注目されるアイデンティティ管理　＜第2回＞ ―アイデンティティ管理技術の動向―

　前回第一回のコラムでは、今日企業に厳しく求められている内部統制を実現するためには、情報セキュリティの整備が重要で、アイデンティティ管理はその要になっていることを説明しました。

　今回は、アイデンティティ管理技術の内容と技術動向について説明します。

1.アイデンティティ管理の現状

　業務プロセスやネットサービスの多様化・複雑化に伴い、利用者およびシステム運用者におけるアイデンティティの管理・運用負担が増大しています。こうした中でID、パスワード等のアイデンティティの生成・配布・廃棄等の自動化やディレクトリの統合などによる運用負担の軽減対策が求められています。さらに、企業間の業務連携やWebサービスにおけるサービス連携による利便性の向上が期待されています。そのため、ユーザのアイデンティティ情報を複数の企業やWebサイトが連携して、シームレスな世界を管理するアイデンティ
ティ連携技術も進展しているところです。

2.アイデンティティ管理基本機能の概要

(1)アイデンティティ管理の基本機能

　アイデンティティ管理の基本的機能としては、a）ユーザ管理 b）アクセス管理 c）アイデンティティ・ライフサイクル管理（プロビジョニング） d）アクセス・認証管理 e）アイデンティ監査・監視機能が挙げられます。各機能の概要を以下に説明しておきます。

a）ユーザ管理

　リソースへのアクセス主体を管理する機能で、企業で言えば人事データベースを基にした社員情報（アクセスの主体であるユーザ）を管理する機能。

b）アクセス管理

　ルールに基づいてユーザにアクセス権限を付与し、リソースに対するユーザ毎のアクセス認可を管理する機能。

c）アイデンティティ・ライフサイクル管理（プロビジョニング）

　アクセス権限であるアカウントを各ユーザに対して生成、配布、更新、廃棄・失効を効率的に一元管理する機能。

d）アクセス・認証管理

　ユーザを認識し、アクセス権限の検証（認証）、認可を管理する機能。

e）アイデンティ監査・監視機能

　アイデンティティ管理システムの運用状況を監査・監視するもので、アクセス権限の付与が適切に行われているかの監査・監視する機能。

(2)アイデンティティ管理支援機能

　アイデンティティ管理機能を実現するための支援機能として、アイデンティティに関する情報を一元的に管理するディレクトリサービス、アクセス権限付与申請／承認するワークフローがあります。

a）ディレクトリシステム

　認証の仕組みがシステム（アプリケーション）毎に構築されていることが多く、複雑で利便性が悪いため、ネットワーク上に分散されているアプリケーションやサーバ情報等と、それを利用するユーザのアイデンティティ情報とを一元的に管理し、効率的なデータの照会や検索を可能としたデータベースシステムがディレクトリシステムです。ディレクトリデータベースにアクセスするための共通プロトコルとして知られているLDAP（Lightweight Directory Access Protocol）は、IETF（The Internet Engineering Task Force）で標準化されたものです。

b）ロール／ポリシベース・アイデンティティ管理

　ユーザの役割に応じて、システムに対する権限を適切に与えることをロールベースのアイデンティティ管理、もしくはポリシーベースのユーザ管理といいます。ロールベースのアイデンティティ管理では、個々のユーザごとにアクセス権限を付与し管理するのではなく，ロール（役割）ごとにアクセス権限を付与するものです。従って、ユーザが多い大規模企業にとってはアイデンティティ管理が簡素化されるため、運用負担が軽減される管理方法といえます。

(3)アイデンティティ管理の高度化機能

　同じID、パスワードで複数のリソース、サービスへのアクセスを実現するシングルサインオン（SSO）とアイデンティティ連携（フェデレーション）の機能により、複数の企業間や複数サービス間でのシングルサインオンを実現する高度なアイデンティティ管理機能が求められています。

a）シングルサインオン（SSO）

　日本人は平均して20個程度のIDとパスワードを使っていると言うレポートを見たことがあります。筆者も通常良く使用するものは7〜8個程度ですが、保有するものは30個を超えています。一度の認証で、以後の認証にIDやパスワードの入力が不要となるシングルサインオンは、今日必須の機能になってきていると言えるでしょう。身近な例としては、OSでの認証やネット接続の認証、メーラーでの認証や、さらに特定のサイトへのログインなど、その度に認証に必要なID、パスワードの入力が省略できるようになります。

　シングルサインオンは、パスワード入力が削減される一方で、複数のアプリケーションにアクセスできる唯一のパスワードが漏えいした場合は、不正の影響が広がる恐れがあります。電子証明書やワンタイムパスワードを併用する等、認証を強化することが必要になります。

b）アイデンティティ・フェデレーション

　アイデンティティ・フェデレーションは、Webサイト間でシングルサインオンを実現する技術として、急速に進展し注目されています。シングルサインオンはこれまで企業内部に止まっていましたが、今日ではグループ企業など社外にまで広がることが求められています。また異なるWebサイトをまたがって、複数のWebサービスに一つのアカウントでアクセスするためには、個別に存在するSSOシステムを相互に連携（フェデレーション）させる必要があります。これが「アイデンティティ・フェデレーション」です。アイデンティティ・フェデレーションとは、個々のSSOシステムに存在するアイデンティティ情報を互いに紐づけることです。これにより、あるサイトに一度ログイン認証されれば、他サイトに対して再度ログインする必要がなくなります。つまり、異なるサイト間でSSO(フェデレーテッド・シングル・サインオン)が実現できるようになります。

3.アイデンティティ管理ソリューション

　増大する社内外のユーザ管理が複雑化し、アイデンティティ管理に係る課題が深刻化する中で、リソースとサービスのセキュリティ確保、法規制への準拠を図るための統合的なアイデンティティ管理ソリューションが各社より提案されはじめています…

＜次回の予定＞
　次回は、アイデンティティ管理に関わるデファクトスタンダードについて説明する予定です。

【執筆：東京大学情報セキュリティコミュニティ副代表林誠一郎】

＊各規格名、会社名、団体名は、各社の商標または登録商標です。

【関連リンク】
NTTデータ・セキュリティ　セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/index.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec