 |
|||||||
|
|
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
Oracleの次世代IT基盤「Fusion Middleware」を探る【第四回】 |
||||||||||||||||
|
||||||||||||||||
|
セキュリティ管理基盤「Oracle Identity Management」
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
この連載ではこれまでFusion Middlewareにおけるデータ統合や、サービスの統合について解説してきた。しかし、どんなに柔軟性や可用性に富んだシステムを構築できたとしても、セキュリティの基盤がしっかりしていなければ、情報の信頼性が失われ、まったく価値のない、あるいは非常に危険なシステムとなってしまう。そこで第4回ではFusion Middlewareのセキュリティ管理基盤「Oracle Identity Management(以下、IdM)」について解説することにする。 IdMは、その名前の示すとおりIdentity、つまりIDを管理する製品である。「情報をいかにして守るか?」というのは、ITを語る上で、切り離すことのできない重大なテーマである。日本オラクルの情報セキュリティ戦略では、システム全体で一貫性のあるセキュリティ環境を構築することが重要だとして、セキュリティ管理基盤をミドルウェアのコンポーネントとして提供している。今回は同社のセキュリティ戦略について、システム事業推進本部 営業推進部 担当シニアマネージャー 北野晴人氏に話を聞いた。 ■ ID管理とは?
そしてID管理とは、社員の入社による新規IDの発行、部署異動による権限設定の変更、退社時のID停止といったIDのライフサイクルを、システム全体で一元的に管理することである。 「一般的にセキュリティは何かを産みだしたり効率化する技術ではないので、システムの安全に対する保険、つまりコストだと考えられています。ところがID管理はセキュリティの技術でありながら、ID管理を効率化して運用コストを削減できる仕組みなのです」(北野氏)。 ITシステムが複雑化すると、1人あたりのユーザーに割り当てられるIDの数が増大する傾向がある。管理しなければならないIDが増えるということは、それだけ管理にかかるコストも増えることでもある。管理者はそれぞれのユーザーに必要な複数のIDを用意し、そのライフサイクルを永続的に管理しなければならない。そのため人事発令がいっせいに発生する時期などは、変更処理などにかかる負担が膨大なものとなってくる。また、従業員の退職時におけるID停止処理に時間がかかってしまうと、そのIDは極めて危険なセキュリティホールにもなり得る。 さらに、ユーザー側でのパスワード管理の問題もある。パスワードは極力他人に推察されない文字列を利用し、長期間同じパスワードは使用しないことが重要だといわれている。しかし、そのセキュリティポリシーを、エンドユーザーに徹底させることは難しい。システム的に簡単な単語のパスワードを禁止したり、パスワードの使用期限を設定することは簡単だが、複数のIDを管理しなければならないユーザーに厳しいポリシーを適用しても、パスワードを忘れてしまい、管理者の負担を増やす結果となってしまう。 これらの問題を解決するのが、IdMのようなID管理のしくみである。IDの作成、設定変更、削除といった管理を集中的におこなえるため、管理者の負担を減らすことができる。さらに、一度認証するだけで複数のサービスを利用できるようにするシングルサインオンを実現すれば、エンドユーザーが管理するIDを1つに集約することもできる。管理するIDの数が物理的に減ることで、エンドユーザーにセキュリティポリシーを徹底させることも容易になる。 ■ 求められるID管理の共通基盤
