モバイル、ソーシャル時代におけるID/アクセス管理の在り方「Oracle Identity Management」イベントリポート

クラウドの普及やモバイル端末、ソーシャルメディアの活用など企業ビジネスを取り巻く環境は激変している。社内システムと外部サービスの連携が拡大するにつれ、企業のシステム管理者を悩ます深刻な問題が出てきた。

2012年08月16日 00時00分 公開
[ITmedia]

時代のニーズに対応するID/アクセス管理の新プラットフォーム

 クラウドの普及により、ユーザーが業務システムを利用する場所は社内にとどまらなくなった。また、業務アプリケーションやWebサービスをスマートフォンで利用する機会が格段に増えている。さらにFacebookやTwitterなどのソーシャルメディアは、企業と顧客との双方向のコミュニケーションを実現する重要なチャネルとなった。

 こうした変化によって、企業のシステム管理者を悩ます新たな問題が出てきた。ユーザーのID/パスワード、システムへのアクセスを適切に管理・制御することが難しくなったのだ。ユーザーはシステムやサービスにアクセスするたびに、ユーザー認証に必要なIDやパスワードの入力を求められ、システム管理者は社内システムと連携サービスを含めて管理対象が広がり、作業が煩雑化している。また、社外からのアクセスはセキュリティリスクにもつながる。この問題は社内システムと外部サービスの連携が拡大するほどにより深刻化するだろう。

 そんな中、日本オラクルは2012年7月、ID/アクセス管理の最新版「Oracle Identity Management 11g Release 2」を発表した。クラウド環境やモバイル端末、ソーシャルメディアとの親和性をより意識したこの新プラットフォームは、セキュアなID/アクセス管理を実現するために多くの新機能の追加や機能強化が行われている。2012年秋に提供開始予定の同製品について、7月24日に東京都内でローンチイベントが開催された。本稿では、このイベントを基にOracle Identity Management 11g Release 2の詳細を紹介していこう。

Oracle Identity Management 11g Release 2を構成する3つの柱

 「62%の企業が顧客とのコンタクトにSNSの活用を検討。2014年までに90%の企業がモバイル端末向けアプリの提供を考えている」

photo 米Oracle セキュリティ&アイデンティティ管理製品 開発担当バイスプレジデント、アミット・ジャスジャ氏

 イベントに登壇した米Oracleのアミット・ジャスジャ氏は、ソーシャルメディアに対する企業ニーズをこう分析する。また「日本企業はインターネットの活用に先駆的に取り組んできたが、コンプライアンスやセキュリティの面からモバイル端末の活用に出遅れている」と指摘。ジャスジャ氏は「Oracle Identity Management 11g Release 2ではクラウドやモバイル端末、ソーシャルメディアなどの外部環境の変化に対応し、社内システムおよび連携システムのID管理を統合することで、利便性の向上とセキュリティの確保を両立できる」と述べた。

 Oracleは「Oracle Fusion Middleware」を代表とするミドルウェア製品に10年以上前から取り組んできた。その中核的な機能がID管理を担うOracle Identity Managerだ。Oracle Identity Managerは、ユーザーアカウントが複数システムに散在する環境において、ポリシーに基づいたアカウント情報の配布や更新、削除などのIDライフサイクル管理を自動化する。

 ジャスジャ氏によると、最新版となるOracle Identity Management 11g Release 2では「ユーザーエクスペリエンスの単純化」「クラウドやモバイル、ソーシャルへの対応」「拡張性」「明快なアップグレードパス」などにこだわったという。

 Oracle Identity Management 11g Release 2は、主に「Oracle Identity Governance」「Oracle Access Management」「Oracle Directory Services」という3つのカテゴリーに大別される。

photo Oracle Identity Management 11g Release 2の構成

 Oracle Identity Governanceは、IDのライフサイクルを可視化し、ショッピングカート形式での権限追加や削除などが可能なユーザーインタフェース(UI)を提供する。Oracle Access Managementは、複数のソーシャルメディアへのシングルサインオンのサポートなど、エンドユーザーの操作性を意識したポリシー統合と制御を実現する。

 そして、Oracle Directory ServicesはLDAPなどのディレクトリサービスとして機能し、新たに近隣ベース検索と仮想属性が追加された。例えば、位置情報サービスによるディレクトリの頻繁なアップデートに対応できる。ジャスジャ氏は、多くの新機能が追加された前者2つについて「シンプルな構成で導入しやすく、開発も容易になった」として、それぞれの詳細を説明した。

ショッピングカート形式で権限を簡単追加

 アカウント管理機能で最も大きく変更された点は、ショッピングカート形式のUIだ。多くの企業は多数のアプリケーションで利用する数千〜数万規模のアカウントを運用しており、1人のユーザーが複数のアカウントを持っていることがほとんどだ。アプリケーションと権限のひも付けはもちろん、ロールとの関係性も複雑で割り当てなどが難しい。

