HP OpenView News 【36-06】
HP OpenViewで実現！
ヘルプデスク業務からパスワードリセット処理の負担を軽減する方法

近年のITインフラの発展により、ノートPCが1台あれば会社の席にいなくてもどこからでも会社のネットワークに接続して仕事ができる環境が整いつつあります。 そして、ITを取り巻く環境が便利になったと同時に不正アクセスに対するセキュリティ対策への関心も高くなりました。

ユーザを認証する際に、その人が確かに本人だと確認することは重要です。その為には高度な認証が望ましいですが、実際にはコストの問題等でユーザ名とパスワードの組み合わせでその人だと認証することが多くなっています。この時に用いるユーザ名とパスワードの組み合わせは、サービス毎にばらばらでしたが、ユーザにとって不便であるが故に次第に統合されるようになり、1つの組み合わせで済むようになってきました。

また、1度どこかのサービスを利用する際には、認証されれば他のサービスへのアクセスは自動認証される仕組みも導入されつつあります。このような仕組みを作り上げる上で、ユーザのアカウントはディレクトリーサーバなどで一元管理されるようになり、ユーザから見れば1つのユーザIDと1つのパスワードを覚えればよいとう利便性が提供されるようになりました。
しかし、そのパスワードが不正ユーザに知られれば全てのサービスにアクセスできてしまうという危険性もあります。そのため、セキュリティ・レベルを維持するために、パスワードに複雑なポリシーを課す流れが出てきました。例えば、英数字以外にも記号を含ませないと駄目、辞書にある単語は使っては駄目といったものです。その結果、ユーザにとってパスワードは1つ覚えればよいのですが、そのパスワードは類推されにくい複雑なもので、そして月に一度は変更しなければならない、といった厳しさが求められるようになりました。

ただ、パスワードが難しくなっても悪意ある不正ユーザにパスワードを盗まれる可能性はあります。そのために怪しいユーザはサービス側で遮断する機能、例えばアカウントロック機能が求められるようになりました。アカウントロック機能は例えば、パスワードの入力を何回か間違えた場合はそのユーザは不正ユーザとみなし、一定期間(例えば一日など)はそのアカウントを使えなくする、というものです。

パスワードの設定に複雑さが求めつつ、間違えるとアカウントをロックするという仕組みはセキユリティを高めると同時に、うっかりパスワードを間違えてしまった正規ユーザも不便を被ることになります。アカウント管理を一元管理している場合には全てのサービスが使えなくなるという困った状況にもなります。そんな正規ユーザを救済するために、ヘルプデスクに電話するとアカウントロックを解除するというプロセス上の仕組みなどが導入されました。

アメリカの調査会社 Meta Group によると、ヘルプデスク業務でのパスワードリセットの占める割合は45%にも及んでいるという話があります。次に示す図は、弊社製品であるHP OpenView Service Desk を使っている実際のお客様の例ですが、パスワードリセットに関するコールが多いのがわかります。(図1参照)

ここで問題になってくるのがパスワードリセット依頼に対し、ヘルプデスクのオペレータが手動でロックされたアカウントを解除している場合です。ヘルプデスクの貴重なリソースがロックされたアカウントの解除作業に追われるのではなく、もっと他の作業に割り当ることができれば仕事の効率が向上することは言うまでもありません。

前置きが長くなりましたが、今回ご紹介するのは、ヘルプデスク業務を逼迫しているパスワードリセット作業工数をいかに少なくするかといった話です。

図1
≫拡大画像(新規Window)

HP OpenView 製品には Identity and Access Management(IAMと略される)分野の製品群があります。(表1参照)

今回はこの製品群の1つ HP OpenView Select Access(以下、OVSA)を使います。

この製品は、認証・認可および認証済セッションを複数サービス間で維持する機能である シングルサインオン(Single Sign-On;以下、SSO) 機能を実現する製品です。エージェント型と呼ばれ る製品構成で、web server 等に非常に小さいモジュールを組み込み、ユーザの認証および認可をコントロールします。(図2: SAの製品構成参照)

