/«VÃ V トピックス アイデンティティ管理の 現在と未来 第 1 回:アイデンティティ管理を取り巻く状況 企業や組織を取り巻く環境の変化によって、セキュリティに対する認識や取り組 みはこの数年で大きく様変わりした。セキュリティ対策は、従来の“任意”の対 応から企業活動の“必須”要件になり、さらにはコンプライアンスや内部統制の 強化に対する圧力と相まって、いまや企業が果たすべき “責務” として位置づけ られるようになった。これに伴い、セキュリティ対策の根本的な見直しを迫られ る企業や組織も少なくない。 本稿では、セキュリティ管理で重要な役割を担う にも関わらず、これまであまり意識されてこなかったアイデンティティ管理につい て再考してみる。 裏社会で取り引きされる場合もある。 ネットワーク・インフラや情報利用環境 が整備され、情報アクセスに対する利 便性が向上する一方で、不正アクセス や個人情報漏洩、機密情報の流出と いったセキュリティ管理に起因する事件 や問題が頻発し、個人や企業を超えた 社会問題として認識されつつある。 このような状況のもと、現在の企業 サイバースペースのIDと アイデンティティ管理 「 サイバースペースでは、あなたは は昨年日本で開催された情報セキュリ は、外部からの攻撃と内部からの情報 ティ・イベントの基調講演で、従来から 漏洩の両面から情報セキュリティを見直 のワームやウィルス、DDoS攻撃、スパ し、個人情報保護法や会社法改正、日 ムなどに代わって、SPIM(SPam over 本版 SOX法などへの対応を含めて対 ユーザー ID(識別記号) であり、そこ Instant Messenger)やフィッシング、 策を講じる必要に迫られている。 で最も重要な持ち物はアイデンティティ ファーミングなどの進化型の脅威や攻 いまやセキュリティ対策は、コンプライ だ。IDを守ることは自分自身を守ること 撃が増加し、個人のアイデンティティが アンス対応や内部統制の強化に牽引さ になる」。元米国政府のサイバースペー 危機にさらされていると警告した。 れる形で “任意”から “責務”へと位置づ ス安全保障担当特別補佐官を務め、 これらの新しい世代の脅威は、従来 けを変えつつあり、運用コスト削減や業 現在はグッド・ハーバー・コンサルティン のような愉快犯的な攻撃ではなく、すべ 務効率化を目的としたサーバ統合/ア グ社の会長に就任しているリチャード・ て金銭にからむ犯罪や不正行為を目的 プリケーション統合、変化への迅速な対 クラーク氏の言葉である。クラーク氏 としており、盗まれたアイデンティティが 応を目的としたビジネス・プロセスやワー クフローの変更といったシステム環境の 図 1:連携アイデンティティ・モデル(Federated Identity Model) 変化が、アイデンティティ管理の必要性 を高めつつある。 アイデンティティ集約型モデル アイデンティティ連携型モデル ●単一リポジトリにおけるアイデンティティ情報の管理 ●さまざまな場所でのアイデンティティ情報の管理 ●集中コン トロール ●非集中コン トロール ●一点の障害がシステム全体に波及 ●一点に障害があってもシステムは機能する ●類似システムのみ連携 ●類似/異種システムと連携 業務システムのアカウントやアクセス 権限をポリシーに基づいて一元的に管 理するアイデンティティ管理は、 シングル・ 保険 中央プロバイダー 銀行 サインオンによる利便性の向上とセキュ リティの強化を実現し、運用管理面で 旅行会社 航空会社 企業 ISP の負荷を軽減するが、セキュリティ・ポ リシーの確立や情報システムの運用方 針、組織体系を明確にする必要がある ため、導入を躊躇する企業も少なくな Ç{ /PEN%NTERPRISE-AGAZINE/CT /«VÃ かった。 さらに、これまでのアカウントやアクセ パートナー A パートナー H ス権限の管理は、ディレクトリ・サービス やシングル・サインオンに代表されるよう パートナー G に認証や承認のコントロールを意味して いたが、現在では複数のシステムに散 認ルールに基づくアクセス権限の付与 ネットワーク・ アイデンティティ・ ハブ・ プロバイダー パートナー F 在するアカウントの統廃合やセキュリティ ・ ポリシーの周知徹底、規定の申請/承 パートナー B トラスト・サークル (CoT) ⇒ビジネス的合意 ⇒SLA ⇒ポリシー、 ガイドライン、 利用規定 アイデンティティ・プロバイダー (IdP) (たとえば、金融機関や企業の人事部) ⇒信頼できるエンティティ ⇒認証基盤 ⇒主たるアイデンティティ属性管理 ⇒付加価値サービスの提供 (オプション) パートナー C パートナー D パートナー E 提携サービス・プロバイダー (SP) ⇒付加サービスの提供 ⇒認証基盤を必ずしも用意する必要なし や変更、剥奪など、アイデンティティ情 報をライフサイクルで管理することも求 図 2:CoT(Circle of Trust:信頼の輪) モデル は企業や組織内のモラルや物理的な が監査される。