ユーザー環境に柔軟に対応するサービス指向型ID管理

　システムへの不正アクセスや、なりすましを防止するうえで不可欠なID管理。だが、従来はアクセスするシステムの数だけIDやパスワードを持つことになり、その管理負担や、盗難・漏えいリスクが懸念されていた。これに対して、NovellのCTO兼チーフストラテジストであるジャスティン・テイラー氏は、9月8日に行われた「Novell+Cambridge Day 2004」の基調講演で、次世代のアイデンティティマネジメントを提言。異種システム間でのユーザー情報の双方向での共有、同期化を実現するIdentity Based Computingの重要性を強調した。

NovellのCTO兼チーフストラテジスト ジャスティン・テイラー氏

　一口にアイデンティティ管理といっても、シングルサインオンやアクセス管理、ディレクトリサービス、パスワード管理、プロビジョニングなど多岐に渡る。これらがすべてシームレスに統合され、自動化できれば、運用管理やセキュリティ、ROIなどの面で有利であることに異論はないだろう。だが実情は、自動化はおろか、システム管理者の手作業に負う部分が多く、従業員の異動や退職にともなう変更に多大な労力を割いている。さらに、組織が縦割りになっているためにユーザー情報の同期を取ることができないという非効率的な面が問題だった。

　セキュリティを確保しながら、組織横断的にアイデンティティを管理することはできないか。これに対してテイラー氏は、アイデンティティ管理とは単に人間だけでなくアプリケーションやデバイスの属性も含めて統合的に管理することが重要だと指摘する。

　「ユーザーがどんな役職の人間なのか、どこからどんな情報端末を使ってアクセスしているのかなど、その時々のユーザーを取り巻く状況、すなわちコンテクスト（文脈）とセキュリティポリシーを柔軟に照らし合わせ、そのうえで、このアプリケーションとあの情報にはアクセスしてもよいという許可を与えられることが大切だ」。硬直的なセキュリティポリシーを優先するあまり、従業員の業務の生産性が落ちては本末転倒だと述べる。

　「たとえば、自動車を運転する場合、運転者の属性によってスピードの上限を変えられると安全性が高まる。私が運転するときは100Km/hでもいいが、妻や子供が運転するときは自動的に一定の速度まで減速させ、上限を超えたら通知するような知的なシステムがあれば安心だ」。

　それには、ただ単に管理する対象（人間）を静的なオブジェクトとして認識するのではなく、役職や担当業務、使っているソフトウェア、ハードウェア、接続している場所といった、付随するあらゆる属性を機器間の対話（通信）から拾い、判断する必要がある。「したがって、リソース管理、サーバ管理、ネットワーク管理、著作権管理などもすべてアイデンティティ管理の一環として捉えなければならない」と同氏は述べる。そして、これを実現する規格や仕組みとして、SAML（Security Assertion Markup Language）や、Webサービスのシングルサインオンを目指すLiberty Allianceを取り上げた。

　それとは逆に、第三者による不正アクセスを防ぐには、単にIDやパスワードで認証するだけでなく、使用するアプリケーションやデバイス、接続する場所といったレベルから規制をかけて、なりすましを困難にすることができる利点も説く。

　「アイデンティティ管理は今後、一層、Webサービスなど疎結合環境の中で、SOA（Service-Oriented Architecture）に向かっていくだろう。これによって、ユーザー情報とシステム間のダイナミックな同期化や仮想化などが実現する」すでにNovellではいくつかの成功事例も積み上げている。

　「今後、いかなるプラットフォームであっても、あるデバイスが接続されればすぐに認証され、必要な情報にアクセスできるようになるIdentity Driven Computingが可能になるだろう。RFIDなども組み合わせることで、人間だけでなく、チップレベルでのアイデンティティ管理もできるはずだ。これによって知財情報や財務情報なども保護できるDRMやコンプライアンスの強化にもつながってくる」。

　このようなID管理が本格的に実用化されるには、解決すべき技術面、制度面もあることから、実際はもう少し先の話になりそうだ。しかし、従来の静的なID管理から、ユーザーの属性、そのコンテクストに応じた最適な利用環境を提供する、というサービス指向的な方向に向かっていることは確かなようだ。