Tuesday Feb 06, 2007

「Sun IdM Podcast #1: 散在するOSアカウントの統合管理」 を jp.sun.com にて公開

先週某パートナー・サイトにて公開した Sun IdM Podcast を, アクセス制限無しで jp.sun.com にも掲載した.

IdM Podcast

このオンラインセミナーでは、 OS アカウント管理の問題点と、 それを解決するサンのアイデンティティ管理 (IdM) ソリューションを、 前編・後編の2回に分けてご紹介します。
オンライン・セミナー - 耳で聴くSunアイデンティティ管理ソリューション・セミナー ~OSアカウント管理編~

一点ご留意いただきたいのは, 後編の最後に女性のナレーター (というか大渕さん) もつけ加えている通り 「Sun Java System Identity Auditor の機能は Sun Java System Identity Manager 7.0 に統合された」 ということ. この対談を録音した昨年はそれぞれ別の製品として販売していたので, Identity Manager / Identity Auditor が両方とも必要だったんだけど, 現行の Identity Manager 7.0 では単体でプロビジョニングも監査ポリシーの適用もできるようになっている. なので対談中の

「Identity Auditor によって...」

という語りは,

「Identity Manager 7.0 のアイデンティティ監査機能によって...」

と, みなさまの脳内にて変換してください. お手間をおかけして恐縮ですが, どうかご理解をたまわりたく...

Saturday Feb 03, 2007

Sun IdM Podcast #1: 散在するOSアカウントの統合管理

Sun パートナー向けの某サイトにて, Sun アイデンティティ管理ソリューションに関するポッドキャストを公開した. 第一回は OS アカウント管理ソリューションを, ぼくが守屋さんこんな感じ (MP3, 714.9KB) でインタビューする 7 分間 x 2 本. 某サイトの ID をお持ちのかたはぜひどうぞ.

ちなみに使ってる BGM は ccMixter に公開されてた曲 (というかループ) で, ひとつ迷ったのが原著作者のクレジット表示のやり方. 今回は ID3 タグの Comment に

BGM: funkish by William Berry <http://ccmixter.org/media/files/williamberry/6008>

と入れてるんだけど, このへんどうするのがスマートなんだろうか!? 「こうすべし」 という最善慣行があればコメントください.

Friday Jan 20, 2006

Sun Java System Identity Auditor ってこんなソリューション

新しい肩書が IdM エバンジェリストな山中さんから 「おまえも解説せよ」 との強い念を感じたので, ここらで先週報道発表を行なった Sun Java System (SJS) Identity Auditor を紹介.

まずはじめに書くべきは, SJS Identity Auditor は SJS Identity Manager 上に実装されているアプリケーションであるということ. つまり SJS Identity Manager の特長であるエージェントレス・アダプタやバーチャル・アイデンティティ, あるいは監査証跡管理によってアイデンティティ・ベースの監査を行なうのが SJS Identity Auditor であり, さらにワークフロー・エンジンによって是正処置 (リプロビジョニング) の自動化まで構築できる.

監査ポリシー編集ページのスクリーンショット. ここではユーザの Active Directory および Solaris におけるアクセス権限のスキャン (リソースからの抽出) を行い, Active Directory 上での管理者権限を持たないユーザが Solaris においては管理者権限を持っていた場合にこれを違反と判断して是正措置を行なう, というポリシーを設定している.

SJS Identity Auditor が管理している組織構造から特定の組織を選択し, 監査ポリシーのスキャンを実行する画面. スキャンはこのようにアドホックに行なうことも, スケジューリングして定期的に自動実行させることも可能.

アドホックに実行した監査ポリシー・スキャンの処理結果の画面. ポリシー違反が検知され, その違反に関して Standard Remediation (是正処理のひとつ) が実行されたことを示している.

是正処理の画面. ここではリソース・オーナーである ID: bhal2 に対し, 一般ユーザである ID: bhall のポリシー違反に関する是正リクエストが届いていることを示している. bhal2 はこれを受けてアクセス権限剥奪などの処置を行ない, 是正済みの記録を残すことになる.

レポート機能により, 監査ポリシー・スキャンにより検知された違反一覧を出力させたところ. ポリシー, 違反検知日, 是正日, 是正者の ID, リソース名, 違反したユーザの ID, 違反回数, 状態などが表示されている.

ポリシー違反の詳細を表示する画面. 違反一覧からドリルダウンすることにより, このように特定の違反に関する処置の履歴を確認することができる. ここでは, ID: bhall というユーザが Active Directory においてポリシー違反を繰り返しており, それに対し是正者である ID: bhall が是正処置を行なっていることが表示されている.