パスワード管理機能として管理者がパスワードをリセットする機能及び、ユーザ本人が予め設定しておいた質問と答えの組み合わせをクリアすればパスワードのリセットを実行できる機能の両方を有しています。

図2: SAの製品構成
≫拡大画像(新規Window)

また、他の HP OpenView 製品とのインテグレーションモジュールも充実しています。 (図3: 他の HP OpenView 製品との連携図)

図3: 他の HP OpenView 製品との連携図
≫拡大画像(新規Window)

この製品の主な機能である認証、認可、SSO はひとまず置き、この製品のパスワード管理機能と HP OpenView Service Desk(以下、OVSD)*とのインテグレーションモジュールを使ってヘルプデスクのコストダウンを図ります。

*HP OpenView Service Desk 製品情報はこちらをご参照下さい。
　≫ http://h50146.www5.hp.com/products/software/management/openview/lineup/sd/index.html

今回の話は以下の状況にあるお客様がぴったりとくる話です。

• すでにOVSDを使っている。あるいは導入を検討している。
• MS ActiveDirectory などのディレクトリサービスでユーザアカウントを一元管理している。
• ヘルプデスク業務でパスワードリセット依頼が徐々に増えつつある。
• パスワードリセットの処理を自動化したい、あるいはヘルプデスクオペレータの作業を軽減したい。

上記の状況に OVSD + OVSA を組み入れるとヘルプデスクの状況がどう変わるのかを以下に示します。

• ユーザがヘルプデスクにパスワードリセットを依頼した場合、オペレータはActiveDirectory等の管理コンソール画面を別途立ち上げることなく、OVSD画面上の操作だけでパスワードリセットを実施できる。
• ユーザはOVSAの自己管理機能を使い、予め幾つかの質問と答えの組み合わせを設定しておけば、パスワードリセットが必要な時にはOVSAの自己管理用のwebにアクセスし、質問に答えることでパスワードリセットをかける。その際のパスワードリセットはOVSDでトラッキングされる。

実際の操作画面をご覧下さい。
図4の画面が、ヘルプデスクのオペレータがユーザからの依頼によりコールを起した場合の画面です。

図4: OVSDのcall id 画面からアクション「password reset」を呼び出す
≫拡大画像(新規Window)

次にOVSDからの画面の流れで、そのユーザのパスワードリセットを実施します。(図5参照)

図5: パスワードリセットの実施
≫拡大画像(新規Window)

そして、ユーザ自ら OVSA のパスワードリセット用URLにアクセスし、予め用意してある質問に答えてパスワードリセットします。(図6、図7、図8 参照)

図6: パスワードリセットを行なう自分のアカウント検索
≫拡大画像(新規Window)

図7: 予め設定しておいた質問にその答を入力
≫拡大画像(新規Window)

図8: パスワードリセット成功を報せる画面
≫拡大画像(新規Window)

気になるのは導入の敷居の高さだと思いますが、大まかには以下の作業項目となります。
( OVSD とActiveDirectory等のLDAP製品が既に導入されている場合です)

1. OVSAの validator と admin server そして OVSD用連携モジュールをインストールします。
2. OVSA の設定にて利用するLDAPサーバとしてActiveDirectoryを指定します。
3. OVSA の self management 機能、self password reset 機能を有効にし、ユーザが OVSA のこれらの機能にアクセスできる設定にします。
4. OVSD用連携モジュールの設定ファイルにてOVSDにアクセスできる設定を施します。

OVSD と OVSA の連携によりユーザアカウントの管理がより機能的になることがお分かりいただけたかと思います。アカウントロック解除のシステム的な処理が可能になることで、セキュリティーを高く維持しつつも、利用者に最大の利便性を与え、瞬時にロック解除でることにより、ビジネス的損失を最小限に抑えることができます。この効果は導入コストの低さで考えるとローリスク・ハイリターンの投資であると言えます。