モバイル活用が進むにつれ、企業と個人のITの強化は、あいまいになるばかりです。あまいなITの境界は、クラウドやオンプレミス、モバイルリソースに分散していく企業データのセキュリティと機密性に対する懸念も引き起こします。あいまいなIT境界を保護し構造を復元するために、いくつかのテクノロジーが登場しています。今回は、これからのID管理のために重要なテクノロジーを紹介します。
第1回では、企業のIT境界が、モバイルデバイスの普及やクラウドアプリケーション、リモートアクセスの利用により“ゆがみ”が生じていることを指摘しました。IT部門は大量のIDとアプリケーション、エンドポイントをサポートする必要があるため、この“ゆがみ”はIT部門にかかるオーバーヘッドの量に大きな影響を与えます。
そうした管理とセキュリティの厄介な問題を前に、IT部門の担当者が1人当たりでサポートすべきユーザーIDの数を最小限にするためのソリューションが多数、登場しています。第2回では、そうしたソリューションの中から、PKIセキュリティをタブレットやスマートフォンに拡張するBluetoothを使った仕組みを取り上げました。
今回は、さらなる自由度が求められるであろうエンタープライズモビリティの世界におけるID管理を実現するためのテクノロジーとして、(1)EMM(Enterprise Mobility Management:エンタープライズモビリティ管理)、(2)IAM(Identity and Access Management:IDとアクセスの管理)、(3)アクセス管理とSSO(Single Sign On:シングルサインオン)、(4)OpenID Connect、(5)BYOI(Bring Your Own Identity:個人IDの業務利用)を取り上げます。
EMM(エンタープライズモビリティ管理)
EMM(Enterprise Mobility Management)は、IT部門の担当者がモバイルデバイスのワークフローとセキュリティを管理するための企業向け製品の総称です。モビリティの管理には、(1)MDM(Mobile Device Management:モバイルデバイス管理)、(2)MAM(Mobile Application Management:モバイルアプリケーション管理)、(3)MIM(Mobile Information Management:モバイル情報管理)の3つのコンポーネント(アプローチ)があります。
IT部門はMDMを使って、企業内のモバイルデバイスのライフサイクル(プロビジョニングから更新、失効まで)を管理し、企業リソースへのアクセス許可を制御するとともに、それらのデバイスに必要な構成、すなわちウイルス対策や基本ソフトウェア(OS)を最新状態にするよう要求できます。
MAMは、許可されたユーザーだけが、許可されたモバイルデバイスからアプリケーションにアクセスできるよう、アプリケーションレベルでアクセスを制御します。MIMは、企業データ保管時の暗号化と、許可されたアプリケーションのみからの送信を担います。一般にMIMは、MDMまたはMAMと一緒に導入されます。
IAM(Identity and Access Management)
IAM(IDとアクセスの管理)は近年、単一分野として扱われていますが、実際には、IDのガバナンスと管理を担うIGA(Identity Governance and Administration)と、アクセス管理(AM:Access Management)という2つのデータセキュリティ機能からなっています。
IGAは、「誰にどのアプリケーションにアクセスする権利を与えるべきか」や「実際に誰が、どのアプリケーションに対し、いつ誰によってアクセス権を付与されたか」といった質問に答えるのを助けます。
例えば、IGAを使うことで、R&D(研究開発)スタッフに特定の開発アプリケーションにアクセスする権限を与えることが可能になります。ユーザーはR&Dグループのメンバーシップに基づき、一部のアプリケーションへのアクセスが自動的にプロビジョニングできます。 R&Dユーザーは、他のアプリケーションへのアクセスのプロビジョニングを要求でき、その要求は管理承認プロセスへと進みます。
AMは主に、「誰が何に、いつアクセスしたか」という質問に答えるのを助けます。特定のアプリケーションへのアクセスのプロビジョニング、ハードウェアまたはソフトウェアトークンのプロビジョニング、そして認証決定時にどんな動作がリスクが高い(または低い)と見なすかといったアクセスポリシーに関連するワークフローを扱います。
ほとんどの組織はIGAとAMを別々のコンポーネントとして導入していますが、両者を組み合わせたIAMでは、アプリケーションへのアクセス権を付与し、アクセス制御を施行し、アクセスイベントの可視性を確保するための系統的なフレームワークが提供されます。IAMをクラウドサービスとして提供する「IAM as a Service」も提供され始めており、迅速に価値を創出できるため、ITエコシステム全体のID管理とアクセス制御を集中化しようとする組織の利用が増えています。
企業は、爆発的に増加するスマートフォンやタブレットをセキュリティとアクセスポリシーの観点から管理するために、EMMソリューションを導入しています。米調査会社のガートナーは、IAMとEMMは統合に向かって進むとしています。デバイスは従業員IDに関連付けられ、個別のサイロとしてではなく連携して動作するようになると予測します。 実際、IAMaaSは既にEMM機能が組み込まれています。