ユーザーの負担が大きいID/パスワード管理
メインフレームなどのホスト集中型システム、あるいはUNIXやWindowsによるクライアント/サーバ型システムを自社開発していた時代、同一のID/パスワードを使って複数の業務システムにアクセスできるのは当たり前のことだった。しかし、適材適所のパッケージを採用して、部分最適化された業務システムを構築する時代へと移ると、それぞれのシステムを利用するために別々のID/パスワードを使うことが求められるようになる。
さらに、メールやグループウェア、営業支援、顧客管理などの情報系システムを中心に、Webベースのクラウドサービスを利用するケースが増えるにつれて、ユーザーが管理しなければならないID/パスワードの数もどんどん増えていった。今では十数種類のID/パスワードを使い分けるユーザーも珍しくない。
このID/パスワードの管理は、実はユーザーにとって負担が非常に大きいものだ。パスワードの文字長や文字種、有効期限など、システムごとにID/パスワードに関するポリシーやルールが異なるため、ID/パスワードを覚え切れないのだ。そこで、付箋紙にID/パスワードを書き込んでモニタの縁に貼り付けておいたり、すべてのシステムのパスワードを同じにしてしまったりするユーザーも出てくる。これらは、セキュリティ対策の面から決して許される行為ではない。
こうしたID/パスワードに関する課題を解決する手段として導入が進んでいるのが、「シングルサインオン(SSO)」と呼ばれるソリューションである。これは、1つのID/パスワードで複数システムにアクセスすることを可能にするものだ。
国内外で豊富な実績のあるSSO製品「AccessMatrix USO」を販売する株式会社ハイ・アベイラビリティ・システムズ(以下、HAS)ソリューション&コンサルティング事業部の飯島恵司氏は、「複数のID/パスワードを使い分けている企業がSSOを導入することにより、システムにログインする際の操作を簡易化するというユーザーの利便性向上、パスワードを漏洩させないというセキュリティ強化の2つのメリットが得られるようになります」と語る。
 |
AccessMatrixの導入効果 |
代行入力型SSOにより課題を解決
ここで、HASが実際にSSOソリューションを導入した事例を紹介しよう。ある企業(A社)では、全国各地の営業店における事務の簡易化、業務の効率化を目的にシステム更改に着手した。それぞれの業務に最適なパッケージ製品を導入してシステムを構築することにしたため、どうしても複数のID/パスワードを扱う必要がある。その数はユーザーによって15~30システムにも上り、ユーザーが管理することが難しいという課題に直面した。
そこでA社は、SSOの導入を検討。ユーザーに付与するID/パスワードを1つにすることで、ユーザーの利便性向上を図ることにした。あわせてID管理製品も同時に導入することを決定。複数システムのID/パスワードを一元管理、およびID管理の自動化を図ることで、統合的なユーザーID管理システムの構築を目指した。
SSO製品には、対象システムのサーバにエージェントモジュールを組み込む「サーバエージェント型」、対象システムへのアクセスをプロキシサーバで中継する「リバースプロキシ型」、代理の認証画面を用意してID/パスワードの情報を対象システムに引き渡す「代理認証型」、クライアントに導入したエージェ ントが対象システムのID/パスワードを自動入力する「代行入力型(クライアントエージェント型)」など、さまざまな方式がある。それぞれ一長一短の特徴があるが、A社が選択したのは代行入力型だった。
 |
株式会社ハイ・アベイラビリティ・システムズ ソリューション&コンサルティング事業部 エグゼクティブ・スペシャリスト 飯島 恵司 氏 |
「代行入力型は、クライアントにエージェ ントプログラムをインストールしなければならないという負担があるものの、各業務システムのサーバには一切手を加える必要がありません。また、クライアント/サーバ型のデスクトップアプリケーションでもWebアプリケーションでも、種類を選ぶことなく、あらゆるシステムのSSOが可能です。既存システムに手を加えないため、導入や動作確認に必要な工数を大幅に削減できるというメリットもあります。これが決め手となり、A社様は代行入力型の導入を決定されました」(飯島氏)
導入効果は絶大だった。SSOの稼働後は、ID管理製品との連携によってユーザーが各業務システムのID/パスワードをまったく知らなくてもよい状態になった。各業務システムのID/パスワードを推測が難しい文字列の組み合わせにできるため、特にパスワード有効期限を設けなくてもセキュリティ強化を実現できたという。
段階的にSSOへ移行するスモールスタートも可能
このA社のSSOを実現したのが、代行入力型の仕組みを採用するAccessMatrix USOである。ユーザーにAccessMatrix USOのID/パスワードを発行するだけで、すべてのシステムへのログインはAccessMatrix USOが代行する。ユーザーが管理するのは1つのパスワードだけなので、パスワード漏洩リスクは大幅に低減された。
AccessMatrix USOは、コスト面のメリットも大きい。導入や動作確認に必要な工数を削減できることは、そのままコスト削減につながる。既存システムに手を加えないため、一部のシステムから段階的にSSOへ移行するというスモールスタートも可能だ。A社でも、業務システム更改の進捗に合わせ、段階的にSSO対象システムを増やしているという。
また、AccessMatrix USOにはアクセスコントロールを一元化する機能があり、ユーザー権限によってアクセス可能なシステムを制御できる。さらに、いつ、誰が、どのシステムへログインしたのかというアクセス監査ログが提供されることにより、内部統制への対応も可能だ。
システム障害への備えも万全だ。AccessMatrix USOは冗長化構成に対応するのに加え、クライアント側にキャッシュを持たせてサインオンできる仕組みが用意されている。市販のワンタイムパスワードトークンやICカードと組み合わせたSSO認証環境を構築することもできる。
 |
AccessMatrixのパスワード自動変更機能 |
「A社の事例ではID管理製品も同時に導入しましたが、AccessMatrix USOは連携して利用するID管理製品を選びません。すでにID管理システムを運用している企業でも、容易に導入できます。SSO対象システムを選ばないのも大きな特長で、一部のSSO製品のよ うに“サポートしないシステム”は存在しません。クラウドサービスとして提供されているWebアプリケーションも含め、あらゆるシステムのSSOを実現します」(飯島氏)
株式会社ハイ・アベイラビリティ・システムズ
1985年の設立以来、金融、通信、流通や官公庁の基幹業務に特化した開発に携わるハイ・アベイラビリティ・システムズ。技術革新がもたらすネットワーク社会の進展が新しい価値やマーケットを創り出すことを信じ、お客様とともに歩むことを目指す。
AccessMatrix USO製品紹介こちら
「AccessMatrix USO」製品紹介ページには、より詳細な情報が充実して掲載されている。データシート「USOが多くの金融機関で採用されているのか」には、オペレーターと管理者の2人の関与が無ければエンドユーザーのID/パスワードの新規登録・変更・削除ができない設定「インプット/チェッカー機能」、階層構造化組織における権限委譲機能、強力な暗号化モジュールなど、一般に他の業界よりセキュリティが厳しい金融業界において導入実績を持つAccessMatrix USOの魅力が紹介されている。また、無料アセスメントサービス&トライアルも実施している。
(マイナビニュース広告企画)
[PR]提供:
