第 2 章: 用語とイニシアチブ
公開日: 2004年9月7日
「ID およびアクセス管理」では、プロセス、テクノロジ、およびポリシーを組み合わせてデジタル ID を管理し、デジタル ID を使用してリソースにアクセスする方法について示します。
ID およびアクセスの管理イニシアチブは、多くの IT プロジェクトより複雑となる傾向があります。これは、連携する必要のある ID ストア、プロトコル、暗号化メカニズム、ポリシー、管理機関の数と多様性によります。包括的な戦略を使用すれば、セキュリティを強化する一方で、標準の実装、ID ストア数の削減、信頼の確立、管理の委任、およびユーザーのサインオンの使用実態の改善を行うことによって、大規模ネットワークにおいてデジタル ID を管理するのに必要な労力を大幅に減らすことができます。
ID およびアクセスの管理の組織戦略には、次の質問に対する適切に定義された回答が含まれている必要があります。
ID およびアクセス管理イニシアチブがもたらす利点とは何ですか。
各イニシアチブが解決しなければならない課題とは何ですか。
対処する必要のある特定の組織の要因とは何ですか。
各イニシアチブをサポートするうえで、どのようなビジネスおよびテクノロジのプロジェクトおよびソリューションが必要ですか。
組織は、ID およびアクセスの管理イニシアチブを強化する結果、どのような利点を得られるかについて、明確なビジョンを持っている必要があります。このような指針となるビジョンがなければ、結果として、具体的な改善が実現されず、より複雑で扱いにくいシステムとなってしまいます。
潜在的な利点を評価する際には、特定のテクノロジ ソリューションの実装に関する問題を見落とさないでください。予測される利点と各ソリューションのサイズと複雑さとの間でバランスが取られなければなりません。
ID およびアクセス管理における用語
次の用語は、ID およびアクセス管理のコンポーネントまたはプロセスについて説明します。このシリーズの後半では、これらの用語を使用し、これらの用語についてさらに詳しく説明します。
デジタル ID: 個人、グループ、デバイス、またはサービスの一意の識別子および説明的な属性です。たとえば、Microsoft® Active Directory® ディレクトリ サービスのユーザーまたはコンピュータ アカウント、Microsoft Exchange Server 2003 の電子メール アカウント、 データベース テーブルのユーザー エントリ、カスタム アプリケーションのログオン資格情報などが含まれます。
資格情報: 主にデジタル ID が所有する機密情報に関連または派生する情報です。ただし、すべての場合において機密情報が含まれるわけではありません。たとえば、パスワード、X.509 証明書、バイオメトリック情報などが含まれます。
セキュリティ プリンシパル: ネットワークでやり取りを行うために認証および承認される 1 つまたは複数の資格情報を持つデジタル ID です。
ID ストア: デジタル ID を格納するリポジトリです。ID ストアは通常、Active Directory や Microsoft SQL Server などのプロバイダを介して管理およびアクセスされるディレクトリまたはデータベースの形態です。ID ストアは、たとえば、メインフレーム コンピュータ上で集中管理または分散管理できます。Active Directory は、分散型 ID ストアの一例です。ID ストアは一般に、どんな情報を格納できるか、またどんな形式で記録できるかについて適切に定義されたスキーマを持ちます。また、通常は暗号化やハッシュ アルゴリズムの形態を組み込んでいて、資格情報などのデジタル ID のストアおよびコンポーネントの両方を保護します。以前のカスタム ID ストアでは、このような厳しいセキュリティ メカニズムはなく、データを暗号化していないプレーンテキストでパスワードを保存する場合があります。
ID の同期: 複数の ID ストアで特定のデジタル ID のデータが整合性を保っていることを保証するプロセスです。このプロセスは、スクリプトなどのプログラミングによる方法や Microsoft Identity Integration Server 2003, Enterprise Edition (MIIS 2003) などの専用の製品を使用して実行できます。
ID 統合サービス: 複数の接続されている ID ストア間の ID 情報を集約、同期し、プロビジョニングおよびプロビジョニング解除を可能にするサービスです。MIIS 2003 および Identity Integration Feature Pack (IIFP) for Active Directory により ID 統合サービスが提供されます。
プロビジョニング: ID ストアに ID を追加し、その ID に対する最初の資格情報と権限を確立するプロセスです。プロビジョニング解除は、それとは反対に機能し、ID を削除または無効にするプロセスです。プロビジョニングおよびプロビジョニング解除は、通常、ID 統合サービスと連携し、接続されている ID ストアに ID の追加、削除、無効化について伝達します。
ID ライフサイクル管理: デジタル ID を最新の状態に保ち、管理ポリシーとの整合性を保つプロセスおよびテクノロジです。ID ライフサイクル管理には、ID の同期、プロビジョニンとプロビジョニング解除、およびユーザー属性、資格情報、権限の継続的管理が含まれます。
認証: セキュリティ プリンシパルの資格情報を ID ストアの値と照らし合わせてチェックするプロセスです。Kerberos Version 5、Secure Sockets Layer (SSL)、NTLM などの認証プロトコル、およびダイジェスト認証により、認証プロセスを保護し、資格情報の傍受を回避します。
権限: 認証済みセキュリティ プリンシパルのアクセス権と特権を指定する属性セットです。たとえば、Windows セキュリティ グループおよびアクセス権が権限に相当します。
