社会基盤とアイデンティティ管理 第1回 アイデンティティ基盤の形成
組織におけるガバナンスの確立、利便性や安全性の追求や新サービスの展開など、アイデンティティ管理基盤の形成が標準化の動きを含めて注目されているところです。日本における社会保障の共通番号制度や医療分野における情報管理、米国のホワイトハウスが提案している消
特集
特集
本コラムでは、ガバナンスの要のひとつであるアイデンティ管理の現状、さらに我が国GDPに大きく寄与する中小企業の競争力とアイデンティ管理について複数回にわたって報告します。
1.アイデンティティ基盤の現状
(1)アイデンティティ管理市場の拡大
コンプライアンス(法遵守)への対応が導入の契機となり、アイデンティティ管理市場が急成長しています。また従前から多数のシステムに分散するアイデンティティ管理コストの軽減や利便性を高めるシングルサインオン(SSO)の導入と言った要求からアイデンティティ管理製品の需要が高まっています。
今後は、そうした需要に加えて、複数の社内外システムとの連携を図ることによる新サービスの創出や販路拡大、情報共有によるイノベーションの創発に向けた需要も出てくると予想されます。
アイデンティティ管理/内部統制市場2008
http://www.itr.co.jp/market_view/internalcontrol2008/
(2)クラウドコンピューティングとアイデンティティ基盤
複数のクラウドコンピューティング・サービスや自社内システムとのアクセス、サービス間連携を効果的かつ容易に実現するためには、SSO(シングルサインオン機能)やアイデンティティ連携などのアイデンティティ基盤の整備が不可欠です。Cloud Security Alliance(CSA)でもクラウドコンピューティングセキュリティのためのベストプラクティスを示したガイドラインの中で、アイデンティティ基盤についても言及しています。アイデンティティ連携、標準化が進むことによりクラウディングコンピュータの可能性も広がることが期待されます。
【CSAガイダンス:Identity and Access Managementの抜粋】
・アプリケーションとクラウドアプリケーションをSSO連携させる
・クラウドプロバイダとユーザーとの間で利用可能な連携標準(フェデレーション標準:SAML、WS-Federation、Liberty ID-FF)について確認
・クラウドプロバイダのユーザー認証の強度やパスワードポリシーが、ユーザーのセキュリティポリシーで要求するレベル以上であることを確認
等
(3)アイデンティティ管理の課題
複数のクラウドコンピュータサービスや自社を含め、多数のシステムが混在利用する傾向は今後益々増えてくるものと予想されます。一方雇用形態も多岐にわたっており、人の流動性も大きくなっています。こうした状況の中にあって、下記に示すようにアイデンティティ管理に関わるコスと運用管理負担の増加、誤りや不正による情報漏えい等のリスクの増加といった問題が懸念されています。
a)アカウントのIT部門における運用業務の負担
情報システムを利用するアカウントはシステムごとに存在することが多く、企業におけるシステムの数は年々増加しています。システムが増加することで、ユーザー1人当たりのアカウントの数も増加し、複数のパスワードの取り扱いがユーザーの負担となり、アイデンティティ情報の管理の煩雑化から運用業務の工数が増大する一方であることが現状です。
b)ユーザーの複雑化、流動性
一方ユーザーは、正社員だけでなく、契約社員や業務委託先など多様な雇用形態から成り立っています。また従業員の配置転換や組織上の変更が日常茶飯事に発生しています。
c)アイデンティティ情報の散在による悪影響
・コスト増大:ID情報の管理コスト、新規顧客の獲得コスト
・リスク増大:情報漏えい、ID情報の齟齬によるセキュリティ上の問題
・サービス内容の低下:利便性の低下、顧客情報の陳腐化
等
2.アイデンティティ基盤の進展と新サービスの出現
シングルサインオンやアイデンティティ連携の実現により、SaaSサービスと企業間やグループ企業間、事業部間等において利便性が格段に向上した新たなサービスの展開が期待できるようになります。
新サービスの事例としては、
・ID情報の提供サービス: 特定のサービスサイトが認証情報、属性情報を他のサイトに提供
・ワンストップサービスの実現:グループ企業間、旅行等のサービス連携による利便性の格段の向上
