【インタビュー】
「アイデンティティ／アクセス管理（IAM）は“焦らず、あきらめず”」――CAのガーディナー氏

CA幹部が語る、IAMプロジェクトの“正しい”進め方

（2008年03月13日）

ユーザーの職務や権限に応じて利用可能なアプリケーションや参照・登録できるデータを詳細に定義し、それらを一元的かつ統合的に管理するアイデンティティ／アクセス管理（IAM：Identity & Access Management）の実現は、ユーザーの利便性の向上やIT管理コストの削減、さらにはセキュリティ・ポリシーの順守といったさまざまなメリットを企業にもたらす。編集部は、先ごろ来日した米国CAのセキュリティ・マネジメント担当シニア・プロダクト・マーケティング・マネジャー、マシュー・ガーディナー（Matthew Gardiner）氏に、同社のIAMへの取り組みについて話を聞いた。

大川亮
Computerworld編集部

　
──アイデンティティ／アクセス管理（IAM：Identity & Access Management）を必要とする企業が増えている背景には何があるのか。

米国CAのセキュリティ・マネジメント担当シニア・プロダクト・マーケティング・マネジャー、Matthew Gardiner氏

Gardiner氏：今日の企業のビジネス環境を見ると、膨大な数のユーザーがシステムやアプリケーションにアクセスするようになっている。その数は顧客からパートナー、従業員を含め、年々増えるばかりだ。また最近では、内部統制やコンプライアンスに代表される時代的ニーズも加わり、ユーザーの役割や権限に応じて適切なアクセス制御を実現するIAMの必要性がこれまで以上に高まってきている。

　IAMのポイントは“自動化”にある。IAMツールを利用すれば、あらかじめ作成したユーザーのアイデンティティ情報を基に、ユーザーがシステムやアプリケーションにログインするたびに、そのユーザーはだれなのか、アクセス権限はあるか、新たにアカウントを作成すべきかといった判断を自動的に行い、ユーザーのアクティビティを容易に監視することが可能になる。逆に、それらが手動で行われているかぎり運用管理コストの削減は難しく、情報搾取を目的としたフィッシングや不正アクセスなどの攻撃を受けるリスクも高まる。

　「セキュリティに注意を払わなければならない」ということを重荷に感じているユーザーは少なくない。願わくば、日々のパスワード管理といった負担はできるだけ減らして、業務プロセスのセキュリティについてはそれほど心配しなくてもよい環境を提供すべきだろう。むしろ、ユーザーには「このシステムは安全性が高いから大丈夫」と自信を持って使ってもらう必要がある。そうでなければ、ユーザーから有益な情報が提供されなくなり、誤った情報が入力されてしまうことになりかねないからだ。

　そうした背景の下、CAでは、ユーザー認証やアクセス制御にまつわるリスクを低減し、ユーザーの利便性の向上やIT管理コストの削減、さらにはセキュリティ・ポリシーの順守といった、さまざまなメリットを企業にもたらすIAM製品群をラインアップしている。

──CAは昨年秋、アイデンティティ／アクセス管理製品群の新版「CA IAM r12」をリリースした。その特徴を簡単に聞かせてほしい。

Gardiner氏：CA IAM r12は、アイデンティティ・ライフサイクル管理、アクセス管理、ワークフロー自動化、委譲管理、リポート作成、フェデレーション（連携）などの機能を有するスイート製品だ。この製品群を構成する各種ツールは、今後段階的にリリースしていく予定である。最初のフェーズである昨年秋のリリースでは、Webアクセス管理ツールの新版「CA SiteMinder Web Access Manager（WAM）r12」や、Webサービスのセキュリティ確保を支援するツール「CA SOA Security Manager r12」などをリリースした。

　SiteMinder WAMは、Webアプリケーションやポータルへのアクセスに関するユーザー認証、シングル・サインオン、ポリシー・ベースの承認、アイデンティティ・フェデレーション、監査などの機能を提供する統合Webアクセス管理ソリューション。これにより、例えば、Webアプリケーションやポータルに1度ログインすれば、他のサイトに遷移しても、何回もログインし直す必要がなくなる。こうしたWebアクセス管理機能は、ここ数年の間にかなりの人気を集めるようになった。

　一方、SiteMinder WAMがWebサイトのセキュリティを保護するものであれば、SOA Security Managerは、Webサービスのセキュリティを保護するものだ。同製品は、企業のSOA/Webサービス環境のセキュリティを集中的に管理するための機能を装備している。

　多くの企業がSOAあるいはWebサービス・ベースでアプリケーションを展開する動きを見せている。このような動きが進めば進むほど、セキュリティ関連の問題も出てくる。Webサービスの数は今後さらに増えることが予想されるため、われわれとしては、そうしたセキュリティ管理はSOA Security Managerを使って一元化すべきと考えている。

──競合他社との差別化ポイントは何か。

Gardiner氏：われわれがターゲットとしている顧客の中心は、大手企業である。つまり、複雑な異機種混合の大規模システム環境をサポートしている点がCAの強みと言えるだろう。

　例えば、顧客の1社である英国最大の通信事業者BT（British Telecommunications）では、2004年からSiteMinder WAMの大規模導入に取り組んでいる。同社では1日平均約3,600万のアプリケーション・アクセスがあるが、今日では12万を超えるBTスタッフと外部パートナーが、一元化された認証／連携アプローチに基づいて各種アプリケーションにアクセスするようになっている。

　CAでは、今後も引き続き、大規模なシステム環境のパフォーマンス改善とセキュリティ強化にフォーカスしていく方針だ。

──IAM導入時の留意点があれば聞かせてほしい。

Gardiner氏：まず、使用頻度の高いアプリケーションから徐々に着手するのが望ましい。IAMプロジェクトは、その規模の大きさと複雑さもあって、予定どおりに完了しないことが多いからだ。例えば、BTの場合、IAMプロジェクトを開始してから約4年が経つが、まだ完了のメドは立っていない。したがって、企業のニーズや状況の変化に応じて、徐々に着手していくのがよいだろう。

(Computerworld.jp)