承認: アクセスを制御するために、リソースに対して構成されているアクセス許可を使用してユーザーの権限を解決するプロセスです。Windows オペレーティング システムの承認では、ファイル、フォルダ、共有、およびディレクトリ オブジェクトに関するアクセス制御リスト (ACL) が関係します。SQL Server、SharePoint™ Portal Server、Exchange Server などのアプリケーションは、管理するリソースにアクセス制御メカニズムを実装します。アプリケーション開発者は、Windows Authorization Manager や ASP.NET のロールを使用して、ロール ベースのアクセス制御を実装することができます。
信頼: ID 情報を共有するために、異なるパーティとシステム間での契約について説明するものです。信頼は通常、その他のパーティのセキュリティ プリンシパルを管理するために発生する管理を排除し、制御された方法でリソースへのアクセスを拡張するのに使用されます。信頼メカニズムには、Windows Server 2003 のフォレスト間信頼と Kerberos Version 5 認証プロトコルを使用した領域間の信頼が含まれます。
連合: 独立した組織間の内部ネットワーク境界を超えて確立される特別な種類の信頼関係です。
セキュリティ監査: 重要な認証および承認イベント、および ID オブジェクトへの変更を記録して、要約するプロセスです。組織により、重要なイベントの定義は異なります。セキュリティ監査記録は、Windows セキュリティ イベント ログに書き込むことができます。
アクセス管理: 管理ポリシーと整合性を保つリソースへのアクセスを制御および監視するプロセスおよびテクノロジです。アクセス管理には、認証、承認、信頼、およびセキュリティ監査が含まれます。
ビジネス要件
インターネットによって特に発展してきた最近の分散コンピューティング領域では、一般的な組織が情報にアクセスするためのアプリケーションやその他のメカニズムは急増しました。同時に、組織では、継続的な成長、アクセス費用の削減、セキュリティの強化、および規制要件への準拠を行う一方で、従業員、パートナー、および顧客の情報資産へのアクセスをセキュリティで保護したいと考えています。
情報資産へのセキュリティ保護されたアクセスは、ますます複雑になってきている IT 環境内で提供される必要があります。カスタム アプリケーションまたはパッケージ化されたアプリケーションでは、独自の認証および承認システムを持つことが多く、同時に包括的な ID およびアクセス管理プラットフォームでは統合されないユーザー アカウントを作成および管理するための管理ツールを持っていることもあります。多くの場合、このようなアプリケーションはデジタル ID 情報とは隔離され、複雑さが増すという結果となります。
このような複雑で管理するのが難しいシステムでは、IT を使用して情報資産へのアクセスを提供し、サービスを提供する組織のビジネス要件を満たすことが困難になります。強固な ID およびアクセス管理プラットフォームで構築された、適切に実行されている ID およびアクセス管理インフラストラクチャでは、IT によりこれらのビジネス要件を満たすことが支援されます。
総保有コストを削減する
適切に設計され、自動化された、監査可能なアクセス制御を実施するためのメカニズムが組織内で定義されていない場合、包括的なアクセス管理ポリシーの実装および保守にはコストがかかります。次の値は、Web サイト (https://www.pwcglobal.com) から入手可能な「The Value of Identity Management」 というタイトルの「PricewaterhouseCoopers/Meta Group Survey 2002」 (英語) からの抜粋です。これには、デジタル ID 管理に関連付けられるコストに関する主要例が含まれています。
ログオンおよび認証: 異なるシステムへのログオンに費やす時間を削減すると、知識労働者の生産性を著しく向上させることができます。一般ユーザーが認証やサインインに費やす時間は 1 日 16 分です。調査上 10,000 人のユーザーがいると定義されている大組織では、これは、1 日 2,666 時間 (または 正規職員 (FTE) の 1.3 人分) のコストに相当します。
ID のライフサイクル管理: 組織の IT 担当者がリソースの可用性を提供し、ネットワーク セキュリティを保証する重要なタスクに専念することは非常に重要です。非効率的なメカニズムを介して ID 管理に時間を費やすよりは、より重要なタスクのために時間を費やす方がより有意義です。ユーザー、ユーザー ストア、および認証とアクセス制御の管理に費やす平均時間は、年間 54,180 時間です。大組織では、この管理に費やす時間の実績が 25% しか向上しなくても、13,545 時間 (または FTE 6.7 人分) のコストに相当します。
パスワードのリセット: ヘルプデスクへの問い合わせの 45% はパスワードのリセットに関するものです。パスワードのリセットを自動化すると、この問い合わせ数が約 3 分の 1 は減少します。10,000 人のユーザーがいる組織では、これは年間で推定 648,000 ドルの節約になります。
重複データ: 重複する ID データを削除すると、管理プロセスを合理化し、TCO を削減できます。外部ユーザーの 38% と内部ユーザーの 75% が複数のデータ ストアに含まれています。ユーザー ストアの管理を集中化し統合することで、大組織では、年間で平均 1,236 時間を節約できると予測されています。
ID およびアクセス管理に関するこれらの問題に取り組む組織では、TCO の大幅削減を実現できます。ヘルプデスクへのパスワードのリセットに関する問い合わせを減らすなどの多少の変更であっても、エンド ユーザーやヘルプデスク オペレータの生産性を高めることができます。
セキュリティを強化する
セキュリティは、誰または何を許可しないか、だけでなく、誰または何を許可するか、またどんなレベルのアクセスを許可するかにかかわる問題です。従業員、契約者、顧客、およびビジネス パートナーでは、データとアプリケーションへのアクセスに対するニーズが異なります。組織では、明確に認証されたユーザーだけが機密情報にアクセスできるというアクセス管理ポリシーを定義および実装することが不可欠です。
また、セキュリティは、効率的な運用管理を行うことでもあります。従業員、パートナー、および顧客のアカウントに適用される管理プロセスが脆弱な場合は、セキュリティ リスクが増すこともあります。たとえば、何百万人ものオンライン顧客のアカウントを管理する場合、従来的なユーザー アカウント管理システムでは過大な負荷をかけることになります。また、組織が自社従業員アカウントに対して持っている知識と制御と同等の知識および制御は、パートナー従業員に対しては持っていません。
