組織の垣根を越える『フェデレーテッド・アイデンティティ』の可能性
フェデレーテッド・アイデンティティとは? e-ビジネスの幕開けからずっと、セキュリティの中心課題は『アイデンティティ』でした。かつては、各アプリケーションは連携することなく、それぞれが独自にアイデンティティを築いていました。しかし、時間の経過とともに、ITセキュリティはアイデンティティ管理の集中化へと向かいました。認証を一元化し、全てのアプリケーションを共通の1つのセキュリティ基盤につなげます。 ここ数年来、日々の業務の中で企業が情報を交換し合うことは必須のことになりました。もはや、ファイアウォールの内側にイントラネットを引きこもらせておくわけにはいきません。また、企業は社員ばかりでなく、顧客や提携先、納入業者などの様々なユーザにも電子アクセス手段を提供する必要があります。つまり、単純に企業は、その組織の垣根を越えてアプリケーションを共有し、連携させる必要があるといえます。ここでフェデレーテッド・アイデンティティがテーマとなります。 フェデレーテッド・アイデンティティは、安全に企業の垣根を越えて使用できるアイデンティティ情報を提供するためのコンピューティング概念です。 企業がフェデレーテッド・アイデンティティに関心を向けるべき理由 企業は他に選択の余地はありません。現実問題として、ビジネスはそのように動いています。もはや企業は、連携のない閉じたアプリケーションでやっていくことはできません。企業は提携先と取引する必要があり、そして連携することの費用便益が実証されている以上、連携は不可欠です。シングルサインオンであれば、例えば、ユーザはパスワードを1つ覚えておくだけでよく、れによって削減されるヘルプデスクのコストは無視できません。 アイデンティティプロバイダとサービスプロバイダ
大手の無線サービスプロバイダを例にとってみましょう。天気情報、着信音、電子メールなど、契約者に提供しようとするサービスの全てを、その無線プロバイダが1社でまかなうことはできません。このため、無線プロバイダ (ここではアイデンティティプロバイダになる) は、サービスプロバイダと提携します。 こうしてサービスプロバイダは、アイデンティティプロバイダの信頼の輪の中に入ります。アイデンティティプロバイダは、この信頼の輪から、契約者に提供するサービスを増やすことができるというメリットを享受します。
一方、サービスプロバイダも、非常に多くの契約者にアクセスできるというメリットがあります。顧客は、携帯電話に電源を入れると、ただちに無線プロバイダのネットワークによって認証を受けます。そして顧客が天気を確認しようとすると、天気情報のサービスプロバイダはアイデンティティプロバイダにアクセスし、契約者であることを確認します。こうして、天気情報サービスがシームレスに提供されます。
フェデレーテッド・アイデンティティを支える規格『SAML』と業界コンソーシアム『リバティ・アライアンス』 中核の規格になっているのは、『SAML (Security Assertion Markup Language) 』です。これは、一方が他方にアイデンティティ関連情報を表明するためのXML規格です。先ほどの例では、例えば「この利用者は無線プロバイダの契約者で、属性 (プラチナ会員であるかどうかなど) は次の通りです」というように認証表明が行われます。SAMLは、フェデレーテッド・アイデンティティが土台にしている基本的な「配管」部分にあたります。 これに加えて、フェデレーテッド・アイデンティティの樹立に伴って発生する課題を検討する『リバティ・アライアンス (Liberty Alliance) 』という業界コンソーシアムがフェデレーテッド・アイデンティティの成立を支えています。サンやヒューレットパッカードなどのベンダーの他、無線プロバイダや機器メーカ、政府機関、金融機関などの、150社を超える企業からなる世界的なコンソーシアムです。 リバティ・アライアンスの設立綱領は、フェデレーテッド・アイデンティティに伴うプライバシの問題の解決にも触れています。メンバ企業は協力し、ユーザのプライバシが侵されることなく、A点からB点に安全にアイデンティティを転送する方法の確立を目指しています。また、連携におけるアイデンティティの盗用やコンプライアンス、義務と責任に関するベストプラクティスや識見も呈示しています。 リバティ・アライアンスは、他の規格団体と異なり、技術仕様を作成する団体ではありません。リバティ・アライアンスでは、参加企業がそれぞれの経験を分かち合うことができます。技術が発表されるのは、そのプロセスが終わってからです。このため、リバティ・アライアンスから生まれる技術仕様やホワイトペーパー、ベストプラクティスは、実際の経験に基づくものとなります。IT部門は、リバティ・アライアンスを研究し、メンバ企業から学ぶことによってフェデレーテッド・アイデンティティについて多くを得ることができます。 フェデレーテッド・アイデンティティの枠組み構築の考慮点 フェデレーテッド・アイデンティティにとって重要なのは、セキュリティとアイデンティティが企業の垣根を越える必要性です。取引はインターネットで発生しますから、ファイアウォールにはメリットが無いという事実に向き合う必要があります。