現状では、多くの企業がシステムごとに別々の認証基盤を持ち、運用し続けている。前回紹介した認証のアウトソーシングサービスは、モバイルなどの特定の分野についてユーザーの利便性を高めるものの、IDの氾らん状態を改善できるわけではない。むしろ、結局は利用シーンごとに別の認証システムを導入し、利用する認証基盤を増やすことにさえなる。ID/パスワード管理の負担が軽くならなければ、管理しきれず、不要なIDが残ってしまうといった問題は本質的に解決できない。
そこで考えておきたいのが、将来の認証強化に向けての準備。具体的には認証システム同士の連携や、ID統合である(図4-1)。
ID統合では段階的にシステムを巻き取り
アプリケーションごとに個別のユーザーID/パスワードの体系、認証システムを持っている場合、これを修正して統合されたID管理システムを構築するには大変な手間とコストがかかる。とはいえ、「将来のシステムを見越して」あるいは「コンプライアンス強化のためトップダウンで」といった理由で、ID統合を進めたいという企業ユーザーもいるだろう。
ID統合では、統合ID管理ツールを導入し、各アプリケーションの認証システムを収容する。統合ID管理ツールは、複数の異なるアプリケーションに対して、ユーザーID/パスワードの設定、変更、削除などをまとめて管理できるツールだ。
導入に当たっては、各アプリケーションがどんな形式のユーザーID/パスワード、さらにユーザーの役職などの属性を持っているかを洗い出し、必要なものだけを整理して標準化する「ID関連情報の棚卸し」が必要だ。これには、情報システム部だけでなく他の部署の協力が必要になるケースがあり、手間と時間がかかる。
しかも企業規模が大きければ大きいほど、対応すべきシステムの数は多くなる。その分、棚卸しなどの手間もかかる。こうした手間やコストを嫌って、ほとんどの企業がID統合に着手できずにいるのが実情である。ID統合を目指すなら、統合ID管理ツールを導入する前から、少しずつ作業を進めておく必要がある。
最初はActive Directory中心がベター
現実的には優先順位を付けて、できるところから段階的に統合を進めていくことになる(図4-2)。既存システムの状態や構成製品によって統合の進め方は異なるが、多くのユーザーにフィットしやすいのは、Active Directoryを中心に考えることである。「既に社内に導入済みのマイクロソフト製品を中心に進め、さらに自前では認証機能を持たず、Active Directoryに認証を委ねてしまえる製品から優先的に統合していく」(複数のインテグレータ)。
マイクロソフト製品を使っていないユーザーにはActive Directoryへの統合は非現実的だが、基本的な考え方は共通だ。LDAPを実装した他の製品を採用して、できるだけそこに統合していけばよい。
シングルサインオン製品を導入する手もある。これはユーザーから見てID/パスワードを一元化し、利便性を向上させるもの。統合ID管理ツールと並行して導入を進めると、ユーザー側でのID/パスワード管理が楽になる。ユーザーのニーズによっては、こちらを先に導入するのも手だろう。