制御された ID およびアクセス管理により、組織では、セキュリティが悪用されることなく、情報システムへのアクセスを拡張することができます。組織では、権限を正確に管理し、アクセス許可を迅速に変更または拒否することによって、このような拡張アクセスを実現できます。
一般的に、以下のセキュリティ活動は、ID およびアクセスの管理に関連しています。
アカウント ポリシーの実施を強化する: セキュリティは、事前定義された標準に従ってアカウントを管理することによって強化できます。アカウント ポリシーの実施では、高度なセキュリティ対策を実装するためのルールや手順を定義します。たとえば、管理者はスマート カードを使用する必要があること、すべてのユーザーは複雑なパスワードを使用すること、およびそのパスワードを頻繁に変更する必要があることなどを定義します。
古いアカウントを削除する: 古いアカウントを適時削除することによって、コンピュータ セキュリティを大幅に強化できます。組織では、従業員、契約者、パートナー、および顧客のアカウントが不要になった時点で、それらのアカウントを無効にする必要があります。これらのアカウントが無効になっていないと、元のアカウント所有者がシステムに権限のないアクセスを行うために不正使用することができます。古いアカウントは、悪意のあるユーザーにとっては魅力的なターゲットとなります。これは、古いアカウントには、現在使用されていない静的な資格情報が含まれている可能性が高く、このようなアカウントの不正使用や潜在的な危険性は発見されにくいためです。
アプリケーション データの保護を強化する: 組織のセキュリティ要件を満たすため、アプリケーションはセキュリティで保護されたメカニズムを使用してデータを転送する必要があります。機密性の高いデータにアクセスするには、適切な認証および承認の両方を要求し、また攻撃者がデータを妨害 (スニフィング) するのを防ぐために、ネットワーク上のデータを保護する必要があります。
強力な認証を実装する: 一般的に使用されている認証技術および資格情報では、重要なアプリケーションやデータに必要なセキュリティ レベルが提供できない場合があります。マイクロソフトでは、コンピューティング リソースのセキュリティ全体を強化することができる場合には、Kerberos Version 5 プロトコルや公開キー基盤 (PKI) 技術などの強力な認証メカニズムを使用することをお勧めします。
ディレクトリ サービスを使用して資格情報を管理する: ディレクトリ サービスが組織で多用されている場合は、特定のセキュリティ上の利点を享受できます。たとえば、スマート カードやバイオメトリックスなどの高度な認証方法を使用すると、組織のセキュリティ レベルを大幅に向上させることができます。残念ながら、このようなシステムは複雑になります。また、厳密に保守され、中央でアクセスできる必要のあるユーザーに関する追加データが発生することになります。このようなシステムの展開は、堅牢なディレクトリ インフラストラクチャが適切に配置されている場合には容易になります。
承認を強化する: 承認はリソースに対する一般的なアクセスおよび精密なアクセスの両方を提供できるだけの柔軟さを備えている必要があります。たとえば、一般のアクセスにより、すべての従業員が特定のアプリケーションにアクセスでき、精密なアクセスにより、販売部門の従業員だけが午前 9 時~午後 5 時の時間内にアプリケーションの特定の操作を実行できるようにします。ユーザーは、組織またはアプリケーションのコンテキスト内でデータベース管理者、ヘルプデスク オペレータ、またはアプリケーション ユーザーなどのロールに論理的にマッピングする必要があります。
プロビジョニングを介して権限を管理する: 適切に実装されたプロビジョニング システムでは、権限の要求や承認に関するポリシーが一貫して適用されるようになります。すべてのビジネス ユニットが同じプロセスに従うことが簡単にできる場合は、ポリシーの適用が容易になります。また、プロビジョニング システムでは、決定や承認を行った日時やその実行者を記録する監査記録が提供されます。
ID ライフサイクル管理を実装する: ID ライフサイクル管理のプロセスは、職種に応じて、ユーザーの権限を最新の状態に保つうえで役立ちます。たとえば、ある従業員が財務部門からマーケティング部門に異動した場合、ID ライフサイクル管理プロセスでは、従業員の財務アプリケーションへのアクセス権を無効にして削除し、マーケティング アプリケーションへのアクセスを提供することができます。ID ライフサイクル管理プロセスは、手動または自動のいずれかで実行できます。一般的に、自動プロセスを使用してよりタイムリーにアクセス権を削除して許可することによって、組織内のセキュリティのレベルが強化されます。
攻撃対象領域を削減する: 各ストアが一般的な高水準で管理されていない場合、複数の ID ストアによりユーザー アカウントが侵害されるリスクが高まります。同様に、さまざまな認証メカニズムがあるということは、たいていの場合、システム全体に対する脅威がよくわからず、これらの脅威を簡単に軽減できないことを意味します。セキュリティ システムおよびメカニズムの総数を削減するということは、残りのシステムおよびメカニズムをよりよく管理しセキュリティ保護することができることを意味します。
ユーザーが適切な操作を容易に行えるようにする: シングル サインオン (SSO) を使用すると、ユーザーは容易に組織のパスワード ポリシーに準拠できます。複数のパスワードを覚えて管理する必要がある場合、単純なパスワードを作成したり、複雑なパスワードを書き留めて、これを保護されていない作業領域で保管することは十分にあり得ることです。
アクセスを改善する
情報資産へのアクセスを改善するために、ID およびアクセス管理テクノロジは、次の要件を満たす必要があります。
アカウントおよびハードウェアの効率的なプロビジョニングにより、迅速な従業員の生産性向上と情報リソースへのアクセスを可能にします。
組織の内部ネットワーク環境外の主要なアプリケーションへのリモート アクセスを提供することによって、従業員の生産性をより高めることができます。