また、フェデレーテッド・アイデンティティは信頼の輪のメンバー全体で共有されますが、人々は、自分の個人情報が自分の知らない企業グループに出ていくことを必ずしも望みません。フェデレーテッド・アイデンティティにまつわる決定で大きな役割を果たすのは、取引の価値です。セキュリティ上のハードルは、例えば、バンキング情報を扱う場合よりも、天気情報の場合ほうがずっと低くなるでしょう。 フェデレーテッド・アイデンティティの導入に向けたベストプラクティスとヒント フェデレーテッド・アイデンティティの導入に向けて、まず企業がしなければならないことは、自分の会社を整備することです。フェデレーテッド・アイデンティティシステムが成功するには、社内体制が非常に良好な状態になっていなければなりません。連携のない閉ざされた時代のファイアウォールや環境がありますから、不足を補うためにIT部門が行わなければならない作業は大量にあるでしょう。 自社の整備が終わったら、次は、パートナを理解し、信頼する必要があります。そのためにはコンプライアンスの維持を保証するためのコントロール体制を確立します。連携においては、あらゆることを監査できるよう特別な配慮が必要です。何らかの問題が発生した場合には迅速に接続を切断できることも大切です。言うまでもなく、そのようなときに信頼の輪全体を停止することを望む企業はないでしょう。そうならないように、正しく機能していないシステムの一部を使用できないようにしておく必要があります。 信頼の輪の中にある企業は信頼し合っていますが、その輪の中の他社のITシステムに問題がないかどうかを調べることは必要です。最低でも、連携部分は調べるべきです。例えば、サンは連携技術のパイオニア企業の1つです。そして、サンは、連携ネットワークの構築においては、他社のITシステムが正しく稼働していることを確認するための調査を行うしくみが必要であることについて早くから認識していました。価値が高く、リスクも高い資産には特別な注意を払う必要があります。 サンの連携への取り組み サンは、フェデレーテッド・アイデンティティに多大の投資をしています。また何よりも、その仕様作成において指導的な立場にいます。リバティ・アライアンスやOASIS (注) で、サンは、アプリケーション間のデータ交換に使用する一群のプロトコル及び規格において指導的役割を担いました。 サンには、あらゆる側面から連携環境をカバーするためのソリューションがあります。サンのソリューションは、企業の社内プロセスの整備に役立つだけではありません。提供されるツールや製品で企業を実際に連携させることができます。加えて、サンは、フェデレーテッド・アイデンティティについて十分に訓練を積んだ人材を多数擁しており、お客様の現場に出向いて、フェデレーテッド・アイデンティティソリューションの構築を支援することができます。 サンはマイクロソフトの技術との相互運用性を強化し、いくつかの段階を踏んでマイクロソフトに働きかけ、協力関係を築きました。この構想の核心は、マイクロソフトの.NETシステムとJ2EEテクノロジ・システム、またSun DirectoryとマイクロソフトのActive Directory間の相互運用性を促進する活動にあります。例えばフェデレーテッド・アイデンティティの分野では、サンとマイクロソフトは、シングルサインオンを可能にする共同仕様を作成しました。 さて、フェデレーテッド・アイデンティティは、シングルサインオン・ソリューションという形ですでに導入されています。ユーザは単一のパスワードを入力すれば、再度パスワードを入力しなくても、複数のサイトに横断的にアクセスできます。また、サービス指向のアーキテクチャに関わるあらゆる努力によって、アイデンティティが企業間を巡回できるようになるでしょう。 そして、連携したシングルサインオン空間で牽引力が増していることも明らかです。ブラウザを使用して1回でシームレスにサインオンすることができます。これは、サービスプロバイダによって優先されるためです。これが、フェデレーテッド・アイデンティティ活用の初歩です。次の展開は、Webサービスで起きるでしょう。技術の全てが揃い、フェデレーテド・アイデンティティは、サービス指向アーキテクチャの一部としてWebサービスを利用するエンティティ間を行き来できるようになっています。これが、フェデレーテッド・アイデンティティの向かう場所です。
注:OASISはOrganization for the Advancement of Structured Information Standardsの略語で、XMLやSGMLなどの公的規格や構造化された情報の処理やWSI (Web Services Interoperability) に関するその他の規格に基づく相互運用可能な業界仕様を作成する非営利の世界的コンソーシアム |
| ||||||||||||||||||
|
| ||||||||||||||||||
フェデレーテッド・アイデンティティ (Federated Identity) [Federated = "連携" の意]は、組織の垣根を越えてアイデンティティを利用することを可能にするものです。これによって、企業とその業務提携先、顧客との間により実りある新しい関係を築くことができるようになります。この記事では、
印刷用ページ