セキュリティ対策コラム注目されるアイデンティティ管理＜第2回＞
－アイデンティティ管理技術の動向－

前回第一回のコラムでは、今日企業に厳しく求められている内部統制を実現するためには、情報セキュリティの整備が重要で、アイデンティティ管理はその要になっていることを説明しました。 今回は、アイデンティティ管理技術の内容と技術動向について説明します。

１．アイデンティティ管理の現状

業務プロセスやネットサービスの多様化・複雑化に伴い、利用者およびシステム運用者におけるアイデンティティの管理・運用負担が増大しています。こうした中でID，パスワード等のアイデンティティの生成・配布・廃棄等の自動化やディレクトリの統合などによる運用負担の軽減対策が求められています。さらに、企業間の業務連携やWebサービスにおけるサービス連携による利便性の向上が期待されています。そのため、ユーザのアイデンティティ情報を複数の企業やWebサイトが連携して、シームレスな世界を管理するアイデンティティ連携技術も進展しているところです。

２．アイデンティティ管理基本機能の概要

（３）アイデンティティ管理の高度化機能

同じID,パスワードで複数のリソース、サービスへのアクセスを実現するシングルサインオン（SSO）とアイデンティティ連携（フェデレーション）の機能により、複数の企業間や複数サービス間でのシングルサインオンを実現する高度なアイデンティティ管理機能が求められています。

• ①シングルサインオン（SSO）
  日本人は平均して20個程度のIDとパスワードを使っていると言うレポートを見たことがあります。筆者も通常良く使用するものは7～8個程度ですが、保有するものは30個を超えています。一度の認証で、以後の認証にIDやパスワードの入力が不要となるシングルサインオンは、今日必須の機能になってきていると言えるでしょう。身近な例としては、OSでの認証やネット接続の認証、メーラーでの認証や、さらに特定のサイトへのログインなど、その度に認証に必要なID，パスワードの入力が省略できるようになります。 シングルサインオンは、パスワード入力が削減される一方で、複数のアプリケーションにアクセスできる唯一のパスワードが漏洩した場合は、不正の影響が広がる恐れがあります。電子証明書やワンタイムパスワードを併用する等、認証を強化することが必要になります。
• ②アイデンティティ・フェデレーション
  アイデンティティ・フェデレーションは、Webサイト間でシングルサインオンを実現する技術として、急速に進展し注目されています。シングルサインオンはこれまで企業内部に止まっていましたが、今日ではグループ企業など社外にまで広がることが求められています。また異なるWebサイトをまたがって、複数のWebサービスに一つのアカウントでアクセスするためには、個別に存在する SSO システムを相互に連携（フェデレーション）させる必要があります。これが 「アイデンティティ・フェデレーション」 です。 アイデンティティ・フェデレーションとは、 個々の SSO システムに存在するアイデンティティ情報を互いに紐づけることです。 これにより、あるサイトに一度ログイン認証されれば、他サイトに対して再度ログインする必要がなくなります。 つまり、異なるサイト間で SSO (フェデレーテッド・シングル・サインオン) が実現できるようになります。

３．アイデンティティ管理ソリューション

増大する社内外のユーザ管理が複雑化し、アイデンティティ管理に係る課題が深刻化する中で、リソースとサービスのセキュリティ確保、法規制への準拠を図るための統合的なアイデンティティ管理ソリューションが各社より提案されはじめています。
統合アイデンティティ管理とは、前述したアイデンティティ管理機能を有し、機能間でシームレスに自動・集約的に実現することを指向したアイデンティティ管理システムといえます。例えば、人事システムと連携させたアイデンティティ・ライフサイクルの自動化、ユーザ・アカウント申請 とリンクしたアカウント情報の変更に係るワークフローとの連携、既存の複数プロビジョニングシステムの統合、モニタリング・監査機能によるアクセス権限管理の適正性を報告する自動リポート機能を統合的に管理する等が挙げられます。