「ID管理」でコスト大幅削減をめざせ

　自動車のガラス修理を行う企業Safelite Glassは、おなじみのある問題を抱えていた。情報システムを複数のメーカーの製品で構築していたため、セキュリティだけでおよそ10人もの担当者を雇わなければならなかったのだ。

　Safelite Glassは、保険会社と提携して自動車のガラス修理サービスを提供しているが、顧客関係管理にはSiebel SystemsのCRM製品を、データウェアハウスにはCognosのテクノロジーを、財務情報管理や数種類の業務アプリケーションにはOracleのシステムを利用していた。

　そこで同社では、「ID管理」を導入することにした。これはセキュリティ関連の作業を集中管理し、単純化してくれるテクノロジーだ。このテクノロジーを導入すれば、テクニカルサポートのスタッフは1つのシステムにアクセスするだけで、あらゆる設定を変更できるようになる。つまり、管理者の数も、コストも、頭痛の種も減らすことができるわけだ。

　「いくつものコンピュータで社員のデータを管理するのは、手間の面でもコストの面でも大変だった。社員たちもいくつものパスワードを覚えたくはないだろう。システムごとにパスワードの役割や権限が違うのも困りものだった」とSafelite Glassの社内アーキテクチャおよびセキュリティ担当ディレクターDean Rivieraは振り返る。

　ID管理は目下、企業の間で人気上昇中のセキュリティテクノロジーだ。人気の理由は何といっても、その効率性にある。このテクノロジーを使えば、これまで数日かかっていた新しいネットワークアカウントの設定がほんの数分で完了するだけでなく、社員は1つのパスワードを覚えるだけで、サーバやプリンターをはじめ、アクセス権が必要なあらゆる機器にアクセスできるようになる。時間とコストを大幅に節減できるので、投資コストは1年で回収できると売り手たちは豪語する。

　最新世代のID管理システムは、基本的に4つの部品で構成されている。認証に必要な個人情報を保持するディレクトリ、データの追加・変更・削除を行う管理システム、アクセスを制御するセキュリティシステム、プライバシー規制に準拠しているかどうかをチェックする監査システムだ。

　「ID管理の目標はいたってシンプルだ。社員1人に対して1つのIDを割り当てること。少なくとも企業システムの場合はそうだ」と市場調査会社IDCのセキュリティアナリストChris Christiansenはいう。

煩雑なプロセスによるコストや潜在リスクの削減に向け、ID管理システムの導入が進んでいる。 アカウント作成が楽 アクセス権をすぐに設定できるので、アカウントが設定できるまでの数日から数週間もの間、社員を遊ばせておく必要がない。 アクセスの集中・自動管理 アカウントの設定を自動化できるということは、裏を返せばネットワーク資源の維持管理にかかる時間減少につながる。したがって、専任のIT担当者の数を減らすことができる。 シングルサインオンの実現 すべての資源に1つのパスワードでアクセスできるようになれば、パスワードの紛失や失念によって再発行が必要になるケースも減るので、サポートコストを削減することができる。 アカウントの停止もスピーディー 退職した社員のアカウントをすぐに無効化できる。これにより、潜在的なセキュリティホールをふさぎ、将来のコスト負担を減らすことができる。 規制準拠の徹底 データ管理やプライバシーに関する規制に準拠しているかどうかを、監査ソフトが自動的にチェックしてくれる。 Source: CNET News.com interviews

　しかし、シンプルさには危険も伴う。集中管理されたシステムは攻撃者にとっても魅力的だ。一度もぐりこんでIDを作ってしまえば、社内のあらゆるデータに自由にアクセスできるようになる。

　「マイカーと自宅と仕事場の鍵を、全部同じにするようなものだ。確かに楽にはなるが、危険でもある。絶対に鍵をなくさない保証があるなら名案かもしれないが」とセキュリティ企業Counterpane Internet Securityの最高技術責任者Bruce Schneierはいう。

　それでも、コスト意識の高い企業はこの新しいテクノロジーを試すだろうと業界筋は見ている。IDCの予測によると、ID管理システムの売り上げは2007年には46億ドルに達すると見込まれている。これは2002年の24億ドルの約2倍に匹敵する数字だ。

　「今はどの企業もコスト削減に必死だ。IDの管理には膨大なコストがかかっているため、企業は効率化の方法を模索している」とID管理ソフトウェアを扱うNetegrityの最高技術責任者Deepak Tanejaはいう。

　新しく制定された法律もID管理の需要を後押しする要因の1つだ。顧客情報の管理を怠った企業を処罰する法律が次々と成立し、たとえば米国企業改革法、HIPAA（医療保険の相互運用性と責任に関する法律）、カリフォルニア州の情報セキュリティ侵害法などは、秘匿情報へのアクセス状況の監視を企業に義務づけている。

