報告:サンのアイデンティティ管理ソリューションセミナー
先週の金曜に「アイデンティティ管理ソリューション活用セミナー」が開催され、合計 47 名様!にご参加いただきました。ありがとうございます!
(今回は募集期間がお盆休みと重なってしまってたということもあり、申込をしようと思ったら既に満席だった・・というお声もいただきました。申し訳ありません。 IdMセミナー第二回も考えていきたいと思います。)
では簡単にご報告を。
最初の工藤さんのセッションでは、従来の「認証基盤」という概念は、今「アイデンティティ管理基盤」に進化しているという内容からはじまり、サンのアイデンティティ管理/監査ソリューションの概要を紹介。
確かに、アイデンティティ管理、と言うと「シングルサインオンでしょ?」という反応はけっこう多かったりします。
アンケートで 「工藤さんの Blog を読ませて頂いております」 なんてコメントもいただいたりして・・ (ありがとうございます)
二番目の守屋さんのセッションでは、OS のアカウント管理の話と Sun Java System Identity Auditor の製品説明。そして「アカウントの貸し出し」 を紹介するデモがありました。
デモの大まかな内容は、こんな感じ。
● 正常フロー
- 会計システムへの root 権限が必要な経理部の社員がいる
- 経理部社員が Identity Manager で、会計システムに対してアカウント名 root の使用を 9/1 - 9/4 に限定して申請
- Identity Manager から会計システム管理者に申請情報がメールで送られる
- 会計システム管理者は、経理部社員ということを確認し、Identity Manager で承認する
- 経理部社員に会計システムのアカウントが貸し出される
- 経理部社員は Identity Manager で会計システムのアカウントの PW を変更する
- Identity Manager から PW 変更情報が会計システムのアカウントに伝播される
- 経理部社員は新しい PW で会計システムに telnet でログインする
ってことで、アカウントを期限限定で使用可能にする、なんていうこともできちゃいます。こういったアクセス権限の有効化、無効化を手動にしていると、どうしても期限を過ぎたときに無効化することを忘れてしまいがちなんですよね・・・ 自動的に権限付与と権限剥奪をしてくれるとラクですね。
さて、次は承認者が人為的なミスをしてしまった場合です。以下では、本来なら経理部社員しかアクセス権を付与してはいけないのに、誤って人事部社員にアクセス権を貸し出してしまったという例をみてみます。
●誤った処理をした場合
- あらかじめ、Identity Auditor に「会計システムに経理部以外の社員のアカウントがあった場合は違反」 というポリシーを設定しておく。
- 人事部の社員が Identity Manager で、会計システムに対してアカウント名 root の使用を 9/1 - 9/4 に限定して申請
- Identity Manager から会計システム管理者に申請情報がメールで送られる
- 会計システム管理者が、人事部社員なのを経理部社員と間違えて、Identity Manager で承認する
- 定期的にアクセス権設定に関する違反がないかどうかチェックしていた Identity Auditor が「会計システムに経理部以外の社員のアカウントがあった場合は違反」 というポリシーに違反するということを検知
- ポリシー違反の詳細が経理部部長に報告される
- 経理部部長は違反内容を確認し、会計システム管理者に是正処置を依頼する (自動的に是正を行うことも可能)
ということで、もし人為的なミスがあっても Identity Auditor でポリシー違反を検出してくれるんですね~
このような仕組みを備えておくことは、 「正しくアクセス権が設定されている、ということを証明する」 ことになります。実は日本版 SOX 法では、まさにこのように「違反がないことの証明」をしないといけなかったりするのです。これを人手だけで証明、なんて気の遠くなる作業ですよね・・ ふぅ。
最後の工藤さんのセッションでは SAML と SPML という二つのアイデンティティ連携の標準化仕様についてのお話でした。最近は人事関連やベネフィット関連のアウトソースが急激に進んでいるので、Federated Identity という概念は今後のビジネスのキーになっていきますね。
さて、実はこのセミナーのタイトルは「Sun Java ソフトウェア製品紹介シリーズ」。つまり、続きモノなのです。
次のセミナーも近日登録開始しますので、お楽しみに・・