パートナーを、管理および制御された方法でビジネス アプリケーションに直接参加させることにより、組織の境界にまたがるプロセスを合理化します。
各顧客向けの情報を用意し、また製品とサービスをオンラインで要求する機能を提供することにより、顧客の関心を集めます。ユーザー エクスペリエンスと顧客の満足度を高め、収益性を向上させます。
参加しているパートナー スタッフの ID と資格情報を管理する負担を負う必要なく、直接パートナーと連携するビジネス機会を増やす連合を実装することによってコスト削減を可能にします。
これらのキー ID およびアクセス管理要件に対処することによって、組織は従業員の生産性を高め、コストを削減し、ビジネスの統合を向上させることができます。
法規制に確実に準拠する
ID は多くの政府や規制政策の中で急速に注目されるようになってきました。重要視されるようになったのは、情報システムに格納される個人情報が増加し、プライバシーへの関心が高まったためです。顧客および従業員情報へのアクセスを制御することは、良好なビジネス慣習になるだけでなく、これを怠った組織は、重大な経済的および法的責任を免れません。
データの完全保護またはデータの隔離保護の準拠は今では法規化されています。米国では、組織は、次の 1 つ以上の要件を満たす必要があります。
米国企業会計改革法ならびに投資者保護法 (Sarbanes-Oxley Public Company Accounting Reform and Investor Protection Act)
金融サービス近代化法 (Gramm-Leach-Bliley Financial Services Modernization Act)
医療保険の携行性と責任に関する法律 (HIPAA: The Health Insurance Portability and Accountability Act)
これらの規則が組織にどのように影響を及ぼすかについての 1 例として、HIPAA のセキュリティに関する規則には、医療関連の組織が個人を特定できる健康情報をどのように取り扱うかを示す厳格なガイドラインがあります。これらのガイドラインには、適切な監査制御、アクセス管理、承認などが含まれます。効果的な ID およびアクセス管理インフラストラクチャでは、異なる情報システム間の患者の記録が患者に正確に関連付けられています。また、このようなインフラストラクチャでは、記録へのアクセスを監査でき、これらの記録をレビューする人の ID を認証します。
米国の組織だけが規制の増加に直面している訳ではありません。1998 年に欧州連合で可決されたデータ保護条例 (Data Protection Directive of 1998) およびカナダの個人情報保護及び電子文書法 (PIPEDA: Personal Information Protection and Electronic Documents Act) には、ID 情報に関する厳格なガイドラインが規定されています。また、ID に関連するデータの格納方法および使用方法について指示する地域法も多数あります。
規制に準拠することで、適用可能なすべての規則によって義務付けられているプライバシー、認証、承認、および監査要件を、組織が確実に満たすことができます。
企業合併および買収に対応する
ある組織が他の組織を合併または買収した場合、ID およびアクセス管理システムの統合によって、独特の問題や機会がもたらされます。新しい組織の価値を最大限に利用するには、IT で共通標準を使用して、新しく加わった組織のデータと情報を結合し、できる限り早く従業員がそのデータや情報を利用できるようにする必要があります。
ID およびアクセス管理システムの統合は、統合したデータに対して新しい組織のすべての従業員に適切なレベルのアクセス権を提供するうえで特に重要です。また、管理コストを削減するために、新しい組織で不要な ID ストアや管理プロセスを整理する必要があります。
以下に、合併および買収における IT の課題を示します。
2 つの組織の ID ストアに互換性を持たせること
各システムから統合システムにアカウントを結合すること
連合を使用し、信頼関係に基づいて ID およびアクセス管理システムを統合すること
合併または買収の間、異なるシステムの直接的な統合が実行できない場合には、無難な短期対応策として ID ストアを同期すること
セキュリティ ポリシーを更新し、合併や買収の結果として生じた新しい規制の必要条件を組み込み、準拠すること
ID およびアクセス管理戦略におけるイニシアチブ
すべての組織には、ID およびアクセス管理戦略を決定および実装するためのさまざまなビジネス ドライバがあります。成功するために最大限のチャンスを得るためには、この戦略を、業績改善を目的としたビジネス目標と結びつける必要があります。プロジェクトの優先順位は、以下を考慮する必要があります。
即時性のある成果によってエグゼクティブ スポンサーシップを促進する: 即時的で強力なマネージメント承認を確立するために、迅速に低コストで成果を達成します。
高リスク領域に迅速に対処する: セキュリティの問題は一般に、できる限り迅速に対処する必要のあるビジネス上の主要な関心事項です。
標準およびインフラストラクチャがしばし、その他のイニシアチブの前提条件になる: 過去の投資によっても異なりますが、ポリシーを介した標準の確立、およびそれをサポートするためのインフラストラクチャの確立には、かなりのコストと労力を伴う場合があります。ただし、その他の多くのプロジェクトの成功が、これらが適切に存在することに依存するいうことを考慮すると、投資も価値があります。
各組織が ID およびアクセス管理戦略を検討する場合には、目標と優先順位を固有に組み合わせて考慮する必要があります。以降では、1 つまたは複数のビジネスおよびテクノロジ プロジェクトを構成する、より一般的なイニシアチブのいくつかについて説明します。これらには、以下が含まれます。
セキュリティおよびアクセス ポリシーを確立する。
ディレクトリ サービスおよびセキュリティ標準を確立する。
ID の集約および同期を実装する。
プロビジョニングおよびプロビジョニング解除を自動化する。
ID ストアを整理する。
パスワード管理を強化する。
相互運用性およびシングル サインオンを有効にする。
認証メカニズムを強化する。
従業員、顧客、およびパートナーのアクセスを改善する。
セキュリティ監査ポリシーを確立する。