また、財務情報に関わ アイデンティティ管理に対する 認識 制限によって防ぐことができたが、業務 る情報やデータの適正性を証明するた のアウトソーシング化や就業/雇用形 めに、業務処理が追跡可能であること 態の変化など、企業内外の環境が大き が求められる。このため、いつ誰がど 情報セキュリティは、企業が抱える課 く変化しており、その変化と従来の運 のマシンで何をしたか、 システムやアプリ 題のなかでも常に優先順位の高い課題 用体制とのギャップが内的脅威のリスク ケーションのイベント・ログ情報を収集し として位置づけられるにも関わらず、こ を増大させている。 て追跡できるようにしておく必要もある。 れまでアイデンティティ管理が普及して さらに、 アイデンティティ管理は、 セキュ 現在アイデンティティ管理が、運用 こなかったのには、いくつかの要因が考 リティ・ポリシーの策定や組織構造やシ 管理とセキュリティの要件を満たすソ えられる。その1 つは、セキュリティ対 ステム運用体制の見直しなど、部門横 リューションとして注目されているのは、 められるようになりつつある。 策が、ウィルスやスパムのようなシステム 断的あるいは全社的な対応が求められ まさにこうしたニーズに対応できるため の脆弱性を攻撃する外的脅威からシス るため、セキュリティ対策としてよりもリス である。 テムを守ることと理解されていたことに ク管理の範疇に含められることが多い。 この一方で、アイデンティティ管理に ある。 アイデンティティ管理の不備による個 対する認知度の低さを示す調査結果も 外的脅威は攻撃を受けたときの被害 人情報の漏洩や機密情報の流出は、 報告されている。今年 7月にNRIセキュ を想像しやすく、ポイント・ソリューション 一企業を超えて社会的な問題にまで アテクノロジーズは、情報セキュリティに として導入することが可能なため、導入 発展する可能性が高く、企業は信用を 関するアンケート調査の結果を「企業に の敷居が低い。対策を講じるための予 失うだけでなく、損害賠償訴訟などに おける情報セキュリティ実態調査 2006」 算に限りがある状況では、 “とりあえず” よって企業活動に大きなダメージを受け として公表した。 の対策として優先順位の高い箇所から る。今年 5月に施行された新・会社法 この調査は2002 年から毎年実施さ 順次、必要最小限の対応を実施してい や2008 年 4月以降の事業年度から実 れており、今回で5 回目となるもので、東 くことになってしまう。 施される金融商品取引法で義務付けら 証 1 部・2 部上場企業や従業員 300 人 また、外的脅威への対策は導入の れた内部統制は、財務情報の適正性 以上の非上場企業など3,000 社を対象 効果が見えやすく、ウィルス対策などの の確保を本来の目的としているが、IT に今年 5月にアンケート調査を実施し、 エンド・ポイントの保護は現状の環境に 業務処理統制やIT全般統制の体制を 449 社の有効回答をまとめた。 付加する形で対応できることから、内的 構築する必要もあるため、アイデンティ この調査では、「 個人情報保護法 脅威への対応やインフラ・レベルの対策 ティ管理は必須要件になってくる。 への対応が一通り完了した」 と考えてい が先送りされやすい。 内部統制では、ビジネス・プロセスや る企業の割合が、昨年調査時の54.8% しかし、不正アクセスによる個人情報 ワークフローを明確に定義して文書化 から80.3%に増加しており、今後の情 の漏洩や機密情報の流出は、これまで し、その通りに運用されているか否か 報セキュリティに対する投資では、「 金 /PEN%NTERPRISE-AGAZINE/CT Çx /«VÃ V トピックス 融商品取引法(日本版 SOX法)への対 る認知度を向上することが大きな課題 団体が、 「リバティ ・アライアンス・プロジェ 応」と回答した企業が最も多く、全体の になっているといえよう。 クト」である。 68.4%が投資を計画していることが明ら かになった。 リバティ・アライアンス リバティ・アライアンス・プロジェクト (Liberty Alliance Project) は、ビジ また、情報セキュリティですでに取り アイデンティティ管理とは、ユーザー ネス・アライアンスとして2001 年 9月に 組んでいる施策では、「ネットワークの の職務や権限に応じて、どのようなシス 設立された連携アイデンティティ管理の セキュリティ強化」 (84.9%) 、「PCのセ テムやアプリケーションが利用できるか、 ための国際的な標準化団体で、さまざ キュリティ対策」 (75.6%) 、 「パスワード・ どのような情報やデータにアクセスして まなネットワーク機器を対象に、連携さ ルール等の情報セキュリティの基本事 どのレベルまで操作できるかなどを設定 れたアイデンティティ管理のための標準 項の徹底」 (63.0%)が上位を占め、今 し、それをシステム環境全体にわたって 仕様の策定とビジネス・ガイドラインの提 後取り組むべき施策では「 実施したセ 統合的に管理することを指す。 