日本クラウドセキュリティアライアンス
業務執行理事 諸角昌宏
9月25日に行われた第16回CSA勉強会では、ID管理に焦点を当ててエクスジェンネットワークス株式会社 江川淳一氏と日本ビジネスシステムズ株式会社 宮川晃一氏に講演していただきました。非常にわかり易くまとまった内容で、最新のID管理の背景、状況、そして、今後の動向について説明していただきました。ここでは、その要点をピックアップして書いていくが、ID管理の奥の深さに対してうまく伝えられるかどうか、いささか心もとない。2週間後くらいに一般公開される本勉強会の資料をぜひご覧いただいて、理解を深めていただきたい。
- ID管理とクラウド
クラウド利用の拡大に伴い、クラウド上に機密情報を置くことが増えている。そのため企業のセキュリティ・ポリシーも変化してきている。今までは、ファイアウォールの中でのポリシーであったが、クラウド利用により機密情報がファイアウォールの外に出ていることを前提としたポリシー設定およびセキュリティ対策が必要となる。このような状況においてID管理として必要となるのが連携(フェデレーション)技術で、機密情報の一部を社内(オンプレミス)に残してセキュリティを守り、必要最低限の情報のみをクラウドに移行するという方法である。ID管理としてIdP(Identity Provider)とRP(Relying Party)を置き、IdをIdPで一括管理していく。このIdPをオンプレミスに置くかあるいは信頼できるクラウド事業者に置くことで、ID情報の機密を守っていくことになる。 - プロビジョニングの必要性
個人ベースであれば、ID情報の登録、変更は容易に行えるが、企業となると一括して事前登録や変更が行えることが必要になる。また、共有を必要とするシステム(スケジューリングや営業支援など)では、属性情報などを事前に配布しておくことが必要である。また、IDライフサイクル管理や内部統制対策としての統一したID管理としてプロビジョニングが必要になる。 - 認証基盤システム
以上のように、企業としてはID管理の基盤を必要とする。その理由は以下の4点である:
– ユーザ利便性の向上
– 管理効率の向上
– 管理品質の確保
– セキュリティリスクの低減では、実際にどのような基盤を用意するかであるが、以下の3つの要素に基づいたシステムを構成する必要がある:
– ID情報マスターDB
– IDM(IDライフサイクル管理、フェデレーション)
– SSO(シングルサインオン) - IDaaS
IDaaS(ID as a Service)は、SaaSに対するSSOを実現する専業のIDaaSのサービスとして展開されている。特に欧米では、社内のADとの双方向連携(オンプレ->IDaaS, IDaaS->オンプレ)を行い、ID管理を含めてSSOを実現している。 さて、問題はIDaaSが日本で普及するかということであるが、欧米と違いID管理のところをどのように実現するかという問題がある。日本では、人事が所有している源泉のID情報をもとにID管理を行う必要があり、全体的なワークフローあるいはCSVでのやり取りを含んだ日本型IDaaSが必要になる。EXGEN社では、extic(EXGEN Trusted Identity Service)により、この日本のエンタープライズクラウド市場で要求されるIDaaS構成への対応を進めているとのことである。 - 情報共有機会の増大に対する認証方式
最後に、まったく違う企業間での情報共有(サブライチェーン、Industry4.0など)に対する認証をどのようにしていくかという問題がある。他社のIDまで管理することは実際には難しく、IDを発行することなしに認証を行うフェデレーション技術が重要になってくる。今まで述べてきたように、フェデレーションはクラウド環境では非常に有効なソリューションであるが、情報共有においても非常に有効である。簡単に言うと、IdPさえ立ててしまえば、それに基づいて認証し情報共有ができることになるからである。
以上のように、フェデレーションを中心としたID管理および認証基盤は今後益々重要になってくる。また、IDaaSの利用も拡大していくであろう。IDaaSについては、どのように信頼できるプロバイダを選定していくかが鍵になり、サービス契約をどうしていくか、また、リスクをどこまで取っていくことができるかを総合的に評価し利用していくことが必要である。
次に、JNSAのアイデンティティ管理WGの活動について、簡単に説明する。
まずWGの目的であるが、「アイデンティティ管理における、様々な課題をWG討議の中で検討し、必要性の啓蒙および導入指針の提示による普及促進、市場活性化を目的に活動している」ということで、クラウド環境での適用も含め非常に幅広く活動を行っている。メンバーも43名ということで、WGとしては多くの方が参加している。今までの成果物には、 「クラウド環境におけるアイデンティティ管理ガイドライン」という書籍を出版し、また、「エンタープライズロール管理解説書」をウエブページから公開している。
2015年として、6つのテーマを掲げており、特に「IDの融合と分離の課題検討」を進めている。また、「ID管理チェックリスト作成」を新たに開始している。これに対しては、CSAジャパンも協業しており、一緒に活動していきたい。
JNSAのアイデンティティ管理WGでは、非常に深い議論・検討が進められているので、興味のある人はぜひ参加して貢献していただきたい。
以上、この分野は非常に奥が深くまた変化も激しいので、CSAジャパンとしても継続して勉強会等を通して情報を発信していきたいと考えている。