ソフトウェア調達標準を更新する。
ID 使用に関するソフトウェア開発標準を確立する。
ID 認識アプリケーションを開発および移行する。
セキュリティおよびアクセス ポリシーを確立する
人、プロセス、およびテクノロジ要素を含む、組織の多数の記述済みセキュリティ ポリシーは、ディレクトリ サービスで直接実装できますが、セキュリティ ポリシーを実施する機能権限を持つプロセスや特定のシステムによって制御されるものもあります。組織のアクセス ポリシーは、特定のアプリケーションまたはアプリケーションのグループへのアクセスに関するビジネス ルールをグローバル レベルで指定することができます。このようなアクセス ポリシーは通常、ロール、リソース、オペレーション、および制限の面から定義されています。
以下に、セキュリティとアクセス ポリシーおよびこれらの内部ルールの例を示します。
アカウント管理ポリシー: 古いアカウントを ID ストアから定期的に削除する必要があることを示します。
パスワード ポリシー: アカウント パスワードを定期的に変更し、パスワードは一定の長さで複雑である必要があることを示します。
セキュリティ監査ポリシー: どのアクションが報告される必要があるかを定義します。
プライバシー ポリシー: "放っておかれる権利" (スパムなどの不要な通信からの自由) および情報プライバシー規則 (個々が個人情報の収集や使用を制御する機能) を定義します。
アクセス管理ポリシー: 以下を要求します。
VPN アクセスには、スマート カードまたはその他の複数要素の認証が必要です。
特定のアプリケーションにはバイオメトリック認証が必要です。
特定のシステムへのエクストラネット アクセスは認証されたユーザーに制限され、強力なファイアウォール サービスによって実施されます。
ドメイン管理者のログオンには、スマートカードが必要です。
高付加価値システムへのコンピュータ接続には、IPSec 暗号化を使用する必要があります。
"顧客アカウントの引き出しは、午前 9 時から午後 5 時までの間のみ出納係 (teller) によって実行されます。" などの業務上の制限が実施されます。
利点
セキュリティおよびアクセス ポリシーを確立することによる潜在的な利点は、次のとおりです。
組織全体のセキュリティの強化
特定の高付加価値システムに対するセキュリティの強化
セキュリティ監査の改善
規制準拠の実現
課題
セキュリティおよびアクセス ポリシーの確立において直面する課題は、次のとおりです。
各アクセス シナリオに適したセキュリティ要件の確立
制約や制限を認識し、選択したテクノロジを使用してのポリシーの実装
自動化しないことによりもたらされるセキュリティ強化によって生じる場合がある、管理オーバーヘッドの増加と能率の低下への対処
より複雑なセキュリティ メカニズムの操作
競合するセキュリティ要件の管理
ディレクトリ サービスとセキュリティの標準を確立する
Active Directory であっても、その他のものであっても、ID およびアクセス管理の主要な成功要因は、標準のディレクトリ サービスを使用することです。ただし、多くの場合、組織では複数のディレクトリ サービスが必要です。合併、買収、およびアプリケーションの選択により、1 つの組織で 2 つ、3 つ、またはそれ以上のディレクトリ サービスを導入する可能性があります。効果的な ID およびアクセス管理戦略では、これらのサービスを最低限の数の ID ストアに整理して、集合的な組織の標準ディレクトリ サービスとなるようにします。
ディレクトリ サービスでは、セキュリティ ポリシー標準を実施できますが、組織内部の運用においてかなりの相違が生じる場合があります。たとえば、買収により、組織の既存のディレクトリ サービスとは異なる別のディレクトリ サービスおよびセキュリティ ポリシーが取り込まれた、新しい部門が誕生する場合があります。通常、ID に関連したセキュリティ標準はディレクトリ サービスと緊密に統合されるため、これらは共に検討する必要があります。
ディレクトリ サービスとセキュリティの標準を確立することは、アプリケーションの開発および調達標準を確立し、管理コストを低く抑え、かつ安全な方法でアクセスを拡張するために必要な前提条件です。
利点
標準のディレクトリ サービスと統合されたセキュリティ標準を確立する潜在的な利点は、次のとおりです。
管理オーバーヘッドの削減
プロビジョニングの簡素化
組織全体のセキュリティの強化
課題
標準のディレクトリ サービスおよび統合されたセキュリティ標準を確立する上で直面する課題は多くあります。これらは次のとおりです。
特定のディレクトリ ニーズを持つ基幹業務 (LOB) アプリケーションおよびプラットフォーム
調整不可能な、互換性のないセキュリティ ポリシー
部署の独立性など、組織内部の問題
金融機関など、組織内部の情報および管理境界に対する規制要件 (たとえば、個人の銀行業務を保険業務から切り離すなど)
組織間の既存のアプリケーションおよび ID ストアが使用可能な一般的な認証プロトコルを見つける
組織間の異なるアプリケーションおよびシステムが使用可能な一般的なフォーマットで権限を表示する
このシリーズの 「プラットフォームおよびインフラストラクチャ」 文書には、ディレクトリ サービスおよびセキュリティ標準の確立に関する詳細情報が記載されています。
ID の集約および同期を実装する
多くの場合、ID ストアとアプリケーションを標準のディレクトリ サービスに移行することは実用的ではありません。ただし、このようなシステムを統合することによって、共通のポリシーを使用して ID 情報を共有し、同様の権限を作成および維持すると、管理コストを削減して生産性の損失を最小限にとどめることが可能になる場合があります。
ID 集約を行うと、多数の ID ストアからこのような複数のデジタル ID のリンクが構成されます。ID の集約がなければ、人事 (HR) システムの "Li, George Z." がイントラネット上の “George Li” や電子メール ディレクトリの “G. Li” と同じ人物であることを特定する方法がありません。ID の集約および同期を行うことにより、組織において、MIIS 2003 によって提供されるような ID 統合サービスを使用してデジタル ID を完全に作成および保守することができます。
利点
ID の集約および同期の利点は、次のとおりです。
