Digital Arts News Watch

ユーザーとシステム管理者のいずれにとってもやっかいな「アイデンティティ管理」の問題

企業システムを運用していく上で、頭の痛い問題の1つに「アイデンティティ管理」(以下、「ID管理」)があります。企業システムのユーザーは、端末やネットワーク、アプリケーションを利用する際、一般的にユーザーIDとパスワードをログイン画面で入力してユーザー認証を行います。このID認証の仕組み自体は、情報セキュリティやITガバナンスを維持する上で必須の取り組みといえますが、同時にITの利便性や運用性を大きく損ねる恐れもあります。

例えば、端末にログインするためにID／パスワードを入力し、グループウェアにログインするためにまた別のID／パスワードを入力、さらには業務アプリケーションやクラウドサービスを利用するたびにまたID／パスワードを……このように、異なるシステムを利用するたびに異なるID／パスワードを使った認証が必要となると、ログイン操作の手間がかかるのはもちろんのこと、複数のパスワードを常時管理しなくてはならず、ユーザーにかかる負荷は相当なものになります。

システム管理者にとっても、こうした事態は決して望ましいものではありません。従業員の入社・退社や人事異動があるたびに、管理者はシステム1つ1つに対してユーザーIDの設定変更を行わなくてはなりません。特に年度初めに新入社員の入社と人事異動が重なる時期などには大量のアカウント設定作業が発生し、大変な作業負荷がかかります。

それ以上にやっかいなのが、こうした運用がセキュリティリスクへと直結する可能性があることです。従業員の退社や他部署への移動に伴い、それまで使われていたID情報を各システム上から速やかに削除する必要がありますが、これを少しでも怠ると誰も使わない幽霊アカウントが残されることになり、これを悪用した成りすまし攻撃の温床になりかねません。

「m-FILTER」が備えるID連携機能の効用と制限

このようなID管理にまつわる問題を解決するためには、システムごとにばらばらに管理されているID／パスワードを、ある程度まとめて管理できるようにする必要があります。そうすることでユーザーや管理者が扱うID／パスワードの数をできるだけ減らし、無駄な手間やセキュリティリスクをなるべく減らしていこうというわけです。

弊社が開発・提供するメールセキュリティ製品「m-FILTER」にも、こうした機能が備わっています。「m-FILTER」は、エンドユーザーが専用画面にログインして送信メールの管理を直接行える機能を備えており、独自にユーザーIDの管理データベースを保持しています。これをActive DirectoryやOpenLDAPといった外部のディレクトリサービスと連携し、LDAPユーザー・グループ含めたID情報を取り込めるようになっているのです。

例えば、初期設定時にはCSVファイルのインポートを通しLDAP情報も含めたID情報の取り込みが行えるほか、LDAPユーザーやグループの情報を管理画面上からも指定できます。Active Directoryの場合はOUやセキュリティグループの指定も可能です。こうした機能を活用することで、ユーザーは他のシステムと同じID／パスワードを使って「m-FILTER」にログインできるようになり、システム管理者も「m-FILTER」そのもののユーザーアカウント情報を直接管理する手間が省けることになります^※1 。加えて、「m-FILTER」のグループごとの管理者（以下、グループ管理者）登録についても、LDAPユーザーやグループを利用できるというメリットがあります。

しかし「m-FILTER」のこうした連携機能も、決して万能ではありません。例えば、Active Directoryと連携する際には、Active Directoryに含まれていないユーザーを別途手動で登録する作業が必要になります。あるいは、人事情報アプリケーションやグループウェアのアカウントデータベースと自動的に連携するインタフェースも、現在のところ備えていません^※2 。

統合ID管理製品「ADMS」との連携で「m-FILTER」のID連携を拡張

ただし、こうした制限をクリアする手段も別途用意されています。それが、株式会社ジインズが開発・提供する統合ID管理製品「ADMS」と「m-FILTER」を連携させる方法です。

「ADMS」は、社内にあるさまざまなアプリケーション、ディレクトリサービス、さらには社外のクラウドサービスまでも含めた多種多様なシステムのIDを一元管理できるソフトウェア製品です。「ADMS」上で人事情報アプリケーションやActive Directory等の複数システムに散在するユーザーアカウント情報を取り込み、更にシステム未登録のユーザー情報も手動で追加・更新・削除すれば、それが連携先のシステム上でもすべて自動的に反映されるため、ID管理にまつわる手間やセキュリティリスクを劇的に低減させることができます。

こうした統合ID管理のソリューションは近年高い注目を集めていますが、「m-FILTER」も「ADMS」と連携することで、結果的に人事システムやグループウェアを含むより広範なシステムと間接的にIDを共有できます。またActive Directoryとの連携も、「ADMS」を介することでより柔軟に行うことができ、Active Directoryに登録されていない従業員のアカウント情報も容易に「m-FILTER」に登録できるようになります。

もちろん、従業員の入社・退社や異動時にも、「ADMS」上でアカウント情報を変更すれば、「m-FILTER」を含むあらゆるシステムに自動的に反映されます。このように「m-FILTER」と「ADMS」を連携させることにより、「m-FILTER」がもともと備えていたID連携機能を拡張し、全社的な統合ID管理の取り組みの中に組み込めるようになるのです。

こうした仕組みの実現で、ユーザーと管理者のどちらにとっても、大幅な業務改善が期待できるのは言うまでもありません。現在「m-FILTER」の導入を考えている方はもちろんのこと、既に「m-FILTER」を導入・運用されている方も、これを機にぜひ「ADMS」との連携ソリューションを検討してみてはいかがでしょうか。
＜「m-FILTER」製品担当：三浦＞

• ※1 「m-FILTER」にActive Directory等外部ディレクトリサービスと同様のグループ構成を行うことで、それらのサーバーとID情報同期を行えるようにもなり、ユーザーの部署異動時のシステム設定変更工数削減も実現できます。
• ※2 「m-FILTER」に、グループウェアのユーザー情報を直接取り込むことはできません。ただし、「m-FILTER」Ver.4.5～のバージョンであれば、SAML認証等でグループウェアからのシングルサインオンを実現できます。この場合、ユーザーはグループウェアのユーザー情報を一度入力すれば、以降「m-FILTER」の各管理画面へのアクセスにログインは不要になります。

ID連携対応のメールセキュリティには「m-FILTER」をおすすめします。