　PricewaterhouseCoopersのセキュリティ&プライバシーソリューション実行グループで、企業にセキュリティやID管理システムに関する助言を与えている主席パートナーのJoe Duffyは、ID管理テクノロジーを早期に導入した企業のなかには大手の会計事務所もいると指摘する。

　「ID管理の成長率は群を抜いている。毎年倍々の成長だ。1つのIDで社内のどこにでもアクセスできるのだから画期的だ」とDuffyはいう。

複数のIDはもういらない

　手短にいえば、数年前までばらばらに存在していたIDテクノロジーをまとめて1つにしたのが現在のID管理システムだ。シングルサインオンアプリケーションやディレクトリ管理ソフト、監査・会計パッケージなどのシステムとして別々に提供されてきたIDテクノロジーはもう必要ない。もちろん、こうしたテクノロジーの開発元も今では「ID管理ビジネス」という新しい看板を掲げるようになっている。

　Oblix、Netegrity、Phaos Technology、Blockade SystemsのようなID管理ソフトに特化したメーカーのほか、Computer Associates International、IBM、Microsoft、Novell、RSA Securityといった大手IT企業もそれぞれの製品をひっさげてこの市場に参入している。IBMはID管理技術を持つAccess360やTivoliを買収し、MicrosoftはOblixと提携して自社のActive Directory、Metadirectory Services、Identity Integration Serverといった製品を強化している。

　ネットワークアクセスを管理するサーバに人事システムを統合してしまえば、新規アカウントの設定時間を大幅に短縮することができる。スタンフォード大学が香港科学技術大学、Novellと共同で行った研究によると、調査対象となった企業の約半数は新規ユーザーIDの設定に2日以上を要していたという。2週間以上を要する企業も10％にのぼった。

　「IDがない間は新入社員を遊ばせておくことになる。これほど非生産的なことはない」とIBMのID管理グループのプログラムディレクターJoe Anthonyはいう。IBMは独自のID管理システムを販売しているが、同社の予測によると、平均的な企業では従業員1人あたりの年間サポートコストが400ドルに達しているという。その大半を占めているのはパスワードの紛失、失念、変更に伴う再設定コストだ。先ほどのスタンフォード大学の調査によると、従業員の86％は2つ以上、4分の1以上は4つ以上のパスワードを覚えることを義務づけられているという。

　この数字を見れば、数千人規模の従業員を抱える大企業がID管理テクノロジーに熱い視線を注いでいることも頷けるだろう。職員の離職率が年250％に達することもあるファーストフードチェーンのBurger Kingでは、ID管理テクノロジーを利用して膨大な人事データを管理している。

　ID管理の対象は社内の従業員にとどまらない。General Motorsはこのテクノロジーを使って、契約の入札の際に同社のシステムにログオンする約17,000社の供給業者を管理している。

　「データの格納場所が100あれば、システム管理者は同じデータを100回入力しなければならない。しかも、正確にだ。ミスをしない保証はどこにもない」というのは、Novellのソリューションマーケティングディレクター、Wendy Steinleだ。Steinleは、同社のID管理関連製品であるNsureやexteNdなどのマーケティングを担当している。

　社内でID管理が利用されるようになれば、対象がエンドユーザーに広がるのは時間の問題だ。実際、すでにMicrosoftの.Net Passportサービスでは、ユーザーは個人情報をMicrosoftに預けることを条件に、Passport関連のサイトをシングルサインオンで行き来できるようになっている。一方、Passportに対抗する企業はLiberty Allianceという団体を結成し、Passportに代わる「自由連合的な」IDシステムを開発した。このシステムでは、ユーザーはどのサイトに自分のIDデータを預けるかを選択することができる。いずれにしても、ユーザーが求めているのは1度ログインするだけでさまざまなサイトにアクセスできる仕組みだ。

　「サービスごとにログオンしなおさなければならないようなものは敬遠される。そんなサービスに客は寄りつかないだろう」とMicrosoftのID管理グループ主任プロダクトマネジャーMichael Stephensonはいう。

　とはいえ、企業に財布の口を開かせるのは難しいかもしれない。新しいシステムはえてして、現在のビジネスを動かしているカスタムソフトウェアをお払い箱にするものだからだ。

　「普通、交渉に出てくるのは既存のプロセスを管理している人間だ。相手は現在のシステムにどっぷりつかっているのだから、一筋縄ではいかない」とIBMのAnthonyはいう。

　しかし、このテクノロジーのメリットが理解されるようになれば、こうした抵抗もなくなるとAnthonyたちは見ている。

　Oblixの製品・テクノロジー担当バイスプレジデントのPrakash Ramamurthyによれば、1990年代後半に同社の営業マンがID管理製品を売り込みに行っていた頃は、このテクノロジーの必要性を説くのに最初の45分を費やしていたという。しかし、今はそんな必要はない。

　Ramamurthyはこう述べている。「もはやエヴァンジェリストは必要ない。このテクノロジーの必要性はすでに理解されているからだ。ID管理テクノロジーは今、主流に踊り出ようとしている」