ID管理/アクセス管理システムの導入ステップ PART2:Column
中堅・中小企業でのID管理/アクセス管理システムの導入ステップを解説する2回シリーズのPART2として、架空のSMBを例にして、実装段階について説明する。PART1はこちら。
PART1では、中堅・中小企業(SMB)でアクセス管理システムを導入する際の3つのステップ――評価、計画、実装/プロビジョニング――を紹介した。このPART2では、従業員800人で米国の内外に6つのオフィスを持つ架空の企業を例に、製品の選択から実装について説明しよう。
このSMBのネットワークの主要部分は、Windows Server 2003で運用されている。その中にはすべてのファイルサーバ、データベースサーバ、電子メールシステム、そのほかのネットワークアプリケーションが含まれる。社員はデスクトップPCかノートPCを持っており、両方を持つことはない。デスクトップPCとノートPCではOSとしてWindows XP Professionalが採用されている。ノートPCを使っているのは外回りの営業担当者、数人の経営幹部、少数の在宅勤務者だ。
このSMBでは、どんなアクセス管理製品を選択すべきだろうか?
PART1では、中堅・中小企業(SMB)でアクセス管理システムを導入する際の3つのステップ――評価、計画、実装/プロビジョニング――を紹介し、評価と計画の段階で何を行うべきか、これらのステップに続いて製品を選択し、実装に入るにあたって何を考慮すべきかを説明した。
PART2では架空のSMBを例にして、実装段階について説明しよう。
このSMBは従業員が800人で、6つのオフィスを持つ。オフィスは4つが米国内、1つがロンドン、1つが香港にある。これらのオフィスはすべて自社で所有、運営している。代理店や子会社、現地合弁会社は持っていない。これは重要なポイントだ。オフィスがすべて1社で管理されていれば、大抵は同じネットワークが使用されている。そうであれば選択が容易になる。
一部のオフィスは特定の業務に特化している。香港のオフィスは、中国での製造の管理を行っており、ロンドンのオフィスは、伸び始めたばかりの欧州販売を担当している。米国のオフィスはすべての業務を行っている。
このSMBのネットワークの主要部分は、Windows Server 2003で運用されている。その中にはすべてのファイルサーバ、データベースサーバ、電子メールシステム、そのほかのネットワークアプリケーションが含まれる。社員はデスクトップPCかノートPCを持っており、両方を持つことはない。デスクトップPCとノートPCではOSとしてWindows XP Professionalが採用されている。ノートPCを使っているのは外回りの営業担当者、数人の経営幹部、少数の在宅勤務者だ。
従業員は皆、担当業務に応じて電子メールなど3〜4種類のアプリケーションを利用している。各アプリケーションの利用には、それぞれ一意のIDとパスワードが必要だ。
ネットワーク担当スタッフはこうした多様な要素を含む環境の運用管理を行っており、その業務負担は重いものの、情報セキュリティ業務も兼務している。彼らはユーザーIDとパスワードのプロビジョニングを行っており、アクセス制御システムの実装、展開のスキルと経験を持っている。
製品選択の指針
このSMBでは、次のようなアクセス管理製品を選択すべきだ。
- 既存スタッフが運用管理することができ、スタッフを増やさずに済む
- 従業員の増加に対応できる拡張性を持つ
- 柔軟性が高く、新しい認証システムを追加できる
内勤従業員向けシステムの推奨実装プラン
一般的なオフィスワークを行う内勤従業員については、Active Directory(AD)を全面的に採用すると良い。社内ネットワークがWindows Server 2003で運用されているからだ。ADは同OSに搭載されており、Windows 2000以来WindowsサーバOSの一部として利用されてきた実績がある。ADは、社内のさまざまな、場合によっては利害が反するユーザーのグループのアクセスを分離できる柔軟性を備えている。また、数百万人のユーザーをサポートするように拡張できるため、企業規模の拡大にも対応できる。さらに、スマートカードやバイオメトリクスといったほかの認証システムを追加したとしても、円滑に連携する。
だが、ADを利用するだけでは対処できない問題が2つある。1つはリモートユーザーのサポート、もう1つは、ユーザーが異なるシステムにログインするたびに、それぞれに対応したユーザーIDとパスワードを入力しなければならないことだ。
リモートユーザー向けシステムの推奨実装プラン
リモートユーザーについては、SSL VPNの採用を検討すべきだ。SSL VPNを利用すれば、リモートユーザーは一般的なWebブラウザから社内ネットワークにアクセスできるようになる。つまり、彼らはどこからでもアクセスできるということだ。ホテルでも、顧客サイトでも、空港のラウンジでも、ノートPCから社内ネットワークを使って仕事をすることができる。内勤の従業員がたまに出張した場合でも、出先でWebブラウザからSSL VPNを利用できる。
SSL VPNでは、IPsec VPNの場合と同様にハードウェアトークンは必要なく、しかもコストはIPsec VPNよりも大幅に安い。人気のあるSSL VPN製品を販売しているベンダーとしてアベンテイルがある。同社の製品は、社内ネットワークにインストールされて安全なSSL VPN Webサーバとして機能する単体のアプライアンスだ。
だが、SSL VPNには1つだけ問題点がある。基本的にはWebアプリケーションであることだ。このため、ほかのWebアプリケーションと同じ長所と短所がある。Webアプリケーションは適切にセキュリティを確保する必要があり、ユーザーがノートPCや端末から離れて一定時間以上アイドル状態になったセッションは、タイムアウトしなければならない。さもないと、悪意あるユーザーが開いたままのブラウザウィンドウからSSL VPN経由で社内ネットワークにやすやすと入り込んでしまう恐れがある。
シングルサインオン
一方、異なるシステムにログインする際の問題を解決するためには、インプリベータが提供する手軽なシングルサインオン(SSO)ソリューションを導入するのが効果的だ。アベンテイルのSSL VPN製品と同様に、インプリベータのOneSignは、ネットワークにインストールして使う専用アプライアンスだ。OneSignはほかのSSOソリューションとは異なり、ただでさえ高負荷がかかるサーバで複雑なスクリプトを実行するという仕組みは取っていない。インストールが容易で保守の負担も少ないため、OneSignはSMB市場に向いている。また、リモートで管理でき、新しいユーザーや認証デバイスの追加に応じて拡張できる。
これらのソリューションにより、上記の架空のSMBは、全オフィスのさまざまなニーズに対応した的確なアクセス管理戦略を実装できる。そして情報セキュリティ業務とネットワーク業務を兼務するスタッフは、すべてを効率的に処理することが可能になる。
本稿筆者のジョエル・ドゥービン氏は、CISSP(公認情報システムセキュリティプロフェッショナル)資格を持ち、シカゴに本拠を置く独立系コンピュータセキュリティコンサルタント。Webとアプリケーションのセキュリティを専門とし、セキュリティ分野のMicrosoft MVPを受賞している。アクセス管理システムを導入するコツを含む『The Little Black Book of Computer Security』の著者でもある。
(この記事は2006年3月16日に掲載されたものを翻訳しました。)
Copyright © ITmedia, Inc. All Rights Reserved.