複数の ID ストア間で伝達される ID 情報のリンクに関連する管理オーバーヘッドの削減
組織内のすべてのデジタル ID の統合ビューから提供される業務情報の増加
単一の ID ストアからの ID 管理の改善
課題
複数の ID ストアの集約に関連する固有の課題は、次のとおりです。
組織内で管理されている ID ストアのすべてを確認する
ID ストアの集約と情報の同期を行うことに同意する
どの ID ストアによってどの属性が所有されるかを選択する
人事、IT、法務、その他の関係するビジネス部門での部署間の協力関係を実現する
組織全体で使用されるデジタル ID を形成する、さまざまな属性の信頼できる情報源を決定する
組織の ID 情報のグローバル ビューを作成する
組織のすべての ID 情報のグローバル ビューを使用して変更を監査する
組織内の異なる ID ストア間の ID 情報を同期する
このシリーズの「ID の集約と同期」文書では、このトピックに関する詳細情報が記載されています。
プロビジョニングおよびプロビジョニング解除を自動化する
組織では、できるだけ早く、新しい従業員および契約者が生産性を高めること望んでいます。アプリケーションへのアクセス権を取得するため、スタッフを何時間も、何日も、何週間も待たせておく余裕はありません。
プロビジョニングを自動化すると、1 つの ID ストアから新しいエントリを取得して、管理されている ID ストアのそれぞれに対応するエントリを作成することができます。プロビジョニング解除は、それとは逆に機能し、アカウントを無効にするなどの変更を 1 つのストアで行い、その他の ID ストアへその変更を伝達します。そのため、接続されている ID ストアの 1 つで単一フィールドの値を変更すると (人事システムで "従業員" から "元従業員" への従業員ステータスの変更など) 、複数のストアにまたがる一連のデジタル ID を数分で無効または削除することができます。
利点
プロビジョニングとプロビジョニング解除を自動化する利点は、次のとおりです。
複数の ID ストアでのアカウントの自動作成および自動削除によるコストの削減
新しい従業員のアカウント、パスワード、アクセス権の作成に必要な時間の削減による、生産性の向上
メールボックスやアカウント名などの必要な属性の自動生成
グループ メンバーシップ管理の簡易化
ロール管理の簡易化
退職する従業員のすべてのアクセス権の迅速かつ確実な無効化によるセキュリティ強化
課題
プロビジョニングおよびプロビジョニング解除を自動化する上で直面する課題は、次のとおりです。
プロビジョニングを導入するビジネス プロセスの決定
新しいアカウント設定においてどの部署およびどの承認が必要であるかの決定
タイムリーなプロビジョニングおよびプロビジョニング解除に影響を及ぼすビジネス プロセスの遅延への対処
ワークフローや監査を含む自動プロセスによる既存の手動タスクの置換
複数の ID ストアへのデジタル ID の提供
異なる ID ストアまたは認証メカニズムを持つアプリケーション間での、整合性のあるユーザーの権限セットの作成および管理
敏速なプロビジョニングに必要な情報の迅速な収集
ID ストアを統合する
ID データを集約し同期を行うことにより、使用している ID ストアの数が削減されます。たとえば、ある組織で認証と承認に Lightweight Directory Access Protocol (LDAP) を使用する 2 つのアプリケーションがある場合、別々の LDAP ID ストアを 1 つのストアに結合することができます。
ID データは、ほとんど自動化されたメカニズムによって、ID ストア間で同期および管理できます。ただし、これらのメカニズムの維持と、ほぼ確実に発生する例外により、管理オーバーヘッドが増加し、セキュリティの攻撃対象領域が増えます。
利点
ID ストアを統合する利点は、次のとおりです。
管理オーバーヘッドの削減
サーバーおよびライセンスの削除による TCO の削減
サーバーの保守要件の削減
ハードウェアおよびソフトウェアのアップグレードにかかるコストの削減
アプリケーションの展開の容易化
課題
ID を統合する上で直面する課題は、次のとおりです。
単一の ID ストアで 1 つの集約スキーマを作成する
異なる ID ストア上での LDAP またはその他のプロトコルの実装間の相違
アプリケーションの移行
パスワード管理を強化する
パスワード管理は、ID 集約プロセスを一歩進めたものです。パスワード管理には、パスワード ポリシーの確立と実施、パスワードの変更とリセット、すべての接続されている ID ストアへのパスワードの変更の伝達など、多数の領域が関連します。たとえば、パスワード管理を行うことによって、ユーザーはネットワーク ログオン パスワード、SAP アカウントの資格情報、電子メールの資格情報、およびエクストラネット提携サイトのパスワードを 1 つの操作で変更することができます。パスワード管理によって、重要なシステム上では強力なパスワード ポリシーを使用して、また最近のパスワードの強度標準を処理することができないシステム上では弱いポリシーを使用して、グループ化を可能にします。
利点
パスワード管理の利点は、次のとおりです。
ヘルプデスク スタッフによる複数の ID ストアでのユーザー パスワードのリセットが不要になり、管理およびサポート コストの削減を実現
ユーザーが覚えていなければならないパスワード数を制限し、ユーザーがパスワードを書き留めておく可能性を削減することによる、セキュリティの強化
パスワードの長さや複雑さに関する要件などのポリシー要素に関係した、整合性のあるパスワード ポリシー アプリケーションによるセキュリティの強化
ユーザーがヘルプデスクのサポートによるパスワード リセットを待機する間のアイドル時間の削減
課題
パスワード管理の課題は、次のとおりです。
長さと複雑さの異なる基準を持つ複数のパスワード ポリシーへの対処
複数のプラットフォーム間でのパスワードの有効期限と履歴の間隔への対処
安全ではない ID ストアまたは認証技術、およびその他の弱点により、パスワードを伝達しないシステムの判別
必要に応じた、複数のプラットフォームからのパスワードの変更の取得
対象 ID ストアへ安全な接続および更新されたパスワードの転送
パスワード リセットの要求時にユーザーが誰であるかの確認
