IDの一元管理につきまして
資料NO.7
ITライブラリーより (pdf 100冊)
http://www.geocities.jp/ittaizen/itlib1/
一般社団法人 情報処理学会
腰山 信一
正会員
本資料の関連資料は下記をクリックして
PDF一覧からお入り下さい。
ITライブラリー (pdf 100冊)
http://www.geocities.jp/ittaizen/itlib1/
アカウント/アイデンティティ管理における課題
認証
所属ごとの情報
シングルサインオン
特権ID
個人情報保護
パスワードの管理・自動化
リモートアクセス
侵入検知
コンテンツの集約
監査
アカウント/アイデンティティ管理の課題
Solaris管理者 Solaris グループウエ アのDB Webアプリ ケーション アカウント情報の分散 アカウント関連の開 発はシステム個別 Oracle 基幹システ ムのDB Windows 管理者 アカウント管理はシ ステム単位 基幹システム 管理者 Windows Server 2012 R2アカウントの登録・削除における課題
エンド・ユーザー
人
事
システム
セキュリティ
管理部門
社員情 報の登 録・削除 システム 部門へ E-mail 担当者不在による タイムラグ発生 アドレス、電話 番号等の情報 の登録・削除 ID取得 各管理者にIDを 送信 E-mail アカウントの登 録・削除 (Exchange等 のメールシステ ムへ) アカウントの 登録・削除 Directory 人事へ 通達 アカウントの登録・削 除(ヘルプ・デスク) アカウント 情報受信 多数のE-mail でのやりとりが 発生 セキュリティ 管理部門へ のE-mail アクウント 情報 受信 社員雇 用・退職 の連絡 セキュリティポ リシー 監査プ ロセスの欠落!
?
!
CRM Windows 基幹シス テム Webアプ リケー ション グループ ウエアアカウントデータベースの相互接続性が低く、各々が独立
アカウント登録・削除のあるべき姿
人
事
システム
セキュリ
ティ管理部
門
社員雇 用・退職 の連絡 社員情 報の確 認・承認 人事システ ムへの社員 情報の登 録・削除 ログの自動 作成 ログの自動 作成 アカウン トの登 録・削除タイムリーな
アカウント一括設
定
→整合性の 確
保
アドレス、電話 番号等の情報 の登録・削除 アカウントの登 録・削除 (Exchange等 のメールシステ ムへ) アカウントの 登録・削除 Directory ログの自動 作成アイデンティティ統合のメリット 1
アカウントデータベースの相互接続性が低く、各々が独立
データ管理の冗長性が発生
アカウント情報の管理負荷が年々増加してきている
認証情報の一元化による、管理コスト削減と利用ユーザー
の利便性向上
アクセスポリシーの迅速な施行(ポリシー管理の迅速化)
アカウント同期処理の自動化による人的ミスの排除
アイデンティティ統合化のメリット 2
シングルサインオン、ポータルサービスの実現基盤
Application Application Application Application Application Application Application
シングルサインオン、ポータルサービスの実現基盤へ
統合前の主要課題
アカウント統合事例
(3)複数の電話帳情報
■複数の電話帳を管理
■目的の情報(従業員の所在、内線番号など)に辿り着くまでに時間を要した
(2)従業員の勤務実態に合わせたアカウント管理
■グループ会社間での異動が多く、アカウント/メールアドレスの再発行手続きに
時間を要した
■契約終了後の派遣社員のアカウントが年1回のアカウント情報の棚卸作業まで残ったまま
(1)アカウント情報が散在
■システム毎にアカウントを管理しているため、管理者の運用負荷、コストが上昇
■セキュリティポリシーの遵守率が低下
■複数のアカウント申請プロセスでユーザが混乱
■アカウントの一元管理による管理負荷軽減およびポリシーの一元管理
によるセキュリティの向上
■アカウント申請の集約化によるユーザー利便性の向上と業務集中に
よる経済性効果
アイデンティティの導入効果
■電話帳の一元化による管理コスト削減および検索の簡素化
■異動に応じたアカウント自動連携の実現
■アカウント連携に連動した発行処理のシステム化で手続き時間の短縮
■アカウント自動連携により異動・削除のリアルタイム処理
なぜ、アカウントIDの管理が求められるのか?
内部統制関連ITインフラの主な欠陥
保護されていないOS上で会計のアプリケーションやポータルが動作している。
会計アプリケーションを支えているデータベースが保護されていない。
開発者が実システムにアクセスしている。
システムにおいて不要な過度のアクセス権がある。
カウントの付与・削除のプロセスが不完全である。
G/L(総勘定元帳) アプリケーション内での記帳期間が制限されていない。
プログラムやテーブル、インターフェースなどがセキュアでない。
システムに関連する文書と実際のプロセスの間に不整合がある。
マニュアルのプロセスが存在しない、または文書化されていない。
なぜ、アカウントIDの管理が求められるのか?
コンプライアンスにおいては例外なく、以下の質問に対する解答が求められます
誰が、何に、いつ、アクセスしたか?
誰が、そのアクセスを認めたか?
アクセスを付与し、削除する管理ポリシーは何か?
これらのポリシーの適用・実施方法は文書化されているか?
ID管理の必要性
社員
メールシステム
部門ポータル
製品DB
アプリケーション
ユーザーIDリスト
認可/ACL(Access Control List)
アプリケーション
ユーザーIDリスト
認可/ACL(Access Control List)
アプリケーション
ユーザーIDリスト
コンプライアンス担当
アクセスログ、
監査ログ
分析
アクセスログ、
監査ログ
アクセスログ、
監査ログ
社員
社員
協力会社
製品本部
営業本部
ID情報の管理
アクセスコントロール
IDライフサイクル管理
–ユーザID、権限ロールの管理
–ユーザIDの自動配信
–セルフサービス
–シングル・サインオン
–ID連携(フェデレーション)
–Webアクセスコントロール
–Webサービスセキュリティ
シングル・サインオン
企業ポータル
DataWarehouseへの実現基盤
バーチャル・ディレクトリ
–
ID管理データベース
ディレクトリ・サーバー
ID情報の物理的な統合が困難なら、ID情報は分散配置したまま、
論理的に単一のID情報管理サービスを提供してはどうか。
これを可能にするのがメタディレクトリです。
ディレクトリーサービスとは複数のサーバーに分散する,利用者(ユーザー,グルー
プ),ファイルへのアクセス権,周辺機器の使用権利などを,あたかも単一のサー
バーで設定するように見せかけること。または,そのシステム。このシステムが動作
するサーバーをディレクトリーサーバーと呼びます。
メタ・ディレクトリ
企業活動全体におけるID管理
外部からのアクセス 内部からのアクセス 顧客 パートナー 社員IDおよびアクセス管理基盤
監査および レポート アクセス管理 認証 認可 ID連携 ID情報管理 権限の委任管理 セルフサービスによる ID申請と管理 ユーザーとグループの 管理 モニタリングおよ び管理ツール 基幹の業務アプリケーション 支援システムおよびデータベース UNIXサーバー Window サーバー 派遣社員企業活動全体におけるID管理 Ⅱ
パートナー 顧客 社員 入口制御 入口制御 アプリケーショ ンサービス利 用の制御 アプリケーショ ンサービス利 用の制御 アプリケーショ ンサービス利 用の制御 ID管理ポリ シー(アカウン トID、ロール、 パスワードの 統制) 権限管理ポリ シー(権限委 託の規則) アクセス・ポリ シー(リソー ス・アクセスの 管理および制 御) 基幹のポリシーとの連携 監査ポリシー(適 正にシステムが利 用されていること を確認) 管理責任者 正社員DB 非正社員DB 信頼できる 情報利用 抑制可能かつ、全体を掌握し た設定管理および監視 入口制御セキュリティ面からのID管理
抑止策
防御策
不必要なIDを発生させない
不必要な権限を与えない
確実な利用者の識別
適正なIDと権限に基づいてアクセス範囲を制限
アクセス可能なリソースを限定する
アクセス可能なデータを限定する
検知/否認防止策
運用策
運用方針に違反する行為を見つけ出す
違反の事前検出(ログ分析)
違反の事後検出(監査証跡の取得)
定期的にIDや権限の付与状態を確認する
IDや権限変更の操作をシステム化する(人為的
不正の排除)
