| [運用] Windowsで構築する、クラウド・サービスと社内システムのSSO環境 第1回 3.クラウドがアイデンティティ管理システムにもたらす変化 Microsoft MVPIdentity Lifecycle Manager 伊藤忠テクノソリューションズ株式会社 富士榮 尚寛 2010/08/04 |
 |
|
|
|
クラウド・コンピューティングがアイデンティティ管理システムにもたらす変化
前述したクラウド・サービス利用時のセキュリティ上の課題と対応について、再度ポイントを整理すると以下の3点に集約される。これらが安全にクラウド・サービスを利用するためのカギ、つまり企業IT管理者が対応すべき事項となる。
これらに対応するために、アイデンティティ管理システムはどのように変化する必要があるのだろうか?
■アプリケーション層における強固な認証
クラウド・サービスはインターネット上に存在するので、IPアドレス制限などネットワーク層での対策を施さないかぎり、企業内ネットワーク以外からも自由にアクセスできる。結果、自社ユーザー以外であっても取りあえずログオン画面までは到達できてしまう。そのような状態で簡単なIDとパスワードだけで利用できるような認証強度だと、簡単に不正アクセスされる可能性がある。
これを避けるには、より厳しく本人性を確認するための強固な手段が必要となる。例えばハードウェア・トークンなどを利用した多要素認証や、最初に自社のネットワークへアクセスさせて自社ネットワーク内の認証システムへのログインを強制させる多段階認証などが必要となる。
| 構成要素 | 従来 | 今後 |
| アクセス管理システム(認証機能) | IDとパスワードのみで認証(ネットワーク境界内だけなのでそれほど強度は必要ない) | ・強固な認証機能を持つサービスを利用する |
| ・まず自社の認証システムで認証する(自社内ネットワークにアクセスできるということでユーザーを限定する) | ||
 |
||
| アプリケーション層での認証に関する要求の変化 | ||
■ネットワーク上を流れる重要データの極小化
前述したようにクラウド・サービスのあるインターネットはフィッシングなどの攻撃を受ける可能性がある世界なので、パスワードをサービス提供側に直接入力するような仕組みだと、ネットワーク上でパスワードを盗み出されてしまう可能性がある。その点シングル・サインオン・システムを使えば認証機能をサービスから切り離せるので、サービス提供者には認証結果だけを渡し、直接パスワードをやりとりせずに済ませることが可能だ。
また、クラウド・サービスが動作するうえで不要な情報に関しても、社内システムと同じ感覚で「いつか使うかもしれない」と不用意にサービス提供者に渡していると、事故が発生したときのインパクトは大きくなる。当然サービス提供者とは事故発生時の取り決めなどを行い、場合によっては賠償などに発展することもあり得るが、一度漏えいしたデータが元に戻ることがないのがインターネットだ。従ってサービス提供者には、サービスに必要な最低限の情報だけを必要なときだけ渡すようにすべきだ。
同じく、ネットワークの境界をまたぐので、これまでの社内アプリケーションのようにサービスが自社のディレクトリ・サービスへ直接アクセスする、ということも当然あり得ない。
| 構成要素 | 従来 | 今後 |
| アクセス管理システム(認証機能) | 自社ネットワークなのでIDとパスワードが流れてもそれほど気にしない | サービスに直接パスワードを入力させない(ネットワークに流さない) |
| ライフサイクル管理システム(プロビジョニング) | ・あらかじめ、ある程度の属性情報をマスタとして渡しておく | ・サービスに必要な属性情報のみをその都度渡す |
| ・サービスが直接ディレクトリを参照する | ・社内ディレクトリへのアクセスは許可しない | |
|
||
| ネットワーク上のデータの極小化に関する要求の変化 | ||
■ユーザーに加えてサービスの認証(正当性確認)
社内システムだけの利用であればサービスの信頼性は自社の統制の範囲内だった。しかし、クラウド上のサービスを利用するとサービス提供側のシステムのセキュリティ・レベルや運用体制などは、ユーザー側からコントロールできない。
またインターネットを利用することになるので、フィッシングやDNSキャッシュ汚染による悪意のあるサイトへの誘導などの事態に遭遇する可能性もある。
つまり、
- サービス提供者は信頼できるのか?
- 本当にサービス提供者のサービスを使えているのか?
についての確認および対策をする必要がある。これは従来の社内アイデンティティ管理システムにおいてはそれほど考慮することのなかったポイントである。
| 構成要素 | 従来 | 今後 |
| サービスへの信頼 | 社内システムなので基本的に無条件に信頼 | ・SAS70(内部統制の評価基準の一種)やSysTrust(システムの保証サービスの一種)などの認証を基準として信頼 |
| ・サーバ証明書や認証情報のやりとりへの署名などでの正当性の担保 | ||
|
||
| サービスの認証に関する要求の変化 | ||
まとめると、少なくとも今後アイデンティティ管理システムに求められるのは、
- 社内の認証システムと連携したアクセス管理機能(シングル・サインオン)
- 必要な情報のみを渡すセキュアなプロビジョニング機能
である。
 |
| クラウド連携を行うアイデンティティ管理システム |
| クラウド・サービスと連携するには、シングル・サインオンや社内認証システムと連携したアクセス管理、必要な情報のみを渡す最低限のプロビジョニングが必要になる。 |
この仕組みを支えるため、特に社内の認証システムとの連携において注目されているのが「アイデンティティ連携(フェデレーション)」という概念である。次回は具体的にこのフェデレーションとはどのようなものなのかについて解説をしていく。
 |
 |
| INDEX | ||
| [運用]Windowsで構築する、クラウド・サービスと社内システムのSSO環境 | ||
| 第1回 クラウド・コンピューティングとアイデンティティ管理の概要 | ||
| 1.クラウド・コンピューティングの基礎と課題 | ||
| 2.クラウドでのセキュリティ対策とアイデンティティ管理の役割 | ||
 |
3.クラウドがアイデンティティ管理システムにもたらす変化 | |
| 第2回 クラウド・コンピューティング時代の認証技術 | ||
| 1.アイデンティティ連携(フェデレーション)の要素技術 | ||
| 2.マイクロソフトのアイデンティティに関するビジョン | ||
| 3.アイデンティティ・メタシステムの実装 | ||
| 第3回 クラウド・サービスと社内ADとのSSOを実現する(前) | ||
| 1.AD FS 2.0のセットアップ | ||
| 2.Google AppsとAD FS 2.0との連携 | ||
| 3.Windows Live IDとAD FS 2.0との連携 | ||
| 4.Salesforce.com CRMとAD FS 2.0との連携 | ||
| 第4回 クラウド・サービスと社内ADとのSSOを実現する(後) | ||
| 1.Windows AzureとAD FS 2.0との連携(1) | ||
| 2.Windows AzureとAD FS 2.0との連携(2) | ||
|
||
 |
Windows 運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