・多様な決済サービスと連携した新サービスの提供(規制緩和):2010年4月に「資金決済法」が施行され、銀行のサービスが他サービスと連携した支払いを可能にする多様なサービスの出現
などが挙げられます。
資金決済に関する法律
http://law.e-gov.go.jp/announce/H21HO059.html
現在は銀行のみに認められている送金などの為替取引について、広く資金移動業者にも認めようとするものです
3.アイデンティティ基盤の整備への要求
アイデンティティ基盤の整備は、関連するシステムが多様で複雑であること、効果的な運用管理が求められ、セキュリティの要の一つでもあることから要求されることも多様です。以下に要求条件の一例を示します。
・複数アイデンティティシステムの柔軟な統合:
既存サービスや認証システムとの統合、アイデンティティ連携に対応した外部サービスとの統合
・セキュリティとプライバシー:
安全でプライバシーに配慮されたアイデンティティ情報の管理・流通
・標準仕様への対応:
要求条件に対応したフレームワーク(SAML/Liberty、Information Card、OpenID)の選択、関連ID技術や拡張仕様のサポート
・経済性、利便性の追求(中小の企業への対応):
簡易・軽装な実装、段階的な機能追加可能とする
−セキュリティ性の確保、運用管理面の負担削減、アプリケーションとネットワークの選択可能性と保守サービスの提供
−中小企業に共通するサービス提供だけではなく、個々の中小企業が欲しているサービスとの連携(アイデンティティ連携)
−地域・中小企業の製品のマーケティング支援として、ネットが持つロングテイルな特性を活用し、製品を広く紹介するサービスとの連携(アイデンティティ連携)
−地域ユーザーと地域のホームドクターとなるような地域ベンダーをマッチングする広域経済圏の構築。例えば大企業と地域中小企業、地域ベンダーを巻き込んだ共通プラットフォームの構築。(アイデンティティ連携プラットフォームの構築など)
産業構造審議会の報告書を参考に編集:
http://www.meti.go.jp/report/downloadfiles/g90602c01j.pdf
4.標準化の動き
(1)アイデンティティ管理
現在アイデンティティ管理をめぐる業界標準としてLibertyAlliance、CardSpace、Open IDの3つの動きが活発化しています。
LibertyAllianceはOracle、 Sun、 NEC、 NHK、 NTT等が推進しており、CardSpaceは、カードイメージでアイデンティティ情報を管理する技術で、Microsoft、 Novell、 IBM等が推進しています。URLをIDとして用いるアイデンティティ管理技術仕様であり、Microsoft、IBM、 Verisign等が進めている技術がOpen IDです。各プロトコルは、それぞれ競合する仕様というよりは、用途・目的に応じて使い分けられるものとして普及していくものと思われます。
近年の標準化の対象は、アイデンティティ連携(パートナ間でアイデンティティ情報を関連付け)、認証連携(組織をまたがるシングルサインオン)、プロビジョニング(アカウントの配布機能の拡張)、属性情報交換(信頼するパートナ間で属性情報の共有)が挙げられています。
(2)相互運用確保の動き
各標準化では、関連する技術に関わる人々に対して、オープンな議論の場を提供して相互運用性を確保しようとする動きが活発化しています。Concordiaプロジェクトでは、各種ID管理技術の相互運用確立を目指して組織されたプロジェクトです。利用者は、これらのWebサービスを自分のIDに基づき安全・安心に、かつ統一的に使えることを望んでいますが、現状は、各種規格が並存しています。この問題を解決するために、LibertyAllianceが中心になってConcordiaプロジェクトが設立されました。プロジェクトには、代表的なID管理技術であるLibertyAlliance、OpenID、CardSpace に関係するベンダーとその利用者が参加しています。
(執筆:NTTデータ・セキュリティ株式会社 エグゼクティブ・セキュリティマネージャ 林 誠一郎)
セキュリティ対策コラム
http://www.nttdata-sec.co.jp/article/
《ScanNetSecurity》
