Identity Management に関する調査 by 日本セキュリティ監査協会
(Translate to English)Friday Jul 29, 2005
いまごろ知ったんだけど, 日本セキュリティ監査協会が昨年度, アイデンティティ管理に関する調査を実施していたらしい.
最近、アイデンティティ・マネジメントについての論議が目につくようになってきた。 アイデンティティ・マネジメントの論議については、調査会社のReportなどにより2000 年前後より始められているように見受けられる。その考え方は、今後の IT システム基盤を整備する上で、ひとつの重要な方向性を示しているものと考えられる。 そこで調査研究部会では、そもそもアイデンティティ・マネジメントについての、 現状を調査し、その考え方を整理し、 特に情報セキュリティ監査の観点から今後どう対応していくべきか、 についてまとめてみた。
情報セキュリティ監査制度利用促進等事業 実施報告書: 第 3 編 調査研究部会
以下, 勝手に要約してみる.
1.2 アイデンティティ・マネジメントをテーマとした最近の論議について
IdM の成り立ち, 位置づけ, 重要性拡大の背景, 課題など.
1.3 アイデンティティ・マネジメントをサポートするツールの動向
IdM を構成する技術的要素 (ツール) として, ディレクトリサービス / プロビジョニング / セキュリティシステム / 認証システム / 認可サービスの 5 つを挙げている. (アイデンティティ監査に関して触れていないのが気になるが...) また, Sun をはじめとする IdM ベンダ 18 社を紹介している.
1.4 アイデンティティ・マネジメントについての考察
IdM の定義および対象領域を設定し, それをもとに実践上の課題などを考察している.
IdM とはなにか? この報告資料では, IdM の対象領域は 「アクセス制御の実践にかかわる活動」 であるとしている. これはこれでわかりやすい定義だと思う. そしてアクセス制御, すなわち 「サービスや IT システムや装置の不正な使用を防止する」 ために IdM が扱う要素として以下を挙げている.
- (狭義の) アイデンティティ・マネジメント: 4 要素
- 利用者の管理
- 利用者への利用権限の付与の管理
- IT システムや装置へのアクセス制御機能が必要とする情報の正確な登録
- 利用者への識別・認証用の情報等の配布
- (広義の) アイデンティティ・マネジメント: 上記に加え, さらに 2 要素を含む
- 識別・認証方式
- IT システムや装置におけるアクセス制御やアクセス監視の実施
続いて, 各要素の実践上の課題と必要なとりくみをまとめている
(1.4.2 アイデンティティ・マネジメントの要素と実践上の課題).
この節を読むと, IdM 導入の課題はテクノロジーではなく,
それ以外の非技術的なビジネス・プロセスの確立にあることがよくわかる.
余談だが, IdM プロジェクトの中で製品や技術の占める割合は 20% 程度であり,
残り 80% はコンサルティングであるという分析 (Solutions are only about 20 percent product and product capabilities and about 80 percent backend consultative work.
) もある.
1.5 アイデンティティ・マネジメント推進のために求められる事項
IdM 導入を推進するにあたり検討すべき要件, および今後求められるとりくみ (方法論の確立, インフラの整備, アクセス制御をサポートする技術 (ツール) の整備推進) についてまとめている.
1.6 情報セキュリティ監査という立場からのアイデンティティ・マネジメントについての論議の評価
IdM に関する情報セキュリティ監査の実施については今後検討の余地がありそう.
1.7 情報セキュリティ監査に関する提言
つぎの 3 つを提言している.
- アイデンティティ・マネジメントについての概念の確立
- アイデンティティ・マネジメントの監査の方法論の確立
- アイデンティティ・マネジメントを理解する監査人の育成
全体的にはよくまとまったリポートだと思う. 企業がアイデンティティ・マネジメント・システムの RFP (提案依頼書) を作る際の参考としてオススメ.
|
|
|
|
Tags: analysis identitymanagement
Posted by tkudo's weblog on September 28, 2006 at 04:27 PM JST #