Inner Circle読者の皆様、こんにちは。サンのCIOオフィスから、Bob Worrall（ボブ・ウォラル）がお届けします。以前お伝えしたように、サンではビジネス・プロセスの変更とITアプリケーションの統合を通じてコストの削減と複雑さの緩和を図る全社規模の大がかりなプロジェクトが進んでおり、私のオフィスではこのところずっと、プランニングと戦略の会議が続いています。

『Integrated Business Information Solution（IBIS：アイビス）』と呼ばれるこのプロジェクトでは、500を超えるレガシー・アプリケーションを整理統合して、最終的に70あまりのOracle E-Business Suiteモジュール・セットに置き換える計画です。新しいソフトウェアは、社内のほとんど全ての事業部門で使用されているサンのビジネス・アプリケーションとWebアプリケーションほぼ全ての基盤となる予定です。

Oracleアプリケーション・スイートを選択したのは、サンの根本的なビジネス・ニーズを満たすものだったからです。また、私たちは、IBISのような広範囲にわたるプロジェクトできわめて重要となる、コンプライアンスと統制の問題を解決する必要もありました。私たちチームは、これらの課題に対処するためには、Oracleの運用機能とクラス最高のアイデンティティ管理ツールを組み合わせる必要がある、という結論に至りました。

ただ、そのためのアイデンティティ管理ツールをよそに求める必要はありませんでした。エンタープライズ・アプリケーションよりも、コンプライアンスへの対応力の高い業界最高のアイデンティティ管理ソリューションを、サン自身が提供しているからです。例えば、Sun Java System Identity ManagerとSun Java System Access Managerは、アイデンティティ管理ツールの領域でGartner社の「マジッククアドラント」の「リーダー」に位置づけられた実績があります。

最高のテクノロジー同士を組み合わせることは、理解を得やすい考え方です。しかし、業界の多くの人々は、サンが自社製のアイデンティティ管理ツールをOracleアプリケーションの上で使用すると聞くと、驚いた様子を見せます。

今回は、サンがOracle E-Business Suite上に自社のアイデンティティ管理機能を追加した経緯についてご説明するために、サンのアプリケーション／セキュリティ戦略担当ITディレクターYvonne Wilson（イボンヌ・ウィルソン）を招いています。イボンヌは、今回Inner Circleの読者向けに、サンのIT統合プロジェクトのコンプライアンス機能がサンのアイデンティティ管理ツールによってどのように強化されたかについて話すことを快く引き受けてくれました。

最大ミッション：“社員50,000人のアイデンティティを安全に管理せよ！” 

財務及び事業に関するコンプライアンス能力は、サンのIBIS統合プロジェクトに欠かすことのできない要素です。

この課題をある角度から見てみると、法令を確実に遵守するための作業の中心は、50,000人を超えるユーザのアイデンティティを安全に管理することであることがわかります。

サンは世界各地で事業を進める上で財務や情報に関する無数の法令の適用を受けており、これらを遵守するためには、それほど多数のアイデンティティを積極的に管理しなければならないのです。

ほかの多くの大規模組織と同様、サンもかつてはカスタム・スクリプトと手動プロセスを使用してアイデンティティ管理に対処していましたが、このアプローチは、人的ミスの発生とコンプライアンスの不徹底という2つのリスクを高めるものでした。サンをはじめどの組織でも、従業員は組織の内外の膨大な数のアプリケーションにアクセスする必要があるため、たいていの場合、IT部門がプロビジョニングと管理を行うパスワードとアイデンティティの数も多くなります。

アイデンティティが多くなると、監査対象となるユーザ情報を見つけることも難しくなります。ユーザ・アカウントが、管理されないまま多数のアプリケーションに散在した状態にあれば、アカウントのプロビジョニング解除をタイミングよく行うことはほとんど不可能になります。そして、大半のITマネージャが認識していることですが、アカウントのプロビジョニング解除をすばやく行うことができなければ、セキュリティとコンプライアンスのリスクは高まることになります。

『シングル・サインオン』実現で、コンプライアンスとユーザビリティを両立 

シングル・サインオン（SSO）は現在、サンのアイデンティティ管理における重要な構成要素となっています。SSOは、ユーザにとっては憶えなければならないパスワードの数が少なくなることを意味します。また、ITチームにとっては、管理すべきサインオンの数が少なくなれば、ユーザのプロビジョニングとその解除を単一の場所ですばやく行うことができるようになり、一元化された単一のポイントで新たにより強力な認証メカニズムを実装することも可能になります。

ところが、IBISアプリケーションや外部ベンダーがホストするその他のアプリケーションにSSO機能を追加するためには、Oracle E-business Suiteが備えている以外のアイデンティティ管理機能が必要でした。Oracle E-business Suiteは、レガシーのOracle Application Server 10g SSOモジュールとの連携で使用することを前提とした設計となっていますが、このモジュールは、ほかのエンタープライズWebアプリケーションのユーザ認証には使用できないことがわかったためです。

アイデンティティのリンクづけを行い、ユーザにSSOを可能とするための作業は単純で、ITチームは、Oracle Application Server 10g SSOコンポーネントの上にSun Java System Access Managerポリシー・エージェントをインストールした上で、ユーザをAccess Managerへ誘導してSSOでアクセスできるようにポリシー・エージェントを構成するだけで済みました。