 そこで、Oracle Identity Governanceでは「Amazonで商品を購入するのが簡単なのは、カタログを見ながらショッピングカートに追加できるから」という着想から生まれたというUIを提供する。自分のロールで必要なアプリを検索し、その中で自分に適した権限をクリックしながらカートへ追加、承認者を特定してから購入ボタンならぬ申請ボタンで承認手続きを行う。「IT部門だけが理解できるID管理ではなく、誰もが分かるインタフェースを作った」(ジャスジャ氏)。

photo Oracle Identity Management 11g Release 2のUI《クリックで拡大》

 また、管理画面のカスタマイズがしやすくなった。これまでのカスタマイズではコーディングが必要となり、またパッチのアップグレード時には全モジュールのテストが必要だった。Oracle Identity Governanceでは「カスタマイズ」というリンクをクリックするだけで、全UIのカスタマイズを一括適用できる。

特権アカウント管理の問題を解決する新機能

 特権アカウント管理については、ジャスジャ氏は「ほとんどの企業では、高リスクの特権アカウントのパスワードを複数の担当者が共有している」と指摘。あるメンバーが勝手に変更したり、漏えいしたりしても特定しづらい状況にある。この問題について、Oracle Identity Management 11g Release 2では、新機能「Oracle Privileged Account Manager」を追加した。パスワードをボルト(格納庫)に保管し、共有アカウントからログイン承認されたユーザーにのみパスワードを教える仕組みを構築している。パスワードは任意の時間単位で変更され、「インフラやワークフロー、UIなどを単一化することでリスク軽減やコンプライアンス向上が担保される」(ジャスジャ氏)。

ソーシャルメディアを含めた統合的なID/アクセス管理を実現

 アクセス管理で最も強化されたのは、モバイル端末やソーシャルメディアとの統合および相互運用性だ。「ソーシャルメディアを利用する企業は増えているが、情報取得のためにページを開くと、メディアごとにそれぞれでアカウント入力を促す画面が表示される。ユーザーにとっては面倒な作業で、その画面を見た瞬間にページを閉じる可能性が高い」。ジャスジャ氏はこう述べて、一度ソーシャルメディアにログインしたら、その後はアクセス許可をするだけで他のメディアにも自動ログインできる基盤を構築したと説明する。

 Oracle Identity Management 11g Release 2では、フェデレーションやWebアクセス制御などに加えて「Oracle Mobile and Social」機能を追加。これまで提供していた業務アプリケーションやWebサービスに対するシングルサインオン機能だけでなく、REST APIをサポートすることでモバイル端末向けアプリにおけるシングルサインオンを可能にしている。

photo シングルサインオンの例。初回ログイン時には、PINコードなどの二要素認証を行うことでセキュリティを確保

 イベントでは、iPhoneを活用したソーシャルメディアのシングルサインオンのデモを実施。iPhoneアプリでニュースサイトの記事を読み、その内容をTwitterやFacebookなどに投稿したり、動画配信サービスにおける購入プロセスを簡素化できるなど、スムーズなシングルサインオンを実施できることを紹介した。

全世界で30社が試験導入を開始

 既に全世界で30社がOracle Identity Management 11g Release 2を試験導入している。Oracle自身も同製品を活用して、全世界の従業員や取引先、顧客などを合わせて1400万人以上のID情報を統合管理したことで2年間のTCOを1億ドル削減している。また、British Telecomでは、開発の容易性やシステムの拡張性の高さ、シンプルなID管理が可能になったと評価されているという。日本国内ではマツダ、千代田化工建設などが既にOracle Identity Management 11gを利用しており、今後導入する企業が増えていくと期待されている。

 同製品ではアップグレードパスを用意しており、サン/オラクルの既存ユーザーへのサポートも万全だ。「継続的に利用でき、既存投資を有効活用しながら新たな課題へ柔軟に対応できる」(ジャスジャ氏)

 クラウドやモバイル端末、ソーシャルメディアなどでますます複雑化する環境の変化を踏まえて、自社システムの見直しを検討してみてはいかがだろうか。Oracle Identity Management 11g Release 2は、そうした時代のニーズに対応するID/アクセス管理の基盤の最有力候補だといえるだろう。

この記事に興味のある方におすすめのホワイトペーパー

企業や公的機関の情報セキュリティ責任者や担当者は、顕在化した新たな脅威にどのように立ち向かえばよいのだろう。標的型攻撃による衝撃的な事実が次々と明るみに出ている中、不正アクセスや機密情報漏えいなどへの対策を急務とする方に向けた指南書の最新版。

ホワイトペーパーのダウンロードページへ (TechTargetジャパン)



千代田化工建設では、アイデンティティーID管理ソリューションスイート「Oracle Identity Management」を用いて、約5000人の従業員を対象とするID管理システムを構築。プロジェクト単位での活動が多く、組織変更が頻繁な会社が統合ID管理を実現した方法とは?

ホワイトペーパーのダウンロードページへ (TechTargetジャパン)


提供:日本オラクル株式会社
アイティメディア営業企画/制作:TechTarget編集部