「コンプライアンス(法令順守)の観点からは,ユーザーのID情報やアクセス管理を統合するだけでは不十分。ID管理のプロセスを統合して自動化する『プロビジョニング』が不可欠」。日本オラクルのシステム事業推進本部 営業推進部 セキュリティ&コンプライアンス製品担当 担当シニアマネージャの北野晴人氏は4月18日,同社の戦略説明会において,プロビジョニングの重要性を解説した。
同氏によると,ユーザーIDや権限情報を統合する「ID管理製品」は以前から市場に出ているが,日本版SOX法などに対応するためには,IDそのものを統合するだけではなく,IDを取り扱うプロセス(発行/運用/廃棄など)を一元管理して自動化する必要があるという。「監査に備えて,『誰がそのIDを発行したのか』といったID管理のログを統合し,安全に保存する仕組みも必要。ログのレポーティング機能も重要だ」(北野氏)。
IDの管理プロセスを統合・自動化する製品は,プロビジョニング製品(プロビジョニング・サーバー)などと呼ばれる。ただ,一口に「プロビジョニング・サーバー」といっても,製品によって実現できる機能や特徴が異なるので注意が必要だという。「製品の中には,IDやパスワードしか各アプリケーションに配信できないものがある。そういった製品では,各アプリケーションがユーザーに適切な権限を与えるために必要な属性情報(所属部署や役職など)を一元管理および配信できない」(北野氏)。
プロビジョニング・サーバーを導入する際には,既存のアプリケーションと連携させるためのプログラム(「コネクタ」などと呼ぶ)も重要なポイントになるという。「製品によっては,コネクタを自分たちで作りこむ必要がある。コネクタの作りこみには工数がかかるので,そのコストが,プロビジョニング・サーバー自体の値段を上回ることもある」(北野氏)。既存のアプリケーションに対応したコネクタを用意しているかどうか,コネクタの開発ツールを用意しているかどうかが重要になるという。
加えて,各アプリケーションへのID情報の配信が途中で失敗した場合の処理も確認しておく必要があるとする。ネットワークやアプリケーションの一時的な不具合で最新のID情報が配信できない場合には,ID情報の不整合が発生するからだ。「この点を考慮しているプロビジョニング・サーバーは少ない」(北野氏)。
