現状では、多くの企業がシステムごとに別々の認証基盤を持ち、運用し続けている。前回紹介した認証のアウトソーシングサービスは、モバイルなどの特定の分野についてユーザーの利便性を高めるものの、IDの氾らん状態を改善できるわけではない。むしろ、結局は利用シーンごとに別の認証システムを導入し、利用する認証基盤を増やすことにさえなる。ID/パスワード管理の負担が軽くならなければ、管理しきれず、不要なIDが残ってしまうといった問題は本質的に解決できない。

　そこで考えておきたいのが、将来の認証強化に向けての準備。具体的には認証システム同士の連携や、ID統合である（図4-1）。

図4-1●将来的には既存システムの認証との連携が必要になる

ID統合も視野に入る。段階的な取り組みが重要。

[画像のクリックで拡大表示]

ID統合では段階的にシステムを巻き取り

　アプリケーションごとに個別のユーザーID/パスワードの体系、認証システムを持っている場合、これを修正して統合されたID管理システムを構築するには大変な手間とコストがかかる。とはいえ、「将来のシステムを見越して」あるいは「コンプライアンス強化のためトップダウンで」といった理由で、ID統合を進めたいという企業ユーザーもいるだろう。

　ID統合では、統合ID管理ツールを導入し、各アプリケーションの認証システムを収容する。統合ID管理ツールは、複数の異なるアプリケーションに対して、ユーザーID/パスワードの設定、変更、削除などをまとめて管理できるツールだ。

　導入に当たっては、各アプリケーションがどんな形式のユーザーID/パスワード、さらにユーザーの役職などの属性を持っているかを洗い出し、必要なものだけを整理して標準化する「ID関連情報の棚卸し」が必要だ。これには、情報システム部だけでなく他の部署の協力が必要になるケースがあり、手間と時間がかかる。

　しかも企業規模が大きければ大きいほど、対応すべきシステムの数は多くなる。その分、棚卸しなどの手間もかかる。こうした手間やコストを嫌って、ほとんどの企業がID統合に着手できずにいるのが実情である。ID統合を目指すなら、統合ID管理ツールを導入する前から、少しずつ作業を進めておく必要がある。

最初はActive Directory中心がベター

　現実的には優先順位を付けて、できるところから段階的に統合を進めていくことになる（図4-2）。既存システムの状態や構成製品によって統合の進め方は異なるが、多くのユーザーにフィットしやすいのは、Active Directoryを中心に考えることである。「既に社内に導入済みのマイクロソフト製品を中心に進め、さらに自前では認証機能を持たず、Active Directoryに認証を委ねてしまえる製品から優先的に統合していく」（複数のインテグレータ）。

図4-2●ID統合は段階的に進める

社内システムの認証基盤を一度に統一しようとするとかなりのコストと時間がかかる。まずは、優先順位を決めて重要なアプリケーションから統一するか、統一しやすいものから手をつける。

[画像のクリックで拡大表示]

　マイクロソフト製品を使っていないユーザーにはActive Directoryへの統合は非現実的だが、基本的な考え方は共通だ。LDAPを実装した他の製品を採用して、できるだけそこに統合していけばよい。

　シングルサインオン製品を導入する手もある。これはユーザーから見てID/パスワードを一元化し、利便性を向上させるもの。統合ID管理ツールと並行して導入を進めると、ユーザー側でのID/パスワード管理が楽になる。ユーザーのニーズによっては、こちらを先に導入するのも手だろう。