2000年代中頃のID管理といえば、残存IDを利用した不正アクセスを防止したり、人事異動によるアクセス権限を管理したりといった内部統制対策が主な用途だった。だが2000年代後半になると、その目的が変わり始める。SaaSに代表される社外のクラウドサービスの利用が増加。これに伴って各システムへログインしようとする度に異なるIDを入力する不便さが露呈し、システム間のIDを連携する仕組みが求められるようになった。ID管理は、複数IDの利用効率化に主眼を置くこととなる。
社内外のIDを一元管理
不正アクセスへの対処も必要
企業は社内で用いるIDのみならず、社外にあるシステムで利用するIDも含めて運用していかなければならない。そこで散在する複数IDを相互運用できる仕組みとして、シングルサインオン(SSO)に注目が集まっている。これはユーザーの認証情報や属性情報を持つリポジトリを連携し、複数システムへのログインを1つのIDで実施できるようにする。都度IDを入力することによる利用者の業務効率低下を抑止する。
ただし、1つのIDで複数システムにログインできることで利便性は高まる半面、IDが漏えいすると複数のシステムに不正にアクセスできてしまう危険をはらむ。SSOを利用する際には、IDを利用するユーザーが本人かどうかを特定するために指紋や静脈を用いた生体認証や、一度だけしか利用できないワンタイムパスワードを併用することも検討すべきである。
利便性を備える主要なID認証方式
認証作業を簡素化する、主要な認証方式を表にまとめた。
| 特徴 | 主な適用範囲 | |
|---|---|---|
| SAML | サービス間で認証情報をやり取りするため、利用者は他のサービスでは認証作業なしにログインできる。認証情報などはXMLで記述 | エンタープライズ向けWebサービス |
| OpenID | IDを発行したWebサイトに認証の可否を問うことでログインする。1つのIDで複数のWebサイトなどへログインできる | コンシューマ向けWebサイト |
| Information Card | カード型アイコンをクリックすると、Active DirectoryなどからID情報を取得し、認証する。ID入力の手間がかからず扱いやすい | Windows系アプリケーション |
| OAuth | 認証情報を持たないWebサービスが、認証情報を持つWebサービスにAPI経由でアクセスして認証作業を行う。情報の外部流出を抑止できる | コンシューマ向けWebサービス |
SAML(Security Assertion Markup Language)は、あるサービスで使った認証情報を他のサービスに送信することで、1つのIDを複数システムで利用できるようにする。認証情報はサービス間で行われ、ユーザーは1度認証すれば別のサービスにはIDを入力せずにログインできる。
OpenIDは一般のWebサイトで利用が広がる認証方式だ。国内ではYahoo!Japanや楽天、mixiなどの主要Webサイトがサポートする。OpenIDはURLに似たIDがWebサイトより発行される。他のWebサイトへログインする際に発行済IDを入力すると、発行元のWebサイトに認証すべきかを問い合わせ、認証の可否を判断する。
そのほか、InformationCardは、ログイン画面上に表示するカード型アイコンをクリックすることで認証する。これはサービスへログインする際に必要な情報をActive Directoryなどから取得。その情報をサービスへ送信することで認証している。マイクロソフトは「Windows CardSpace」として、Windows系アプリケーションのログインを簡素化するのに役立てている。OAuthは認証情報の外部サービスでの利用を制限する機能を備える。必要な情報のみ公開したり、利用期限を設けたりし、さまざまなWebサービスに個人情報が持ち出されないようにする。TwitterやYahoo!メール、Gmailなどが採用する。
- 下道 高志
- 情報システムコントロール協会(ISACA)東京支部 広報委員会 委員長
