セキュリティに関する考え方の違い
クラウド・サービスを利用するには、社内システムの利用時より幅広いセキュリティ対策が求められる。特に認証や認可、安全なデータのやりとりといった点を強化する必要がある。その詳細は後述する。

 このようにセキュリティ対策を行うレイヤが上がってくると、より強固な認証や認可、安全なデータのやりとりなどに焦点が当たるようになる。その結果、ユーザーIDやユーザー権限などの「アイデンティティ情報」を管理する「アイデンティティ管理」の役割がより重要なものとなってくることが容易に想像できる。

アイデンティティ管理システムの役割

 ここまでクラウド・コンピューティングの定義と、クラウド上で提供されるサービスを企業が利用するうえで考慮すべきセキュリティ上の課題について述べてきた。また、同時にアイデンティティ情報を管理するという業務においても、一定の変化が発生するであろうことは想像がつくだろう。では、このクラウド・コンピューティング時代への動きの中で、具体的にアイデンティティ管理システムが果たす役割や適用技術がどのように変化していくのかを考えていきたい。

 その前に、まず企業における従来のアイデンティティ管理システムとはどのようなものだったのか、どのように利用されてきたのかを整理する。

企業におけるアイデンティティ管理システムの歴史

 アイデンティティ管理システムとは何か? という問いに対してはさまざまな視点があり、各所でいろいろな定義がなされている。本稿では、アイデンティティ情報を保持する層(ディレクトリもしくはアイデンティティ・リポジトリ)、管理する層(ライフサイクル管理)、利用する層(アクセス管理)の3つの要素で構成されていると定義する。

構成要素 役割
ディレクトリ(アイデンティティ・リポジトリ)サービス アイデンティティ情報を統合して管理する基盤として、そのほかの機能のベースとなる
ライフサイクル管理システム 管理対象のアイデンティティ情報の変化や利用システムへの伝播(プロビジョニング)を管理する。一般的な例として人事システム上の情報の変化(入社や異動など)に応じてディレクトリ・サービスや各利用システム上のアイデンティティ情報を更新する。更新の過程で承認を伴うようなケースもある
アクセス管理システム アイデンティティ情報の利用を管理する。具体的にはアプリケーションへのログインのための認証や利用権限の管理(認可)を行う
アイデンティティ管理システムを構成する要素とその役割

企業内におけるアイデンティティ管理システム
ディレクトリ・サービスとライフサイクル管理システム、アクセス管理システムを中心に、企業内アイデンティティ管理システムは構成されている。

 アイデンティティ管理システムはサービスを利用するための基盤となるため、さまざまな外的要因により、要求される事項が左右されてきた。これまで一般的に企業におけるアイデンティティ管理システム導入の目的は、運用の効率化、セキュリティ向上、内部統制・法令対応、利便性向上の4つであり、そのときどきのトレンドや時流により重視されるポイントが変化してきた。

目的・用途 構成要素 機能
運用の効率化 ディレクトリ・サービス メタディレクトリ(ディレクトリ統合)
ライフサイクル管理 プロビジョニング(情報の自動反映)
セルフサービス(パスワード・リセット、ワークフローなど)
セキュリティ向上 ライフサイクル管理 プロビジョニング(退職者IDの削除、共有ID対応)
アクセス管理 ロール・権限管理
内部統制・法令対応 ライフサイクル管理 プロビジョニング(退職者IDの削除、共有ID対応)
アクセス管理 ロール/権限の管理、アクセス監査
利便性向上 アクセス管理 シングル・サインオン
アイデンティティ管理システムの目的と用途、対応する機能
これまでアイデンティティ管理システムに求められてきた4つの目的・用途で、構成要素やその機能を分類してみた。この中で重視されるポイントは、そのときどきのトレンドや時流により変化してきた。

 例えば、直近ではJ-SOXや内部統制というキーワードでアクセス権管理やアクセス監査が注目されている。ほかにも、ヘルプデスク・コストの低減のためのパスワード・リマインダ(ユーザーがパスワードを忘れたときに本人確認を経て新パスワードを発行するシステム)や、利便性向上のためのシングル・サインオンなど、さまざまな課題に対応するソリューションとしてアイデンティティ管理システムが導入されてきた。

 そして、クラウド・コンピューティングが本格的に企業においても利用されようとしているいま、アイデンティティ管理に関してもこれまでとは違った考え方が必要となってきている。


 INDEX
  [運用]Windowsで構築する、クラウド・サービスと社内システムのSSO環境
  第1回 クラウド・コンピューティングとアイデンティティ管理の概要
    1.クラウド・コンピューティングの基礎と課題
  2.クラウドでのセキュリティ対策とアイデンティティ管理の役割
    3.クラウドがアイデンティティ管理システムにもたらす変化
 
  第2回 クラウド・コンピューティング時代の認証技術
    1.アイデンティティ連携(フェデレーション)の要素技術
    2.マイクロソフトのアイデンティティに関するビジョン
    3.アイデンティティ・メタシステムの実装
 
  第3回 クラウド・サービスと社内ADとのSSOを実現する(前)
    1.AD FS 2.0のセットアップ
    2.Google AppsとAD FS 2.0との連携
    3.Windows Live IDとAD FS 2.0との連携
    4.Salesforce.com CRMとAD FS 2.0との連携
 
  第4回 クラウド・サービスと社内ADとのSSOを実現する(後)
    1.Windows AzureとAD FS 2.0との連携(1)
    2.Windows AzureとAD FS 2.0との連携(2)

 Windows 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT