/«VÃ V トピックスアイデンティティ管理の現在と未来第 1 回：アイデンティティ管理を取り巻く状況企業や組織を取り巻く環境の変化によって、セキュリティに対する認識や取り組みはこの数年で大きく様変わりした。セキュリティ対策は、従来の“任意”の対応から企業活動の“必須”要件になり、さらにはコンプライアンスや内部統制の強化に対する圧力と相まって、いまや企業が果たすべき “責務” として位置づけられるようになった。これに伴い、セキュリティ対策の根本的な見直しを迫られる企業や組織も少なくない。本稿では、セキュリティ管理で重要な役割を担うにも関わらず、これまであまり意識されてこなかったアイデンティティ管理について再考してみる。裏社会で取り引きされる場合もある。ネットワーク・インフラや情報利用環境が整備され、情報アクセスに対する利便性が向上する一方で、不正アクセスや個人情報漏洩、機密情報の流出といったセキュリティ管理に起因する事件や問題が頻発し、個人や企業を超えた社会問題として認識されつつある。このような状況のもと、現在の企業サイバースペースのIDとアイデンティティ管理「サイバースペースでは、あなたはは昨年日本で開催された情報セキュリは、外部からの攻撃と内部からの情報ティ・イベントの基調講演で、従来から漏洩の両面から情報セキュリティを見直のワームやウィルス、DDoS攻撃、スパし、個人情報保護法や会社法改正、日ムなどに代わって、SPIM（SPam over 本版 SOX法などへの対応を含めて対ユーザー ID（識別記号）であり、そこ Instant Messenger）やフィッシング、策を講じる必要に迫られている。で最も重要な持ち物はアイデンティティファーミングなどの進化型の脅威や攻いまやセキュリティ対策は、コンプライだ。IDを守ることは自分自身を守ること撃が増加し、個人のアイデンティティがアンス対応や内部統制の強化に牽引さになる」。元米国政府のサイバースペー危機にさらされていると警告した。れる形で “任意”から “責務”へと位置づス安全保障担当特別補佐官を務め、これらの新しい世代の脅威は、従来けを変えつつあり、運用コスト削減や業現在はグッド・ハーバー・コンサルティンのような愉快犯的な攻撃ではなく、すべ務効率化を目的としたサーバ統合／アグ社の会長に就任しているリチャード・て金銭にからむ犯罪や不正行為を目的プリケーション統合、変化への迅速な対クラーク氏の言葉である。クラーク氏としており、盗まれたアイデンティティが応を目的としたビジネス・プロセスやワークフローの変更といったシステム環境の図 1：連携アイデンティティ・モデル（Federated Identity Model）変化が、アイデンティティ管理の必要性を高めつつある。アイデンティティ集約型モデルアイデンティティ連携型モデル ●単一リポジトリにおけるアイデンティティ情報の管理 ●さまざまな場所でのアイデンティティ情報の管理 ●集中コントロール ●非集中コントロール ●一点の障害がシステム全体に波及 ●一点に障害があってもシステムは機能する ●類似システムのみ連携 ●類似／異種システムと連携業務システムのアカウントやアクセス権限をポリシーに基づいて一元的に管理するアイデンティティ管理は、シングル・保険中央プロバイダー銀行サインオンによる利便性の向上とセキュリティの強化を実現し、運用管理面で旅行会社航空会社企業 ISP の負荷を軽減するが、セキュリティ・ポリシーの確立や情報システムの運用方針、組織体系を明確にする必要があるため、導入を躊躇する企業も少なくな Ç{ /PEN%NTERPRISE-AGAZINE/CT /«VÃ かった。さらに、これまでのアカウントやアクセパートナー A パートナー H ス権限の管理は、ディレクトリ・サービスやシングル・サインオンに代表されるようパートナー G に認証や承認のコントロールを意味していたが、現在では複数のシステムに散認ルールに基づくアクセス権限の付与ネットワーク･アイデンティティ･ハブ･プロバイダーパートナー F 在するアカウントの統廃合やセキュリティ・ポリシーの周知徹底、規定の申請／承パートナー B トラスト･サークル（CoT） ⇒ビジネス的合意 ⇒SLA ⇒ポリシー、ガイドライン、利用規定アイデンティティ･プロバイダー（IdP）（たとえば、金融機関や企業の人事部） ⇒信頼できるエンティティ ⇒認証基盤 ⇒主たるアイデンティティ属性管理 ⇒付加価値サービスの提供（オプション）パートナー C パートナー D パートナー E 提携サービス･プロバイダー（SP） ⇒付加サービスの提供 ⇒認証基盤を必ずしも用意する必要なしや変更、剥奪など、アイデンティティ情報をライフサイクルで管理することも求図 2：CoT（Circle of Trust:信頼の輪）モデルは企業や組織内のモラルや物理的なが監査される。また、財務情報に関わアイデンティティ管理に対する認識制限によって防ぐことができたが、業務る情報やデータの適正性を証明するたのアウトソーシング化や就業／雇用形めに、業務処理が追跡可能であること態の変化など、企業内外の環境が大きが求められる。このため、いつ誰がど情報セキュリティは、企業が抱える課く変化しており、その変化と従来の運のマシンで何をしたか、システムやアプリ題のなかでも常に優先順位の高い課題用体制とのギャップが内的脅威のリスクケーションのイベント・ログ情報を収集しとして位置づけられるにも関わらず、こを増大させている。て追跡できるようにしておく必要もある。れまでアイデンティティ管理が普及してさらに、アイデンティティ管理は、セキュ現在アイデンティティ管理が、運用こなかったのには、いくつかの要因が考リティ・ポリシーの策定や組織構造やシ管理とセキュリティの要件を満たすソえられる。その1 つは、セキュリティ対ステム運用体制の見直しなど、部門横リューションとして注目されているのは、められるようになりつつある。策が、ウィルスやスパムのようなシステム断的あるいは全社的な対応が求められまさにこうしたニーズに対応できるための脆弱性を攻撃する外的脅威からシスるため、セキュリティ対策としてよりもリスである。テムを守ることと理解されていたことにク管理の範疇に含められることが多い。この一方で、アイデンティティ管理にある。アイデンティティ管理の不備による個対する認知度の低さを示す調査結果も外的脅威は攻撃を受けたときの被害人情報の漏洩や機密情報の流出は、報告されている。今年 7月にNRIセキュを想像しやすく、ポイント・ソリューション一企業を超えて社会的な問題にまでアテクノロジーズは、情報セキュリティにとして導入することが可能なため、導入発展する可能性が高く、企業は信用を関するアンケート調査の結果を「企業にの敷居が低い。対策を講じるための予失うだけでなく、損害賠償訴訟などにおける情報セキュリティ実態調査 2006」算に限りがある状況では、 “とりあえず” よって企業活動に大きなダメージを受けとして公表した。の対策として優先順位の高い箇所からる。今年 5月に施行された新・会社法この調査は2002 年から毎年実施さ順次、必要最小限の対応を実施していや2008 年 4月以降の事業年度から実れており、今回で5 回目となるもので、東くことになってしまう。施される金融商品取引法で義務付けら証 1 部・2 部上場企業や従業員 300 人また、外的脅威への対策は導入のれた内部統制は、財務情報の適正性以上の非上場企業など3,000 社を対象効果が見えやすく、ウィルス対策などのの確保を本来の目的としているが、IT に今年 5月にアンケート調査を実施し、エンド・ポイントの保護は現状の環境に業務処理統制やIT全般統制の体制を 449 社の有効回答をまとめた。付加する形で対応できることから、内的構築する必要もあるため、アイデンティこの調査では、「個人情報保護法脅威への対応やインフラ・レベルの対策ティ管理は必須要件になってくる。への対応が一通り完了した」と考えていが先送りされやすい。内部統制では、ビジネス・プロセスやる企業の割合が、昨年調査時の54.8％しかし、不正アクセスによる個人情報ワークフローを明確に定義して文書化から80.3％に増加しており、今後の情の漏洩や機密情報の流出は、これまでし、その通りに運用されているか否か報セキュリティに対する投資では、「金 /PEN%NTERPRISE-AGAZINE/CT Çx /«VÃ V トピックス融商品取引法（日本版 SOX法）への対る認知度を向上することが大きな課題団体が、「リバティ・アライアンス・プロジェ応」と回答した企業が最も多く、全体のになっているといえよう。クト」である。 68.4％が投資を計画していることが明らかになった。リバティ・アライアンスリバティ・アライアンス・プロジェクト（Liberty Alliance Project）は、ビジまた、情報セキュリティですでに取りアイデンティティ管理とは、ユーザーネス・アライアンスとして2001 年 9月に組んでいる施策では、「ネットワークのの職務や権限に応じて、どのようなシス設立された連携アイデンティティ管理のセキュリティ強化」（84.9％）、「PCのセテムやアプリケーションが利用できるか、ための国際的な標準化団体で、さまざキュリティ対策」（75.6％）、「パスワード・どのような情報やデータにアクセスしてまなネットワーク機器を対象に、連携さルール等の情報セキュリティの基本事どのレベルまで操作できるかなどを設定れたアイデンティティ管理のための標準項の徹底」（63.0％）が上位を占め、今し、それをシステム環境全体にわたって仕様の策定とビジネス・ガイドラインの提後取り組むべき施策では「実施したセ統合的に管理することを指す。供、分散的な認証・認可を実現するシキュリティ対策の有効性評価」（83.3％）、これにより、複数のIDとパスワードのングル・サインオンのためのオープンで「情報セキュリティを担当する人材の組み合わせを1 つにまとめて利便性をセキュアな技術標準の提供を主な目的育成」（77.7％）、「情報セキュリティに向上し（シングル・サインオン）、システムとしている。関する知識やノウハウの継続的な蓄積管理者やヘルプデスクの管理負荷を低リバティ・アライアンスの発足は、と社内での共有」（76.9％）が上位を占減するとともに、セキュリティを向上するマイクロソフトが独自の認証サービスめている。ことができる。しかし、情報セキュリティ対策製品・現在、各システム・ベンダーやソフトる。インターネットを利用したオンライン・ツールやサービスの利用状況についてウェア・ベンダーから提供されているアショッピングなどで個人情報を登録するの調査では、アイデンティティ管理ツーイデンティティ管理製品は、内部統制シ際に、入力する情報の種類や形式がサルについて全体の27.7％が「製品やステムに対するニーズの高まりを受けてイトごとに異なるため、それをPassport ツールを知らない」と回答し、全 28カテログ管理機能やシステム使用追跡機にいったん登録し、Passport対応のサゴリーの製品／サービスのなかでも最能などを搭載し、コンプライアンス対応ソイト間でその個人情報を共有することをも認知度が低いことがわかった。次リューションの1 つとして提供される傾目的としていた。いで認知度が低いのは「高信頼 OS」向にある。この方法は、1 社のベンダーのリポジト（19.7％）、「セキュリティ・イベント管理また、アイデンティティ管理は企業やリでアイデンティティ情報が集中管理さツール」（19.0％）で、この3 製品以外は組織内に閉じたネットワークやシステムれることになるため、1カ所の障害がシすべて8％以下になっている。だけでなく、インターネットの世界でも利ステム全体に波及する可能性が高いこ少なくともこの調査結果を見る限り、用することができる。そのための共通とや、専用の技術に基づいているため現時点ではアイデンティティ管理に対す規格を策定している国際的な標準化恣意的な運用が可能になり、対応する「Passport」を発表したことに端を発すシステム（Webサイト）が限定されるなど図 3：リバティ仕様のアーキテクチャ概要リバティ･アイデンティティ連携フレームワーク（ID-FF）アイデンティティ／アカウント･リンケージ、シングル･サインオン、セッション管理などの特徴を持つアイデンティティ連携と管理が可能リバティ･アイデンティティ･サービス･インタフェース仕様（ID-SIS）パーソナル･プロファイル･サービス、アラート･サービス、カレンダー･サービス、ウォレット･サービス、コンタクト･サービス、位置情報サービス、プレゼンス･サービスなどのアイデンティティ･サービスが可能リバティ･アイデンティティWebサービス･フレームワーク（ID-WSF）相互接続可能なアイデンティティ･サービス、許可ベースの属性共有、アイデンティティ･サービス記述、ディスカバリ、関係するセキュリティ･プロファイルを作成･構築するためのフレームワークを提供リバティ仕様は既存の標準仕様に準拠（SAML、SOAP、WSS、XMLなど）の点で問題視された。これに対して、複数のITベンダーや企業が “連携” して認証サービスを提供することを目的に発足したのが、リバティ・アライアンスである。現在のボード・メンバーは、AOL、エリクソン、フィデリティ・インベストメンツ、フランス・テレコム、ゼネラル・モーターズ、ヒューレット・パッカード（HP）、アイ・ビー・エム（IBM）、インテル、エヌ・ティ・ティ ÇÈ /PEN%NTERPRISE-AGAZINE/CT /«VÃ （NTT）、ノベル、オラクル、RSAセキュピープル･サービスを利用して、グループ情報を参照／取得して活用リティ、サン・マイクロシステムズで構成される。また、リバティ・アライアンスはソーシャル･ネットワーク情報（例：住所録、プッシュ･トークのグループ、バディリストなど）各国の個人情報保護やプライバシーとグループ情報いった法制度を考慮した標準技術の確立を目指しているため、その参加メン写真共有サービス･プロバイダーグループ情報住所録サービス･プロバイダーブログ･サービス･プロバイダーバーはIT企業だけでなく、通信事業者や端末機器メーカー、自動車会社、家住所録の友達グループと写真を共有住所録の友達グループにだけブログを公開電メーカー、金融サービスといった多分 ⇒ピープル･サービスにより、ユーザーのグループ情報（ソーシャル･ネットワーク情報）を、サイト間で流通し、活用できるようになる。野の企業や、研究機関、政府関連団体も含まれ、現在の参加メンバー数は図 4：ID-WSF 2.0 新機能 :Poeple Service 150 社・団体を超える。リバティ・アライアンスの策定した連携ション、フェーズ2のトラスト・サークルに個人と企業のユーザーが、ブックマークアイデンティティ・アーキテクチャに基づよる連携アイデンティティ・サービスにつやブログ、カレンダ、写真共有、インスタくWebサイトでは、許可されたリソースいては仕様策定を終えており、現在はント・メッセージング（IM）などのソーシャへのアクセスが保証され、シングル・サイフェーズ3の段階にある。ル・アプリケーションを、ID-WSF 2.0フ（図 1 参照）。ンオンが可能になる現在すでに、シングル・サインオンのレームワークの共通レイヤから管理できこの連携は、アイデンティティ・プロバフレームワークとなる「リバティ・アイデンるようにする。これによって、連携ソーイダー（IdP）とサービス・プロバイダーティティ連携フレーム（ID-FF）」、Web シャル・ネットワークにおいて、他のWeb （SP）で形成される “信頼の輪（CoT：サービス上でアイデンティティを連携さサービス・アプリケーションからユーザー Circle of Trust） ” または “トラスト・サー「リバティ・アイデンティティWebサーせる間のオンラインの関係が利用できるようクル” と呼ばれる仮想領域で実現されるビス・フレームワーク（ID-WSF）」、個人になる。情報サービスやカレンダ・サービス、位また、リバティ・アライアンスは今年 IdPは、金融機関などの実体を持っ置情報サービスなどを連携させる「リ 8月に、政府機関が国民にオープンた信頼できる企業や団体で、付加サーバティ・アイデンティティサービス・インタな標準技術に基づくセキュアなアイデビスを提供するSPに対して、認証基盤フェース（ID-SIS）」の仕様が公開されンティティ管理サービスを提供できると主なアイデンティティ属性管理を提供ている（図 3 参照）。ように支援する「Liberty Alliance する。SPは必ずしも自前で認証基盤をリバティ・アライアンスは昨年 12月に、 eGovernment Group」の発足を発表構築する必要はなく、Idpと連携するこ ID-WSFの最新版 “ID-WSF 2.0” を発した。このグループはニュージーランドとで認証サービスが提供できる。表し、SAML 2.0やWS-Addressingな政府・国家サービス委員会の代表者が。（図 2 参照）トラスト・サークル内のSPとIdPは、ビどのサポートと、各種のソーシャル・アイリーダーを務め、デンマーク、フィンランジネス面と運用面でリバティ・アーキテデンティティを個人や企業が管理できるド、フランス、韓国、英国、米国の政府クチャを基盤にすることに合意する必新しいソーシャル・ネットワーク・レイヤを機関の代表者や、ボーイング、日本電気要があるが、それによってこのサークル追加した。内であれば、ユーザーはシングル・サイ ID-WSF 2.0の主要コンポーネントンオンによるシームレスな商取引が可能となるのが、ソーシャル・ネットワークになる。情報を複数サービス間でやり取りする（NEC）、NTT、サンなどの技術企業が参加している。 ◇ ◇ ◇ リバティ・アライアンスでは、連携アイ「Liberty ID-WSF People Service 次号以降では、リバティ・アライアンデンティティ・サービスを3 つのフェーズ（ピープル・サービス）」で、ボード・メンスの最新動向とともに、日本で活動で実現していく計画で、フェーズ1のシバーのNTTが提案し、仕様が公開さするJapan-Special Interest Group ングル・サインオンとアカウント・フェデレーれた（図 4 参照）。ピープル・サービスは、（Japan SIG）の活動を紹介していく。 /PEN%NTERPRISE-AGAZINE/CT ÇÇ