新しくリセットされたパスワードを安全な方法でエンド ユーザーに確実に送信
ハードコード化またはローカル設定されたパスワードを持つアプリケーションおよびサービスへの対処
このシリーズの「パスワード管理」文書では、このトピックに関する詳細情報が記載されています。
相互運用性とシングル サインオンを有効にする
プラットフォーム間の相互運用性のシナリオは、組織ごとに統合するディレクトリ サービス、データベース、アプリケーション、および関連した ID ストアの一意の組み合わせを持つため、組織によって大幅に異なります。
相互運用性とシングル サインオン (SSO) の方法は、次のとおりです。
サーバー オペレーティング システム (Microsoft Exchange Server 2003、SQL Server 2000 などの製品によって使用される) と統合します。
Kerberos Version 5 認証プロトコルなどの安全な、標準ベースの認証プロトコルを使用します。
Kerberos Version 5 プロトコルをサポートしないアプリケーションまたはプラットフォームに LDAP 認証および承認を使用します。
資格情報のマッピングと Enterprise SSO (Microsoft BizTalk® Server 2004、SharePoint Portal Server 2003、Host Integration Server 2004 などの製品によって使用される) を展開します。
複数のプラットフォームおよびアプリケーション間でユーザー名を同期し、パスワードを伝達します。この方法では、真の SSO は提供されませんが、ユーザーが複数のユーザー名およびパスワードを覚える必要性を削減します。これは ID の同期およびパスワード管理の強化によって可能になります。
インターネットおよびエクストラネット シナリオに Web SSO を実装します。
利点
相互運用性とシングル サインオンの利点は、次のとおりです。
アプリケーションの展開の合理化
ネットワーク上での認証およびデータ セキュリティのより高い標準の実現
ユーザーがイントラネット SSO を使用して、複数の ID ストアへの認証を繰り返すのに費やす時間を低減
課題
相互運用性とシングル サインオンの課題は、次のとおりです。
組織内で検出されるプラットフォームに対する適切なメカニズムの選択
Web とネットワーク SSO メカニズムの両方のオプションが利用可能な場合に、どちらかを選択
LDAP ディレクトリ サービスが認証および承認に使用する方法と使用時期の選択
パスワードの伝達を実装するため、アプリケーションおよびプラットフォームをいつ再構成するかを選択
LDAP プロトコルまたはスキーマの実装における相違
標準ベースの認証メカニズムの実装における多少の変更への対処
このシリーズの「イントラネット アクセス管理」文書では、相互運用性およびイントラネット SSO に関する詳細情報が記載されています。
認証メカニズムを強化する
より強固な認証メカニズムの実装を選択する多数の理由があります。イニシアチブは組織のコンピューティング リソースのセキュリティを強化するための一般的な計画の一部であったり、特定の脅威に対する対応であったり、または (最悪のケースでは) 成功した攻撃に対する対応となります。また、否認防止または同様の機能を得るため、業界または規制標準を満たすことが必要となります。
多数の組織では、依然としてアプリケーションおよびリソースへの認証に、ユーザー名とパスワードの組み合わせを使用しています。パスワード ベースの認証メカニズムは、アプリケーション、プロトコル、ID ストア、およびパスワードの長さと複雑さの実装により、非常に安全なものから安全でないものまで多岐にわたります。
X.509 デジタル証明書、OTP (使い捨てパスワード) デバイスとしても知られている時間ベースのハードウェア トークン、バイオメトリック認証を使用したセカンダリ確認など、より安全な非パスワード ベースのメカニズムおよびテクノロジが今日では広く使用されています。
異なる認証メカニズム (要素) を結合して複数要素の認証を作成することによって、最高レベルのセキュリティが作成されます。たとえば、スマート カード (手持ちのもの) 上の X.509 デジタル証明書を、その証明書に関連した秘密キーのロックを解除する PIN と結合することにより、非常に強力な資格情報を作成し、強力な認証を提供します。
利点
認証メカニズムを強化する利点は、次のとおりです。
セキュリティの強化
リソースへのアクセス時に追加の検証を必要とする規制要件との整合
課題
認証メカニズムの強化に関連する課題は、次のとおりです。
セキュリティを強化する必要性と、追加インフラストラクチャのコストとのバランス。
強固な資格情報メカニズムおよび認証プロトコルを異なるプラットフォームおよびアプリケーション間で統合。
エンドユーザーの増加および管理の複雑さの回避。複数要素のメカニズムにより、しばしば、失敗する可能性のある事柄 (ユーザーのスマート カードの損失や PIN の忘却など) が増加します。
スマート カード、OTP トークンなどの資格情報をサポートするためのハードウェアの配備に関連したコストとリソースの最小化。
従業員、顧客、およびパートナーのアクセスを改善する
多くの組織では、より多くの種類のユーザー、アプリケーション、およびネットワークを含むようアクセスを拡大することによって、情報システムを最適化し、競争力を獲得したいと考えています。この方法は、しばしば、"ネットワーク境界の拡大" と呼ばれます。というのは、組織のネットワーク周囲のファイアウォールが外部ユーザーを締め出すための障壁を提供していないためです。
たとえば、情報およびアプリケーションに対する顧客のアクセスが新しいビジネス チャンスをもたらします。ビジネス パートナーは、インベントリ、出荷、財務、および製品開発システムを統合することによってサプライ チェーンを簡素化し、内示価格、製品、およびサポート情報を共有することが可能になります。従業員は、顧客やパートナーと密接に作業を行うにつれて、リモートで共同作業および通信を行う機会が増えます。
利点
アクセスを改善する主な利点は、次のとおりです。
迅速なアプリケーション開発
より高速なアプリケーション開発
リソースへのアクセス制御の改善
より良好なエンドユーザーエクスペリエンス
管理オーバーヘッドの削減
課題
