グローバル化による企業の成長を加速するID/アクセス管理基盤の要件と、その解決策とは? 最適解を探る!

今日、さらなる成長を目指す日本企業において、海外進出や海外企業のM&Aなどグローバル化の動きが加速している。これらに伴う企業統合やITガバナンスの強化においては、ビジネス・プロセスの最適化や社内コミュニケーション基盤の整備に関心が向きがちだが、それらに加えて忘れてはならないのが、グローバル規模の運用に堪えるID/アクセス管理基盤の整備である(編集部)。

■セキュリティ分野でも業界をリードするオラクル

 昨今、日本企業による海外拠点の機能強化や新規開設、あるいは海外企業に対するM&Aなどが活発化している。それに伴いITインフラのグローバルな最適化を進め、コスト削減を図る企業も少なくない。そうした企業の多くが直面する課題の1つが「ID/アクセス管理基盤の整備」である。2012年5月に日本オラクルが開催したセミナー「グローバル化による企業の成長を加速するID管理セミナー」では、この課題の解決に取り組むうえでのポイントと、課題解決を支援するオラクルの最新ソリューションが紹介された。以下に、同セミナーの要旨をレポートする。

img_exadata_120227_01.jpg
日本オラクル 執行役員 ソフトウェアライセンス事業 製品事業統括 製品戦略統括本部長の山本恭典氏
  セキュリティと聞いて真っ先にオラクルの名を思い浮かべる方は少ないかもしれないが、オラクルは今や世界トップ3に入るセキュリティ・ベンダーでもある。セミナー開始に先立って挨拶した日本オラクル 製品戦略統括本部長の山本恭典氏(執行役員 ソフトウェアライセンス事業 製品事業統括)はその点を強調し、「ダウジョーンズ工業株平均銘柄30社のうち23社が、フォーチュン全米100社のうち84社が、フォーチュン・グローバル100社に至っては86社が、オラクルのセキュリティ・ソリューションを活用している」と最新の調査データを披露した。それらの企業からも近年、引き合いが増えているのがID/アクセス管理ソリューションなのだという。








■グローバル企業が実践するID&アクセス管理基盤の統合アプローチ

img_exadata_120227_01.jpg
アクセンチュア テクノロジー コンサルティング本部 情報セキュリティグループ パートナーの西誉氏
 山本氏の挨拶に続いては、セキュリティ分野でオラクルと協業するアクセンチュアの西誉氏(テクノロジー コンサルティング本部 情報セキュリティグループ パートナー)が壇上に上り、「グローバル企業におけるID&アクセス管理の最新動向」と題して講演を行った。

 西氏によれば、グローバル企業がITインフラの最適化に取り組む際の理想的な流れは、次の3ステップとなる。









(1)効率化(コスト削減):
集約化(調達単価低減)の視点から、社内の各種ハードウェア/ソフトウェアの整理統合を進める


(2)要件適正化(コスト・デザイン):
標準化(戦略的調達)の視点から、ITインフラの見直しを進め、無駄を減らす


(3)ビジネスの見直し:
統合化(調達数量削減)の視点からITインフラのさらなる見直しを進め、各種資源の一元化などによってコストを一層削減する


 この取り組みで要となる要素の1つが、下図に「セキュリティ/ログ監視」として記したID/アクセス管理基盤の整備である。「グローバルなITインフラの統合/再構築にあたっては、適切なID/アクセス管理基盤をITインフラの中に組み込んでいくことが極めて重要なポイントになる」と西氏は強調する。

dbsecurity_000232_03.jpg

出典:アクセンチュア株式会社

 それでは、統合化されたITインフラには、どのようなID/アクセス管理基盤が必要になるのか? アクセンチュアが提唱するID/アクセス管理フレームワークでは、次の図に示すように「コンプライアンス/モニタリング」や「自己管理」、「管理の委任」、「権限管理」などの仕組みを組み込むことが推奨されている。「これらの仕組みを用いて、エンドユーザーや業務部門などのITリソースを直接利用する人/組織に管理を委任し、自己管理を推し進めることが、ITインフラ運用管理の効率化やコスト削減を図るうえで重要な鍵となる」(西氏)のである。

dbsecurity_000232_04.jpg

出典:アクセンチュア株式会社

 以上のようにグローバル企業におけるID/アクセス管理のポイントを説明した西氏は、アクセンチュアが手掛けた事例に基づき、ID/アクセス管理基盤を整備する際のヒントをいくつか紹介した。