供、分散的な認証・認可を実現するシ キュリティ対策の有効性評価」 (83.3%) 、 これにより、複数のIDとパスワードの ングル・サインオンのためのオープンで 「 情報セキュリティを担当する人材の 組み合わせを1 つにまとめて利便性を セキュアな技術標準の提供を主な目的 育成」 (77.7%) 、「 情報セキュリティに 向上し (シングル・サインオン) 、システム としている。 関する知識やノウハウの継続的な蓄積 管理者やヘルプデスクの管理負荷を低 リバティ・アライアンスの 発 足 は、 と社内での共有」 (76.9%)が上位を占 減するとともに、セキュリティを向上する マイクロソフトが独自の認証サービス めている。 ことができる。 しかし、情報セキュリティ対策製品・ 現在、各システム・ベンダーやソフト る。インターネットを利用したオンライン・ ツールやサービスの利用状況について ウェア・ベンダーから提供されているア ショッピングなどで個人情報を登録する の調査では、アイデンティティ管理ツー イデンティティ管理製品は、内部統制シ 際に、入力する情報の種類や形式がサ ルについて全 体の27.7%が「 製 品や ステムに対するニーズの高まりを受けて イトごとに異なるため、それをPassport ツールを知らない」と回答し、全 28カテ ログ管理機能やシステム使用追跡機 にいったん登録し、Passport対応のサ ゴリーの製品/サービスのなかでも最 能などを搭載し、 コンプライアンス対応ソ イト間でその個人情報を共有することを も認 知 度が低いことがわかった。 次 リューションの1 つとして提供される傾 目的としていた。 いで認知度が低いのは「 高信頼 OS」 向にある。 この方法は、1 社のベンダーのリポジト (19.7%) 、「セキュリティ・イベント管理 また、アイデンティティ管理は企業や リでアイデンティティ情報が集中管理さ ツール」 (19.0%) で、この3 製品以外は 組織内に閉じたネットワークやシステム れることになるため、1カ所の障害がシ すべて8%以下になっている。 だけでなく、インターネットの世界でも利 ステム全体に波及する可能性が高いこ 少なくともこの調査結果を見る限り、 用することができる。そのための共通 とや、専用の技術に基づいているため 現時点ではアイデンティティ管理に対す 規格を策定している国際的な標準化 恣意的な運用が可能になり、対応する 「Passport」を発表したことに端を発す システム (Webサイト) が限定されるなど 図 3:リバティ仕様のアーキテクチャ概要 リバティ・アイデンティティ 連携フレームワーク (ID-FF) アイデンティティ/アカウント・ リンケージ、 シングル・サインオ ン、 セッション管理などの特徴を 持つアイデンティティ連携と管 理が可能 リバティ・アイデンティティ・サービス・インタフェース 仕様 (ID-SIS) パーソナル・プロファイル・サービス、 アラート・サービス、 カレンダ ー・サービス、 ウォレット・サービス、 コンタクト・サービス、位置情報 サービス、 プレゼンス・サービスなどのアイデンティティ・サービス が可能 リバティ・アイデンティティWebサービス・フレームワーク (ID-WSF) 相互接続可能なアイデンティティ・サービス、許可ベースの属性 共有、 アイデンティティ・サービス記述、 ディスカバリ、関係するセ キュリティ・プロファイルを作成・構築するためのフレームワークを 提供 リバティ仕様は既存の標準仕様に準拠 (SAML、SOAP、WSS、XMLなど) の点で問題視された。 これに対して、複数のITベンダーや 企業が “連携” して認証サービスを提 供することを目的に発足したのが、リバ ティ・アライアンスである。 現在のボード・メンバーは、AOL、エ リクソン、フィデリティ・インベストメンツ、 フランス・テレコム、ゼネラル・モーター ズ、ヒューレット・パッカード (HP) 、アイ・ ビー・エム (IBM) 、 インテル、 エヌ・ティ ・ティ ÇÈ /PEN%NTERPRISE-AGAZINE/CT /«VÃ (NTT) 、ノベル、オラクル、RSAセキュ ピープル・サービスを利 用して、 グループ情報を 参照/取得して活用 リティ、サン・マイクロシステムズで構成 される。