「法律によって企業に求められるITのセキュリティは、単に情報を保護するしくみだけではありません。『いつ』『だれが』『どこで』『何をやっているのか』といった説明責任も果たせなければならないのです。もちろんこれらの客観的証拠はすぐに提示できるようになっていなければなりません」(北野氏)。 監査ログ収集など、OracleのIT基盤では多くのセキュリティ機能を利用できるが、どれほどセキュリティ機能が充実していても、簡単に別のユーザーに「なりすませる」システムでは、その信頼性は失われてしまう。そこで同社では、システム全体でユーザーの権限を統合的に管理し、認証によるセキュリティ基盤を徹底するために、IdMをFusion Middlewareのコンポーネントとして位置づけることにしたのである。 IdMの中核はディレクトリサーバーの「Oracle Internet Directory(以下、OID)」である。ID、パスワード、電子証明書などユーザーの情報や権限といったID情報を、リポジトリであるOIDで一元的に管理し、これまでサービス(アプリケーション)ごとにおこなっていたIDライフサイクルの管理を、プロビジョニング(情報配信)の機能によって情報を同期させることで一元化する。もちろんディレクトリサーバーとのやりとりで使用されるのは、LDAP(Lightweight Directory Access Protocol)などの標準的なプロトコルである。 さらに、ID情報リポジトリでID情報が一元的に管理されることによって、シングルサインオンの環境を実現できるようになる。シングルサインオンでは、ユーザーがサービスに接続を試みると自動的にシングルサインオンサーバーにリダイレクトされ、ID情報のリポジトリであるOIDに格納されたID情報をもとに認証される。次に利用したいサービスへのリダイレクトが行われ、ユーザーの要求したサービスが開始されるのである。 ■ ホットプラガブルという優位性
しかし、ミドルウェアもOracleの製品であるとは限らない。そこで米Oracleでは、ID管理のソフトウェアベンダである米Oblixを2005年3月に買収し、COREidの名称で展開されているソリューションをIdMに追加した。さらに同年11月にはThor Technologies、OctetStringの2社を買収しOracle Xellerate Identity Provisioning、Oracle Virtual Directoryといった製品をソリューションに加えて機能強化を図っている。 「企業システム全体をひとつのベンダの製品で揃えることは現実的ではありません。既存システムには、すでに動いているミドルウェアがあり、ID情報のリポジトリが存在していることもあります。そのようなシステムに対しても、OracleはCOREid、Xellerate Identity Provisioningなどによってセキュリティの基盤を導入することができるのです」(北野氏)。 これまでIdMでは、独自技術を中心にID管理を実現してきた。しかし、近々日本でも販売が予定されている「COREid Access&Identity」、「COREid Federation」、「Xellerate Identity Provisioning」では、Oracle以外のミドルウェア製品やほかのID情報リポジトリが導入されているシステムであっても、ID管理を実現することができる。 「ホットプラガブルというのは、当社以外のミドルウェアでも動くことをOracle自身がコミットしているということでもあります。逆にほかのベンダでは、Fusion Middleware上でセキュリティ基盤を提供できると言い切ることができるでしょうか」(北野氏)。 つまり、Oracleはセキュリティ技術に関しても、ホットプラガブル構想が重要なポイントだと考えたのだ。 ■ “セキュリティのベース”ID管理をミドルウェアに統合 「いつ」「だれが」「どこで」「なにをやっているのか」といった情報がきちんと管理されていなければ、どれだけ高度なセキュリティ技術を導入しても高い信頼性を得ることはできない。つまりID管理はすべてのセキュリティ技術のベースなのである。OracleではこのID管理の重要性を認識し、ミドルウェアのレベルで統合することが重要だと考えている。またセキュリティに関する機能は、システム的に制約が大きいことから、これまでベンダロックインになりがちな分野でもあった。そこで同社ではOblix、Thor Technologies、OctetStringを買収し、ほかのベンダのミドルウェアでも実績のあるID管理製品を自分たちの製品と統合することにしたのである。これによって、既にある企業の資産、つまりこれまでの投資を無駄にせずに効果的なセキュリティ基盤を導入する方法をユーザーに提示したのである。 最終回となる次回では、ビジネスインテリジェンスに対する取り組みを考察する。 ■ URL 日本オラクル株式会社 http://www.oracle.co.jp/ Oracle Fusion Middleware http://www.oracle.co.jp/products/middleware/
( 北原 静香 )
|