 例えば、M&Aに伴ってITインフラの統廃合が必要になったA社の場合、「事業所ごとにアーキテクチャやシステム、認証基盤が異なるため、連携が難しい」、「事業所ごとに権限の定義がバラバラで、運用管理が困難」、「ID生成規則がバラバラなため、IDの重複が存在する」といった問題を抱えていた。これらの問題を解決すべくアクセンチュアの支援を受けたA社は、次のようなアプローチで取り組みを進めたという。

●複数の連携方式を用意する:
連携方式を1つに統一するのではなく、当初は複数の方式を利用しながら、段階的に統合していく


●すべての権限を管理しない:
核となる権限項目のほかは無理に統合管理せず、個々のアプリケーションに管理を任せる


●人事システムと適切に連携する:
人事システムとの連携の深度を適切に設定し、必要に応じて一意的なIDを発行する

 つまり、「認証基盤を1つに統合するには時間もコストもかかるので、核となる認証情報を集約し、それを軸にして既存のシステムも活用しながら統合運用する」(西氏)というわけだ。なお、統合認証基盤で必ず話題に上ることの1つに「“ID=社員番号”とするかどうか?」というものがある。1つの拠点内ではそれで一意性を確保できたとしても、他の拠点では社員番号付与のルールが異なっていたり、そもそも社員番号を使っていなかったりするかもしれない。そうしたケースにも配慮し、「今後は、より普遍的な“氏名”をIDとして採用するケースが増えるだろう」と西氏は予測する。

 最後に西氏は、グローバルなID/アクセス管理基盤の整備を成功させるポイントとして、「複数の連携方式の利用を検討すること」、「統合に伴う混乱を防ぐため、関係者に対しては早いタイミングで情報を出していくこと」、「アプリケーション側との連携項目を豊富に用意すること」といったアドバイスを述べたうえで、「ID統合は技術面より安全面での敷居が高いが、近年はツールが発達したため、より容易かつ安全に統合を進められるようになった」と先進ツールの活用を奨励して講演を締めくくった。

■企業統合の迅速化、アクセスの多様化に応えるオラクルのID/アクセス管理ソリューションと活用事例

img_exadata_120227_01.jpg
日本オラクル 製品事業統括 製品戦略統括本部 テクノロジー製品推進本部 担当マネジャーの大澤清吾氏
 西氏に続いては、日本オラクル 製品事業統括 製品戦略統括本部の大澤清吾氏(テクノロジー製品推進本部 担当マネジャー)が壇上に立ち、企業におけるID/アクセス管理の最新動向とオラクルの最新ソリューションを紹介した。

 昨今、円高の強みも生かした日本企業による海外企業のM&Aの急増、製造業をはじめとする国内企業の海外進出の活発化、そして企業における非正規雇用者の増加などから、「企業における人の出入りが激しくなっている」と大澤氏は指摘する。こうした状況の中で気をつけるべきことの1つが「情報の管理」だ。例えば、米国で2008年に会社を辞めた従業員1,000人を対象に実施されたあるアンケート調査では、回答者の約6割が「自分が退職する際、何らかのかたちで顧客に関する情報を持ち出した」と答えたという。

 また、スマートフォンを業務で活用する企業も増えている。それに伴って増加しているのが、社外からの業務システムへのアクセスだ。

 「これまでの業務システムでは社内からのアクセスだけを考えればよかったが、今後は社外からのアクセスが増えることも踏まえてID/アクセス管理を行うことが必須になる」(大澤氏)

■オラクルのID/アクセス管理ソリューション群

 標的型攻撃に代表されるように、近年は企業に対するサイバー攻撃が巧妙化している。次々と登場する新たな攻撃手法に後追いで対処していたのでは、いたずらにコストがかさむばかりで統制のとれた対応をとるのは難しい。そこでオラクルは、企業の重要な情報資産の保護を軸にしてセキュリティ・ソリューションを拡充してきた。

 オラクルのセキュリティ・ソリューションで核となるのは、「データの管理/利用にまつわるユーザーの管理」と、「データベース内のデータの保護」の2点だ。このうち前者を担うのがID/アクセス管理ソリューションであり、具体的には下図に示す製品群によって構成される。

images/dbsecurity_000232_06.jpg.png

 オラクルは現在、上記の製品群によってグローバル企業のID/アクセス管理の課題解決を支援しているが、最近、特に相談を受ける機会が多いのは次の3つの課題だという。

●グローバルでの統合ID管理の実現
●M&Aに伴う迅速なシステム統合
●アクセス手法の変化への対応

 これらの課題をオラクルの製品群はどう解決するのか? 順に見ていこう

■グローバルでの統合ID管理の実現

 グローバル化が進む企業で高まる要求の1つは、従業員などの“人”に関する情報をシステム上で一元的に管理したいということだ。当然、人事異動が生じた際には、その情報もシステムに適宜反映したい。それにより、人材活用がスムーズに行えるようになるし、異動などに伴う権限付与を即座にできれば業務を効率化できる。