外部ユーザーのアクセスを改善するための課題は、次のとおりです。
既存のアプリケーションとの統合
適切な ID ストアの選択
各クラスのユーザーに対する適切な認証メカニズムの選択
適切な承認モデルの選択
認証および承認メカニズムの拡張
多数のパートナーおよび顧客の ID の管理
組織および使用するアプリケーションでのロールに基づいた、ユーザーへの適切なリソースに対するアクセス権付与
パートナー組織間の信頼関係確立における複雑な性質
このシリーズの「エクストラネット アクセス管理」文書では、従業員、顧客、およびパートナーにシングル サインオン エクスペリエンスを提供しながら、内部アプリケーションへの安全なアクセスを提供する概念について説明します。
セキュリティ監査ポリシーを確立する
一般的な組織には、プラットフォーム レベルおよびアプリケーション レベルの両方で監査を必要とするセキュリティ ポリシーがあります。この章で説明される ID およびアクセス管理イニシアチブのいくつかを実装することの最大の利点の 1 つは、ID ストア、プラットフォーム、認証および承認メカニズムの統合にあります。この統合により、セキュリティ イベントが生成される場所および方法が削減されるため、監査がより簡単で、より信頼できるものになります。
次の手順では、組織でどの監査タイプが必要であるか、および監査情報をキャプチャ、格納、使用する方法について詳しく説明します。
利点
セキュリティ監査ポリシーを確立する利点は、次のとおりです。
外部セキュリティ監査を受ける影響の削減
セキュリティ攻撃が発生する場合は、法的処置を実行する能力の改善
リアルタイムで攻撃を検出し、これによって管理者が緊急手順を開始することを警告する機能の改善
発生時には実施が難しいポリシーを前にさかのぼって実施する機能の改善
課題
セキュリティ監査ポリシーを確立する場合に直面する課題は、次のとおりです。
プラットフォームおよびアプリケーションにおける異なる監査メカニズム
程度がさまざまな特異性を持つ異なる監査機能権限
組織の異なるビジネス ユニットの異なる監査要件
中央への監査レポートの統合
大量の情報のフィルタリング
重要なレポートの生成
大量の監査データのアーカイブ
ソフトウェア調達標準を更新する
多くの場合、アプリケーションには、ID およびアクセス管理システムが複雑となる根本的な原因があります。アプリケーションは通常、異なる種類の ID ストア、異なる認証メカニズム、および承認ポリシーを導入します。ディレクトリ サービス、セキュリティ、およびアクセス ポリシーを標準化したら、新しいソフトウェアが組織の他のシステムと適切に統合されるように、ソフトウェア調達の組織の標準を確立または更新することが重要です。
独立系ソフトウェア ベンダー (ISV) からソフトウェアを選択する場合は、選択しているディレクトリ サービスと統合する機能、および確立されているセキュリティおよびアクセス ポリシーを満たす機能にある程度基づいている必要があります。
利点
ソフトウェア調達標準を更新する利点は、次のとおりです。
新しいアプリケーションの急速な展開
ID およびアクセスの管理インフラストラクチャとの統合が簡単
より低い TCO
セキュリティの強化
エンドユーザーの訓練の削減
エンドユーザーの生産性の向上
課題
ソフトウェア調達標準を更新する上で直面する課題は、次のとおりです。
適切な機能を持つ適切なソフトウェアの特定
どのオプション コンポーネントを使用または購入するかの判断
セキュリティを最大化するソフトウェアの選択
生産性を最大化するソフトウェアの選択
ID を使用するためのソフトウェア開発標準を確立する
組織のビジネス ニーズが高まるにつれて、新しい業務機能を実装する新しいアプリケーションが必要になります。アプリケーションが ID およびアクセス管理インフラストラクチャとどのようにやり取りを行うかを説明する開発標準を設定し、これを実施することにより、TCO をより低く抑え、セキュリティを向上させることができます。
利点
ID を使用するためのソフトウェア開発標準を確立する利点は、次のとおりです。
新たな ID 管理上の問題が発生しない
アプリケーションをより迅速に開発可能
管理コストの削減
攻撃対象領域の削減によるセキュリティ強化
課題
ソフトウェア開発標準を確立する上で直面する課題は、次のとおりです。
新しいアプリケーションが利用することができる ID 情報の信頼できるソースの提供
アプリケーションが、既存の認証および承認機能権限と同様、既存の ID ストアを使用する必要性およびその確実化
System Development Life Cycle (SDLC) 方法と統合された、アプリケーションと ID およびアクセスの管理インフラストラクチャとの統合方法に関する明確なガイドラインの作成および発行
これらのガイドラインに従う方法についての内外開発者のトレーニング
ID 認識アプリケーションを開発して移行する
組織がアプリケーション開発の標準を確立すると、その標準を使用して新しいアプリケーションを開発できます。また、既存のアプリケーションも ID およびアクセス管理インフラストラクチャと同じレベルで統合される必要もあります。
このために、インベントリを取得して、既存のアプリケーションを分類します。各アプリケーションの値、適用される情報、相対的な重要性を決定するセキュリティ特性を考慮してください。これらと各アプリケーションを移行または変更するコストとバランスを取り、どのアプリケーションを最初に移行する必要があるか優先順位を付けます。
利点
ID 認識アプリケーションを開発および移行する利点は、次のとおりです。
ID を管理するための管理オーバーヘッドの削減
セキュリティの強化
アプリケーション間の整合性
課題
ID 認識アプリケーションを開発および移行する場合に直面する課題は、次のとおりです。
最適な統合方法に基づく決定が行われるようにすることを目的としたアプリケーションの機能方法の理解
アプリケーションを移行するためのプラットフォームの選択
アプリケーション開発のための言語または開発者環境の選択
組織およびアプリケーション要件を満たす ID ストアの選択
要件を満たす認証と承認方法の選択
このシリーズの「ID 認識 ASP.NET アプリケーションを開発する」文書では、Microsoft ID およびアクセス管理プラットフォームと統合するアプリケーションを構築するために必要な技術について説明します。