また、リバティ・アライアンスは ソーシャル・ネットワーク 情報(例:住所録、 プッ シュ・トークのグループ、 バディリストなど) 各国の個人情報保護やプライバシーと グループ情報 いった法制度を考慮した標準技術の 確立を目指しているため、その参加メン 写真共有サービス・プロバイダー グループ情報 住所録サービス・プロバイダー ブログ・サービス・プロバイダー バーはIT企業だけでなく、通信事業者 や端末機器メーカー、自動車会社、家 住所録の友達グループと写 真を共有 住所録の友達グループに だけブログを公開 電メーカー、金融サービスといった多分 ⇒ピープル・サービスにより、 ユーザーのグループ情報 (ソーシャル・ネットワーク情報) を、 サイト間で流通し、 活用できるようになる。 野の企業や、研究機関、政府関連団 体も含まれ、現在の参加メンバー数は 図 4:ID-WSF 2.0 新機能 :Poeple Service 150 社・団体を超える。 リバティ・アライアンスの策定した連携 ション、フェーズ2のトラスト・サークルに 個人と企業のユーザーが、ブックマーク アイデンティティ・アーキテクチャに基づ よる連携アイデンティティ・サービスにつ やブログ、カレンダ、写真共有、インスタ くWebサイトでは、許可されたリソース いては仕様策定を終えており、現在は ント・メッセージング (IM) などのソーシャ へのアクセスが保証され、シングル・サイ フェーズ3の段階にある。 ル・アプリケーションを、ID-WSF 2.0フ (図 1 参照) 。 ンオンが可能になる 現在すでに、シングル・サインオンの レームワークの共通レイヤから管理でき この連携は、アイデンティティ・プロバ フレームワークとなる「リバティ・アイデン るようにする。これによって、連携ソー イダー(IdP) とサービス・プロバイダー ティティ連携フレーム (ID-FF) 」、Web シャル・ネットワークにおいて、他のWeb (SP)で形成される “信頼の輪(CoT: サービス上でアイデンティティを連携さ サービス・アプリケーションからユーザー Circle of Trust) ” または “トラスト・サー 「リバティ ・アイデンティティWebサー せる 間のオンラインの関係が利用できるよう クル” と呼ばれる仮想領域で実現される ビス・フレームワーク (ID-WSF) 」、個人 になる。 情報サービスやカレンダ・サービス、位 また、リバティ・アライアンスは今年 IdPは、金融機関などの実体を持っ 置情報サービスなどを連携させる「リ 8月に、政 府 機 関 が 国 民にオープン た信頼できる企業や団体で、付加サー バティ・アイデンティティサービス・インタ な標準技術に基づくセキュアなアイデ ビスを提供するSPに対して、認証基盤 フェース(ID-SIS) 」の仕様が公開され ンティティ管 理サービスを提 供できる と主なアイデンティティ属性管理を提供 ている (図 3 参照)。 ように 支 援 する「Liberty Alliance する。SPは必ずしも自前で認証基盤を リバティ・アライアンスは昨年 12月に、 eGovernment Group」の発足を発表 構築する必要はなく、Idpと連携するこ ID-WSFの最新版 “ID-WSF 2.0” を発 した。このグループはニュージーランド とで認証サービスが提供できる。 表し、SAML 2.0やWS-Addressingな 政府・国家サービス委員会の代表者が 。 (図 2 参照) トラスト・サークル内のSPとIdPは、ビ どのサポートと、各種のソーシャル・アイ リーダーを務め、デンマーク、フィンラン ジネス面と運用面でリバティ・アーキテ デンティティを個人や企業が管理できる ド、フランス、韓国、英国、米国の政府 クチャを基盤にすることに合意する必 新しいソーシャル・ネットワーク・レイヤを 機関の代表者や、ボーイング、 日本電気 要があるが、それによってこのサークル 追加した。 内であれば、ユーザーはシングル・サイ ID-WSF 2.0の主要コンポーネント ンオンによるシームレスな商取引が可能 となるのが、ソーシャル・ネットワーク になる。 情報を複数サービス間でやり取りする (NEC) 、NTT、サンなどの技術企業 が参加している。 ◇ ◇ ◇ リバティ・アライアンスでは、連携アイ 「Liberty ID-WSF People Service 次 号 以 降では、リバティ・アライアン デンティティ・サービスを3 つのフェーズ (ピープル・サービス)」で、ボード・メン スの最 新 動 向とともに、日本で活 動 で実現していく計画で、フェーズ1のシ バーのNTTが提案し、仕様が公開さ するJapan-Special Interest Group ングル・サインオンとアカウント・フェデレー れた (図 4 参照)。ピープル・サービスは、 (Japan SIG) の活動を紹介していく。 /PEN%NTERPRISE-AGAZINE/CT ÇÇ
© Copyright 2024 ExpyDoc