 そうしたグローバルな統合ID管理で肝になるのは、常に正しい源泉情報と連携させることである。そのためには、まず共通化/標準化されたID体系を策定したうえで、各部門/担当者への権限委譲を円滑に行えるID/アクセス管理基盤を整備する必要がある。そうした取り組みを行った事例として、大澤氏はネットワーク・ベンダーである米国シスコシステムズの事例を紹介した。

 さまざまな企業を買収して成長してきたシスコは、それに伴う課題も抱えていた。買収した企業のID/アクセス管理基盤がそれぞれ異なるため、それらの基盤の運用管理コストが肥大化していたのだ。また基盤が異なることから、情報連携の難しさにも課題を感じていた。さらに、グループ会社や提携企業などにも自社システムを開放するのに伴い、企業内外をまたがるID/アクセス管理基盤の整備が必要となった。

 そこでシスコは、「Oracle Identity Manager」、「Oracle Access Manager」、「Oracle Internet Directory」を用いて、同社が「シェアド・セキュリティ・サービス・フレームワーク」と呼ぶ統合ID/アクセス管理基盤を構築。これにより、運用コストの大幅削減を果たしたという。また、それらの基盤を、従来から利用していたオラクルの「E-Business Suite」と密に連携させることで、コンプライアンス強化と監査レポートへの対応も実現した。

dbsecurity_000232_07.jpg

 シスコが活用したOracle Identity Managerは、業務アプリケーションや企業のディレクトリ・サービスと連動したIDライフサイクル管理を実現するID管理基盤であり、現在、世界中で多くの企業に利用されている。セルフサービスによるパスワード・リセットなどの機能を備え、ID管理の効率化を実現する。

dbsecurity_000232_08.jpg

 Oracle Identity Managerでは、ID情報の自動配信を行う際、併せて権限情報も配信できる。例えば、ある社員が情報システム部門の正社員として入社したとしよう。このときには、情報システム部門の正社員という情報に基づいてIDを配布するとともに、特定システムの管理者権限も併せて付与することができる。その後、その社員が他の部門に異動した場合には、それに応じて自動的に情報システム部員としての権限も廃止する。

 IDの棚卸しや監査対応プロセスのシステム化にも対応しており、監査レポート画面からアプリケーション担当者に対し、定期的に棚卸し作業を依頼することができる。依頼した棚卸し作業の進捗状況は、管理画面で一覧することが可能である。

 こうした機能をはじめ、パッケージ製品として多彩な機能を備えている点がOracle Identity Managerの大きな特徴だ。ある企業では、要件の約9割を標準の機能でカバーすることができたという。また、標準技術による高い拡張性と管理性を備えており、クラウドとの連携などの要件にも幅広く対応できる。操作性の高いインタフェースを備えている点も強みであり、近くリリースされる新版では、ポートレットによって画面を構成し、コーディングなしで画面構成や利用する機能を変更できるようになるという。

■M&Aに伴う迅速なシステム統合

 大澤氏が次に取り上げたのは、M&Aに伴う迅速なシステム統合のためにID/アクセス管理基盤を活用するケースだ。通常、システム統合には時間がかかるため、大澤氏らはよく「簡単にIDを共有する方法はないか」という相談を受けるという。

 「例えば、A社とB社が経営統合した場合、それぞれが持つ顧客情報を統合的に利用したいわけだが、認証システムが異なるため統合的な情報活用が難しくなってしまう」(大澤氏)

 そうした場合に威力を発揮するのが、ディレクトリの仮想的な統合を実現する「Oracle Virtual Directory」である。Oracle Virtual Directoryは、LDAPのプロキシのように動作し、それ自体はデータを保持しない。これを使い、複数のディレクトリ・サービスを仮想的に統合するわけである。