現在、Oracleアプリケーションにアクセスしようとするユーザは、ほかのWebアプリケーションにログインしようとするユーザと同様に、SSOログインのためにAccess Managerにリダイレクトされます。このようにアイデンティティを包括的にリンクさせることにより、ビジネス・アプリケーションの使用に関してあらゆる操作の監査証跡が残るようになります。

ページ先頭へ

アイデンティティ管理ツールで、アプリケーションを不正アクセスから保護 

Access Managerによって、アイデンティティ管理の問題の一部は解決されたものの、アプリケーションのプロビジョニングとアクセスの管理の課題は残りました。そして、この課題の解決にはSun Java System Identity Managerが最適であることがわかりました。

ITチームは、Oracle E-Business Suiteアプリケーションに対する全てのアクセス要求及び承認の認証と記録を行うために、Sun Java System Identity Managerを実装しました。Identity Managerでは、アクセス要求が承認されると、Oracle E-Business Suiteのデータ・ストアに対するアクセス権が、役割と責任という形で、自動的にプロビジョニングされます。

また一方で、Identity Managerのコンプライアンス・ダッシュボードのレポートは、不正なアプリケーション・アクセスに対する保護対策として機能します。サンのITスタッフは、このレポートをもとに、アクセス操作を一元的かつ視覚的に把握して、職務分掌（SoD）のチェック、ワークフローの監督、監査スキャンなどの管理を実行することができます。ポリシー違反が検出された場合には、違反の深刻度に応じて、Identity Managerに是正措置を提案させるか、または問題のアカウントの使用を即座に停止させることができます。

SSOとアクセス管理の両方を実装するにあたって、ITチームでは、Oracleアプリケーションの各モジュールの機能を分析した上で、それぞれの状況及びアプリケーションに適したプロビジョニング・ワークフローとポリシー・チェックを系統的に追加していきました。Identity Managerを使用したアカウント及びアクセスのプロビジョニングと、Access Managerを使用したSSO認証を組み合わせることにより、より迅速で監査対応力の高いプロビジョニングが可能になるとともに、エンド・ユーザにとっての利便性も向上しました。

Sun Java CAPSで、レガシー・アプリケーションを統合 

大規模なERPを導入する場合の常として、新しいアプリケーションと従来のアプリケーションとの統合は大きな課題でした。サンでは、IBIS環境の単一のバックエンド統合ポイントとしてSun Java Composite Application Platform Suite（Java CAPS）を採用することにより、この作業の多くを合理化しました。

簡素化をさらに徹底するため、サンのITチームは、IBISとJava CAPSの間に単一のインタフェースを実装して、Java CAPSが多数のレガシー・アプリケーションに対する単一のグラフィカルな接続ポイントとしても機能するようにしました。メッセージ処理は全てJCAPSで管理されるため、Oracleとレガシー・アプリケーションの両方を通じてシームレスなデータのやりとりが可能になっています。

アイデンティティ管理で、運用コストを激減させる 

アイデンティティの統合を通じて、サンでは運用開始1年目で純額400,000ドルのコスト削減が実現していますが、IBISプロジェクトの進行とともに今後もさらなる削減が見込まれます。カスタム・スクリプトと手動プロセスを、事前構成済みのアプリケーション・プロビジョニング・ワークフローに置き換えることにより、ITスタッフが管理しなければならないアイデンティティの数は少なくなりました。ユーザの接続と切断などの操作に要する時間も大幅に短縮されました。

さらに重要なことは、アイデンティティに関する事項の自動処理の高速化が、コンプライアンスの向上にも役立っているという点です。例えば、経費の請求を行う権限を特定の従業員のみに与えることが可能です。これは、Identity Managerで正規のアカウントのみが経費の請求を行うことができると認識されるようになっているためです。また、Identity Managerを使用することは、アクセスの要求及びプロセスの可視化、認証、記録を実行し、またコンプライアンス・レポートと職務分掌（SoD）のチェックを自動化することも意味しています。

サンでは、IBIS及び多数のレガシー・アプリケーションにおけるアイデンティティ管理の簡素化が、ITエコシステム全体にわたるアイデンティティの統合をより容易に実現することにもつながっています。アイデンティティ管理を成功させたことで、スマートカード認証など、新たなプロジェクトも従来より迅速に進めることが可能になりました。

最後に、アイデンティティ管理機能を有効に機能させるためのもう1つの要素について触れておきたいと思います。IBISアプリケーションでは、本人に自覚があるかどうかは別として、ユーザ自身がコンプライアンスの向上に一定の役割を果たしています。パスワードの数が少なくなれば、システムやアプリケーションにログインする際の所要時間が短くなります。当然のことながら、ユーザは利便性が向上したと感じることでしょう。利便性が向上すれば、ユーザが新しいIT環境の要件を遵守する可能性も高まるためです。

Reader Survey

この記事は参考になりましたか？ 参考にならない   参考になった   非常に参考になった コメントがございましたらご記入ください

ページ先頭へ