これまで, 上に書いた作業のほとんどは手作業で行なうしかなかった. つまりこんな感じ:

  • 担当者は複数の異種リソース (上記の例では Solaris と Active Directory) からユーザ一覧をそれぞれコマンドラインのツールやとか GUI アプリケーションを使って取り出したり, あるいは取り出し作業をリソース・オーナーに依頼する
  • 担当者は各ユーザに設定されているアクセス権限に矛盾が無いかを ユーザごとにリソース間で突き合わせる
  • 担当者がもし違反 (本来持っていてはならない権限が与えられていたなど) を発見したら, リソース・オーナー (この例では Solaris や Active Directory の管理責任者) に (電話とかメールとかヘルプデスク経由とかで) 通知する
  • リソース・オーナーが手動でコマンドラインのツールやとか GUI アプリケーションを使ってアクセス権限の剥奪を行なう
  • 担当者は再度複数の異種リソース (上記の例では Solaris と Active Directory) からユーザ一覧をそれぞれ取り出し突き合わせを行なって是正されたことを確認する
  • そして担当者はすべての作業を記録しておく

これらを自動化できるという意味でも, Sun Java System Identity Auditor は, システム間のアクセス権限の突き合わせを土日返上で紙ベースで行なうはめになっている内部統制システム担当者にとっての福音となるに違いない. また, 休日出勤手当や残業手当やムダ紙費用その他を増額するはめになっている経営層にも, わかりやすいソリューションだと思う.

Wednesday Oct 26, 2005

Liberty Alliance Day 雑感

先日告知したとおり, リバティ・アライアンスのイベントにて Sun Java System Identity Manager (SJS IDM)Sun Java System Identity Auditor (SJS IDA) による ID 管理・監査のデモを展示した. また Sun のブースではこれら以外に Sun Java System Access Manager (SJS AM) および Sun Java System Federation Manager (SJS FM) も同時に出展し, SAML および Liberty ベースの ID 連携のデモを紹介した.

「ID 管理・監査 (IDM / IDA)」 と 「ID 連携 + SSO (AM / FM)」 が並んでたら来場者の興味はほとんど後者に流れてしまうんじゃないかなと勝手に想像してたんだけど, 実際のところは AM / FM に負けず劣らず IDM / IDA にも注目が集まったのでひと安心. 「アイデンティティ情報のライフサイクル管理」 という概念が徐々にではあるけど世間に浸透しつつあるようで, 個人的には心強く感じた.

あと山中さんも書いているけど, このページを読んでくださっている方が意外に多かったのにびっくり. 今後ともよろしくお願いします. そういえば, 月曜会場に来てた Sun の担当者はほとんど blogs.sun.com のアカウント持ってるかも. 工藤, 山中さん, 岡崎さん, 下道さん, 徹さん. これであと守屋さんが書いてればパーフェクトなんだけどなー. (などと圧力をかけてみる)

Friday Oct 07, 2005

リバティ・アライアンスのイベントが 10/24 に開催

リバティ・アライアンス スポークスパーソンの下道さんから 「おまえも告知せよ」 との強い念を感じたので, ここらで 10/24 の Liberty Day @ 品川を紹介.

来る10月24日(月)、 Liberty Alliance Project は東京コンファレンスセンター品川にて 「Liberty Alliance Day in Japan 2005」 を開催することとなりました。 日本在住のメンバー企業はもとより、 海外のメンバー企業によるセミナーやデモも予定しており、 国際色豊かな、最先端の技術および事例をご紹介するイベントです。
Liberty Alliance Day in Japan 2005 -個人情報保護法時代におけるセキュアなサービス連携に向けて-

Sun からはヘルムート・ボーダイブ・メイラーがそれぞれ講演する予定.

あとぼくも会場に行って山中進吾と一緒に Sun Java System Identity ManagerSun Java System Identity Auditor のデモ展示を担当することになった. 連携アイデンティティ管理を実現するためには Liberty / SAML を使えば十分か? というとそんなわけはなくて, 本来 「ID 連携の仕組み」 を検討する前に 「ID とリレーションシップのライフサイクル管理の仕組み」 を考える必要が出てくるはず... なんだけど, 「統合認証システム」 とか 「グループ企業内 SSO 基盤」 とかの延長で Liberty / SAML を使いたがっている人の多くはなぜかそのことにあんまり気づいていない (なんでなんだろ, ホントに). 当日はそのへんの誤解を解消すべく, 周りのブースがおそらくさんざんリバティーだのサムルだの言ってるなか, 二人ひっそりと ID ライフサイクル管理と ID 監査についてご説明させていただきますので, セッションの合間にでもお立ち寄りいただければ幸いです.