 Oracle Virtual Directoryは、Active DirectoryやOracle Internet Directory、LDAPなどの各種ディレクトリ・サービスのほか、SQL ServerやDB2などデータベース内のデータのLDAP化にも対応している。それらの情報を仮想的に束ねるので、メンテナンス自体は従来と同様の運用で行えばよい。既存のシステム構成や運用を変えることなく、手早くID情報を統合できる点が大きな魅力である。

dbsecurity_000232_09.jpg

 大澤氏は、Oracle Virtual Directoryの活用例として、国内のある製造業の事例を紹介した。同社では、社内ユーザーの管理用と社外ユーザーの管理用にそれぞれ別のデータベースを運用していたが、複数のデータベースの管理や、クライアント証明書を使った認証の運用などで大きな手間がかかっていた。

 その状況を改善すべく、同社はOracle Virtual Directoryを使い、既存の構成を変えずにデータベースを仮想的に統合。また、クライアント証明書による認証をやめ、サーバ側での認証を強化するアプローチ(後出のOracle Adaptive Access Managerを活用)をとり、運用負荷も軽減することにも成功した。

dbsecurity_000232_10.jpg

■アクセス手法の変化への対応

 スマートフォンやタブレットPCなどのモバイル端末を利用した在宅勤務など、ワークスタイルの多様化への対応も企業を悩ませる大きな課題の1つだ。この課題への対処では、「社外からのアクセスに対する認証環境の提供とその認証を強化することがポイントになる」(大澤氏)。また、各種クラウド・サービスの活用が進む中で、それらを社内の認証基盤と連携させて使いたいといったニーズも増えている。

 そうした要求に応えるうえで有効なのが、複数の認証基盤の連携を実現する「Oracle Identity Federation」である。これを使えば、社内IDでシステムにログインした後、それにひも付けられたOpenIDなどのユニバーサルIDにより、社外のクラウド・サービスなどにも透過的にログインすることが可能になる。社内システムのID/アクセス管理にはOracle Access Managerを利用する。

dbsecurity_000232_11.jpg

 またもう1つ、認証強化に有効なのがリスク・ベースの認証機構「Oracle Adaptive Access Manager」だ。これを使えば、ユーザーの振る舞いを随時チェックし、必要と判断した際には自動的に第2認証を要求することができる。例えば、あるユーザーが普段とは異なる環境からアクセスしてきた際、そのユーザーしか知らない情報の入力を求めることで認証を強化するといった具合だ。

dbsecurity_000232_12.jpg

大澤氏はOracle Identity Federationを活用し、低コストで外部サービスと社内システムの連携を実現した事例として、米国のテスト・サービス会社のケースを紹介した。日本の大学入試センターのようなサービスを提供する同社は、自社のサービスをFacebookやTwitterなどのソーシャル・サービスと連携させたいと考えていた。しかし、既存システムを改修すれば多くのコストがかかる。そこで同社はOracle Identity FederationやOracle Adaptive Access Manager、Oracle Identity Managerなどを利用して、既存システムには変更を加えずに外部サービスと連携する仕組みを構築。ユーザーがFacebookのアカウントによって同社サービスにログインする仕組みを低コストで早期に実現した。

dbsecurity_000232_13.jpg

 また、オラクル自身もOracle Identity Federationの大規模ユーザーの1社である。同社は現在、社内のシステムやデータを論理的にも物理的にもグローバルに一元化して運用している。そのシステムの認証基盤としてOracle Identity FederationやOracle Adaptive Access Manager、Oracle Internet Directoryなどを利用しているのだ。対象ユーザーは1,400万人以上に上り、その大半はオラクル製品のユーザーである。社内ユーザーは10万人程度で、認証対象のシステムは1,000以上になる。

dbsecurity_000232_14.jpg

 

なお、オラクル以外では、「3,000万ユーザー規模のシステムでオラクルのID/アクセス管理製品を利用している企業もある」(大澤氏)とのこと。こうしたからも明らかなように、オラクルのID/アクセス管理製品群は、世界中の大規模システムで実績を積んだ極めて信頼性の高いソリューションなのである。

クラウド・モバイル活用時代のID・アクセス管理フォーラム
~ソーシャルメディア、スマートフォン活用促進と同時に求められるセキュリティ対策。その実現方法とは?~

日時:2012年7月24日(火)14:00~17:00(受付開始13:30)
場所:日本オラクル株式会社 本社13Fセミナールーム
参加費:無料
定員:80名
詳細/申込: http://www.oracle.com/goto/jpm120724

Comments:

Post a Comment:
Comments are closed for this entry.
About

Twitter
Facebook

Search

Recent Posts
Archives
« 4月 2014
  
1
2
3
4
5
6
7
9
10
11
12
13
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Today