X

クラウド・セキュリティの考え方、コンプライアンス、製品・サービス(データベースセキュリティ・IDaaS・WAFなど)

  • March 4, 2009

Oracleが提供するIdMソリューション製品群(その1) ~ IdMとは

電子システムにおけるIdMの意味は一言で言うと「該当システム利用時のIDを適切に管理すること」であり、少し具体的に言うと以下の項目のことです。

- 認証 - IDと利用実体が適切に関連付けられている
- 認可 - IDで必要最小限の機能のみが利用可能な状態にある
- ライフサイクル管理 - IDの作成から更新、廃棄までの管理が適切に行われている

認証は、システムのユーザー(ID)が現実社会の利用者と関連付けされており、かつユーザーが利用者であることが証明されることです。システムへのログイン時のパスワード認証は、これはパスワードという利用者しか知らないフレーズをユーザー名とセットで入力することで、ユーザーと利用者の関連付けを証明します。

認可は、システムのユーザーが特定の操作を行うことが出来るかどうかを定義し、その定義を適用することです。同じシステムを利用する際でも、管理者と一般利用者では実行できる操作が異なりますが、管理者、一般利用者という利用者区分および、それぞれの利用者区分で実行できる操作をきちんと定義し、適切にユーザーにその権限を割り振ることで、必要な操作ができること、不要な操作ができないことを保証するのが認可です。

ライフサイクル管理は、上記の認証/認可の設定が適切に行われてる状態で運用し続けることです。企業に社員が入社した場合は、新しいユーザーアカウントが作成され、その社員の職権に必要なシステムの利用ができる状態になります。部署異動があった場合には、新たに必要なシステムが利用できるようにするだけでなく、今まで利用してきたシステムのうち新しい業務で不要なシステムは利用できない状態にします。社員が退職する場合には、すべてのシステムから確実にユーザーアカウントが物理的、もしくは論理的に削除されます。こういった一連の作業を行うことがライフサイクル管理です。

システムに対してこの作業を行うことは、簡単に見えるかもしれません。ただし、企業にはいくつものシステムがあります。それらすべてのシステムに対して、確実にID管理作業をおこなうのは非常にコストのかかる作業になるために、「企業に複数存在するシステムのID管理をいかに少ないコストで行うか」という課題を解決するのが IdM ソリューションです。

IdM ソリューションは、たとえば以下の3つに分類できます。

- IDライフサイクル管理
- アクセス制御管理
- 管理ディレクトリ

ID ライフサイクル管理は、企業内に存在するすべてのシステムで、同一のセキュリティポリシーを適用して、認証/認可の設定を適切に行われている状態で運用し続けることです。ソリューションの例としては、一元管理されている認証/認可情報を各システムに配信するID情報のプロビジョニング、誰が/どの操作を行う権限を持っているかという権限情報の棚卸のための監査レポートの作成などがあります。

アクセス制御管理は、認証/認可を適切に設定し、その定義を適用することです。ソリューションの例としては、複数のシステムに同一のユーザー名、パスワードでログインできるようにするシングルサインオン、より強固な認証メソッドを提供するバイオメトリック/証明書/マルチファクタ認証/相互認証などがあります。

管理ディレクトリは、認証/認可の設定を適切に保持し、必要に応じて参照/更新する権限情報のメタリポジトリです。ユーザー情報のリポジトリとしてはLDAPv3が標準プロトコルとして有名であり、この標準プロトコルに準拠したディレクトリサービスであれば、多くのシステムから利用可能です。

Oracleでは、上記すべてのソリューションに対応する製品を提供しています。

 

また、クラウドのID管理・アクセス制御を実現するIdentity as a Service (IDaaS) も提供しています。


次回以降、それぞれの製品概要を説明します。

Be the first to comment

Comments ( 0 )
Please enter your name.Please provide a valid email address.Please enter a comment.CAPTCHA challenge response provided was incorrect. Please try again.