一週間ほど前になりますが、Sarbanes-Oxley Compliance Journal に掲載されていた、SOX と SOA、そして Identity Management に関する記事がなかなか興味深いです。

While SOA makes IT-enabled business processes more efficient, it complicates identity and access management. This is an issue for companies that must comply with financial controls and reporting regulations required by the Sarbanes-Oxley Act (SOX) of 2002.
Making Sure the SOX on your SOA Match:　2005-10-28 18:00:00.0 CDT
SOA is transforming IT
By Dr. Toufic Boubez and Jonathan “Jothy” Rosenberg, Ph.D.

SOA は IT によってビジネス・プロセスを改善するけど、アイデンティティ＆アクセス管理を複雑化する。これは、SOX 法の要求 (財務情報のコントロール) に対処しなくてはいけない企業にとっては問題である。

となると、どんなことが発生するか；

This means businesses need identity and access infrastructure that can both control and validate human-machine interactions, as well as SOA-based machine-to-machine interactions.

企業は、人とマシン (Server, Service, Application component) 間の処理だけではなく、SOA で発生するマシン (consumer) とマシン (provider) の処理に対しても統制を行えるアイデンティティ＆アクセス管理基盤が必要とされる。

An example of a SOA based business service 401k delivery. A 401k provider will push the functionality in their consumer-facing application in the form of a Web service out to their employer-customers. This allows that employer to treat the Web services interface as an API allowing them to integrate that service into their internal benefits portal. Essentially, the 401k provider has “pushed” the 401k functionality inside the “internal” application of their employer-customer inside their corporate environment. Employees can access all benefits information including their 401k through this portal even though only the regulated 401k provider can actually handle investment requests.

例えば、SOA をベースとした 401k のサービス・プロバイダーがあったとする。このプロバイダーは、企業カスタマーに対して、社内の福利厚生ポータルと統合可能する Web サービス API を提供している。これにより、プロバイダーは顧客企業の "内部" アプリケーションの中に、401k の機能を "プッシュ" することになる。従業員はポータルを通じて、この外部の 401k を含め全ての福利厚生情報にアクセスできる。本来投資注文を処理できるのは、統制された 401k プロバイダーのみにも関わらず。

あんまり訳が上手くなくてすみません。。。で、ここで、SOA Governance という新語 (?) が出てきます。

This requires:

• A framework for controlling and auditing who accesses financial information

• A framework for controlling and auditing what financial information is accessed

• A framework for ensuring financial information is not compromised during transmission

誰が財務情報にアクセス可能なのか、誰が財務情報にアクセスしたのか、そして、財務情報が通信転送時になんにもされてないことを証明するのか、というフレームワークを、SOX 法 404 条は必要とする。

The situation in SOA, however, is more complex. Identities belong to machines, and SOA interactions are not just point to point. In fact, machines in an SOA can act as intermediaries for other service requestors, creating challenges for managing and tracing identity across long-lived, multi-hop transactions. For the same reason, ensuring message integrity across a multi-hop transmission is complicated. Point-to-point SSL will not be enough.

しかし、SOA の環境では、より複雑になっていく。マシンのアイデンティティも管理しなくちゃいけないし、処理は P2P ではないし、SOA におけるマシン (Server) は仲介としての役割だけだし。よって、永続的でマルチ・ホップのトランザクションに対するアイデンティティの管理やトレースを行う必要が出てくる。また、マルチ・ホップの通信の完全性を証明するのは P2P の SSL では不十分であって、大変複雑である。

で、SOA Governance の要件を語ったあと、以下のことを実施し；

• Certify identity

• Validate identity certification credentials

• Establish trust between domains

• Federate identity authentication operations

具体的に、 セキュリティ・ポリシーを明確に定義した環境をつくること、自動化されたポリシー・プロビジョニング (これも新語?) を行うこと、コンプライアンス状況の検証フレームワークをつくること、Policing (監視)、Audit (監査)、Alerting (アラート)、Remediation (ポリシー違反の矯正) を行う必要があることが書かれてます。

というわけで、翻訳してるのが面倒臭くなったので、最後はやっつけですが、ご興味あるかたは是非原文をお読み下さい。ちょっと長いですが、平易な英語で書かれてますので。

寄稿者はこの分野の権威らしいですが、日本ですとどうしても、「SOA やっている人 = アプリケーション開発畑」、「Identity & Access Management やっている人 = セキュリティ畑」という括りになってしまい、SOA と IdM、この両者の理解と組合せこそが重要で、IT 基盤の本質であると語っている人がほとんどいないので、残念です。