ネットワーク サービス ユーザー ID 管理 ユーザー ID 管理 業務 アプリ
法令順守
運用コスト削減
セキュリティ対策
投資対効果の
説明責任
統合されていない IT 環境と
社会的圧力
Active Directory
情報共有サービス
セキュリティ
ユーザーID管理
Microsoft Identity Integration
Server 2008
統合管理
関連
システム
統合された認証 / 認可 システム基盤を
ベースとしたIT環境(Microsoft製品の場合)
クライアント
OS
クライアント
OS
クライアント
OS
ネットワークサービス
業務
アプリ
業務
アプリ
業務
アプリ
認証 / 認可システム基盤を整備する意義
ITインフラの整備により、変化にすばやく対応し、スケールメリットを
業務処理統制、全般統制のいずれにおいても、アイデンティティ
管理は重要な位置付けを占めています。
B/S
P/L
資金
注記
財務諸表における主要な記載内容
ビジネスプロセス/取引のクラス
プロセス
A
プロセス
B
プロセス
C
財務アプリケーション
アプリ
A
アプリ
B
アプリ
C
ITインフラストラクチャーサービス
データベース
オペレーティングシステム
ネットワーク
全般統制
・プログラム開発
・プログラム変更
・オペレーション
・アクセスコントロール
・統制環境
業務処理統制
・網羅性
・正確性
・妥当性
・承認
・職務の分離
内部統制におけるアイデンティティ管理の位置付け
運用管理費の比率を抑え、IT投資におけるビジネスに直結
するIT投資の割合を増やすことが求められています
50%
50%
新規投資
58%
42%
64%
36%
2005年
2006年
?
(日本情報システムユー ザー協会の調査結果よ り)競争優位獲得のため
戦略的な
IT投資
業務効率化のための
定常的な
IT投資
運用管理費低減の施策
例① アカウント統合
例② オープンソースの導入
例③ サーバー統合
保守運用
運用費用削減要求の高まり
サービスレベル向上を実現するために、情報システム部門
には継続的な運用効率のアップが必須になってきています。
ユーザー
SLA
(サービスレベル合意書)
情報システム部門
SLAに沿った運用に
SLA達成のための
SLAに基づくシステム運用への期待
アカウント管理サービス 1. 入社当日より全ての システムが利用可能で あること。 2. 利用者は、各自で パスワードの変更は行な えること。•IDの共有
– 不特定者のアクセス
– セキュリティ被害時の不
透明性
•未使用ID
– 退職社員のID
– システム構築委託者ID
•監査
– アクセス履歴
– ID存在履歴
•パスワード管理
– パスワード忘れ
– パスワードメモ
– パスワードリセット
•ログイン手段
– ばらばらなログイン
– システム毎にログイン
•ID登録遅延
– ログインできない
– いつまでも使えない
生産性・運用コスト
セキュリティ
アカウント管理の課題(まとめ)
派遣社員のアカウント 出向社員のアカウント 関連会社のアカウント 検討すべき 課題 アカウント 連携対象のアプリケーション 連携対象のOS 連携対象のアカウント 連携対象のRDBMS 氏名、 所属部署など アカウント+人事連携
統合アカウント
製造部門 営業部門 経理部門 各アプリケーション OSのアカウント情報統合アカウントと一元管理
氏名、 所属部署など 氏名、 所属部署など 投入情報
アイデンティティマネジメントソリューションは、認証認可管理情報の統合を行うため、
セキュリティ管理ポイントを劇的に減少させることが可能。
認証
認可
ID ID ID ID ID ID ACL ACL ACL ACL ACL ACLID
ACL
Identity
ID/ACL(Access Control List)
を統合管理
全システムにおいて、ユーザーが
「一人の人」として認識
= 「アイデンティティ」
ユーザー
アイデンティティ統合
運用効率向上の為のセキュリティ管理ポイントの削減
社員
派遣社員
パートナー
顧客
CRM Windows 基幹シス テム Webアプ グループディレクトリ管理者
