「社内認証基盤」「統合ID管理システム」「全社SSO」などと称する、ユーザー情報とアクセス権限情報を一元的に管理するためのシステム、すなわち「アイデンティティ&アクセス管理(IAM)」の導入は、すでに日本企業においても一般的となった。
しかし、近年になってIAMシステムの見直しを図っている企業が少なくない。というのも従来は法制度や業界規制遵守(コンプライアンス)を目的に導入する企業が多かったのだが、今は、セキュリティ的なリスクを減らすという目的に変わってきている。IDやパスワード権限管理の不備などによるセキュリティインシデントが発生しているのが、その背景にある。
この連載では、IAMが見直されている背景や、IAMを構成する技術の最新動向、ソリューション選択のポイントなどを解説していく。今回は、まずはおさらいをかねて、IAM登場の背景を説明したい。
増え続けるアカウントにうんざり
ユーザー識別とアクセス認可は、ITシステムのあらゆる局面において発生する。例えば、パソコンを使うにしてもIDとパスワードでログインする必要がある。また、Webブラウザーで業務システムにログインし、自身の役割に応じた作業を行うこともあるだろう。ファイルサーバーの特定のフォルダーにアクセスしてファイルを操作するということもある。
これら一連の流れの中において、アクセスを試みるユーザーを認証し、リソースや機能へのアクセス可否の判断を行うための情報が、ユーザー情報とアクセス権限情報である。
ところが、これらの情報をシステムごとに管理すると、管理工数が増大してしまうほか、セキュリティ的なリスクがある(図1)。
エンドユーザーの立場からは、ログインするために必要な情報(クレデンシャル: たとえばログインIDとパスワードの組など)を、利用するシステムの数だけ管理しなくてはならない。管理負荷が増大する。さらに、個別システムごとに管理するのが面倒だからということで、IDとパスワードの使い回しをしたり、安易なパスワードを利用したりするといった運用がされているのが実情ではないだろうか。
運用者の観点から考えると、ユーザー情報とアクセス権限情報を各システムで管理することになるため、パスワードを忘れたエンドユーザーからの問い合わせへの対応に追われかねない。また、一元化できていないと、例えば定期的にユーザー情報やアクセス権限情報を定期的に棚卸しする業務が発生するし、退社した人のアカウントがいつまでも残ってしまうというセキュリティ上のリスクもある。