Tuesday Aug 30, 2005

Identity Manager and Identity Auditor on Glassfish Milestone 3

Glassfish
いま話題の Glassfish Milestone 3 に, J2EE Web アプリケーションである Sun Java System Identity Manager (IDM) と Sun Java System Identity Auditor (IDA) を deploy してみたという話が出てた.

As I blogged before, Milestone 3 of Glassfish is out.
I downloaded and deployed a quite complex application, our Identity Manager and Identity Auditor.
Peter Fabian: Glassfish Milestone 3 observations

なんか配備とか起動とかの動作がエラく軽快らしい. 今度試してみよう. まあ Glassfish 自体まだ正式リリースではないので, IDM / IDA の実行環境としてはいまのところサポート外なんだけど...

Wednesday Jul 13, 2005

Audit of internal control over financial reporting

金融庁が, 「財務報告に係る内部統制の評価及び監査の基準(公開草案)」 に関するパブリックコメントの募集を開始した.

  • 企業会計審議会内部統制部会の公開草案の公表について

    企業会計審議会(会長 加古宜士 早稲田大学教授)は、内部統制部会(部会長 八田進二 青山学院大学大学院教授)で審議を行っている財務報告に係る内部統制の有効性に関する経営者による評価及び公認会計士による監査の基準について、本日、「財務報告に係る内部統制の評価及び監査の基準(公開草案)」を公表し、広く意見を求めることといたしました。

この草案では, 内部統制を構成する 6 つの基本的要素のひとつとして 「IT (情報技術) の利用」 を挙げている. 具体的にどういったことが想定されるかについては, 内部統制部会での議事録や資料 (ページ半分くらいいったとこの左にある. てか, permalink つけてほしい...) をあわせて読むと理解が進みそう.

とくに最後の資料 (「IT 統制の監査」) の #3 にある 「不正による誤った財務情報の提供 - 国内企業: IT を利用して架空取引を期末日近くに生成」 という例が, 個人的には最もわかりやすく感じた. 「Sun Java System Identity Auditor職責分離を徹底し, 架空取引発生リスクを低減!」 とかプレゼンしたらウケるかもなー. どうすかね? > 山中さん

Monday Feb 28, 2005

CEC 2005: Day Two

CEC 2005 二日目. 昨日と同様, 午前は全体セッション, 午後はブレイクアウト 5 本の構成.

全体セッションは各製品分野の EVP (Executive Vice President) たちが 1 時間ずつプレゼンテーションを行なった. ソフトウェア担当 EVP である John Loiacono のパートで披露された Sun Java System Identity Auditor のデモンストレーション, good でした (© 藤井さん). 関係ないけど, 他のスピーカーはみんなカジュアルな服装 (昨日の Jonathan にいたっては Dallas Mavericks のジャージ) だったのに, x64 ネタで登場した Andy Bechtolsheim だけ一人ぱりっとしたスーツを着てて, しかし話の内容はいちばん技術者寄りというギャップにちょっとウケた.

昼ごはんは昨日と同様, サンドイッチ + ポテトチップ + 特大クッキーの, いわゆる brown bag lunch. これに飽きた岩片さんはサラダを選択したのだが, はたしてその中身はこんなんであった ↓
Salad
野菜というか, むしろこれは植物だ.

さて, 午後に参加したブレイクアウトは以下の通り.

AC/DShe 19:00 から, 引き続き Moscone Center で Club CEC と名打ったイベントが行なわれた. AC/DC のトリビュート・バンド, その名も AC/DShe のライブを Corona 片手に見物し, 本日は終了.

Monday Jan 24, 2005

Sun Microsystems, Inc. Announces Its Latest Innovation in Identity Management - Sun Java(TM) System Identity Auditor

まだ sun.com/aboutsun/media には載ってないけど, 現地時間の零時をまわったころから, 新製品である Sun Java System Identity Auditor の記事がぽつぽつと各所に出回りはじめた.

報道資料中の例にあるように,

  • ポリシー違反をトリガーにして, Sun Java System Identity Manager によるアカウントの無効処理と Sun Java System Access Manager によるログイン・セッションの遮断処理を即時実行したり, あるいはオペレーションのやり直しを促したりすることができる
  • また Identity Auditor により, アクセス違反や例外処理, やり直しなどに関し, 可視化・追跡を集中管理することが可能となる

など, かゆいところに手の届く機能満載の製品となっている. 乞うご期待.

(追記) sun.com でも正式に発表された.

About

tkudo

Search

Archives
« April 2014
SunMonTueWedThuFriSat
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Today