HP OpenView News 【42-04】
HP OpenView 事例紹介（海外事例）
Siemens Transportation Systems社、
HP OpenViewでネットワーク・アクセスを保護

Siemens Transportation Systems社（以下、STS）は、運行自動化技術（信号経路など）、エンジン、車両（ディーゼル、電気）、列車（高速、都市間など）、鉄道の電化（鉄道網の電源供給）、交通、および運行コントロールセンターを扱う総合的な運輸サービス企業です。Siemens AGの1部門で、全世界におよそ18,000名の従業員を抱え、またアメリカとフランスにも子会社があります。2003年の売上高は、約47億ユーロでした。

STSでは、全世界に広がるおよそ3,000社のビジネスパートナーと、従業員とがグローバル・ネットワークで結ばれています。信頼できるアクセスをタイミングよく提供しなければならないばかりか、イントラネット・エクストラネット・ポータル等を確実に保護できる全社的なセキュリティを構築、強化し、莫大な人数のアクセス権を認証/制御をする必要があります。更に、ユーザがアクセスできるデータエリアを特定する権利を正確に定義して完璧なセキュリティ体制の下で制御しなければならず、STSは企業内に導入する専門的なアイデンティティ管理ソリューションを探していました。

Authorized access only: Siemens TS secures network access with HP OpenView　（英語　PDF）

最適なソリューションを識別するため、STSは総合的な基準リストに照らし合わせて、あらゆる製品を評価しました。そして最終的には、2つのアイデンティティ管理ソリューションが候補として残りました。1つ目がXML（Extensible Markup Language）ベースのHP OpenView Select Access(以下、OVSA)。2つ目がCORBA（Common Object Request Broker Architecture）ベースのソリューションでした。

STSにとって、HPのソリューションの方が適していることは明白でした。

STSのテクノロジ・パートナー、Ophios GmbH(以下、Ophios社、 ドイツ、Bad Homburg)のマネージングディレクタであるトーマス・メッケル氏は、その理由を次のように説明します。
「CORBAベースのソリューションでは機能性と性能に限界があり、STSの要件には応じられません。また、CORBAベースのソリューションには、エラー追跡機能にも限界があることが立証されていました。」

「それに比べ、OVSAには、ポイント＆クリックで簡単に使える、優れたレポーティング機能があります。またHPソリューションは、簡単にインストールできる比較的小さなコンポーネントで構成されており、シンプルでスタンダードベースの構造であるが故に、ユーザにとって非常に易しいソリューションです。つまり、システムを管理するために複雑なトレーニングは必要ありません。プロジェクトの評価段階においても、OVSAの方がはるかに柔軟かつ単純であり、コスト面でも優れたソリューションでした。」

現在、OVSAは、STSオンライン・リソースへ、素早く使いやすいロールベースのアクセスを提供するため、ユーザはイントラネットとエクストラネットを充分に活用することができます。アイデンティティ管理は、正確かつ安全に管理される認証ポリシーを通じ、OVSAと一貫したアプローチを取っています。OVSAなら、ユーザはSTSのイントラネットとエクストラネットにあるwebベースのアプリケーションに、何度も認証する必要なく簡単なシングルサインオンでアクセスすることができます。

またOVSAは、SAML（Security Assertions Markup Language）標準を使い、連携した関連Webサイト全体へのアクセスも提供します。ユーザのデータや属性を交換し、複数サーバ間での認証も行えます。また、Liberty AllianceとWS-Securityスタンダードにも対応しており、つまり、ベンダーを選ばないため、どのようなビジネスパートナーでも、既に配備している認証製品に関わらず簡単に連携できるということです。

さらに、OVSAなら、各ユーザが自分たちのプロフィールに定義されている権利に応じ、個別情報へのアクセス権を取得します。また、このソフトウェアはUnicodeをサポートするため、各ユーザは自分たちが使い易い言語で作業が行えます。

STSのシステム管理業務に対して、OVSAは中央で管理できるJavaベースのインターフェース（下図参照）を提供するため、ユーザ・プロフィールやアクセスポリシーを素早く簡単に配備し、維持も簡単です。また直感的なインターフェースは、各ユーザに定義されている権利や制約内容が一目で分かるアイコンを表示します。また、このソリューションは拡張性にも優れており、必要に応じて世界各地から何百万人ものユーザを同時にアクセスさせることも可能です。更に、STSの複雑なIT環境に嬉しいもう1つのメリットは、プロフィールやポリシー、監査機能などを複数の管理業務間で委任あるいは再委任できるということでしょう。

HP OpenView Select Access Policy Builder
≫拡大画像(新規Window)

中央のアイデンティティ管理機能を提供するのは、ポリシーマトリクスの中枢部にあるRule Builderです。ポリシーマトリクスは全てのユーザとリソースを分かりやすく表示するので、IT管理者は全ユーザの権利を同時に一目で判断できます。マトリクス画面で、制約内容を4つの承認レベルに対して4段階（制約なし、若干制約あり、など）に定義します。結果は、例えば「アクセス拒否」や「エクストラネットへのアクセス」など、ユーザの権利を判定するために相関処理されます。ユーザの権利が包括的になるほど、ポリシーマトリクスに定義されたリソースを許可する方法も細かくなります。

評価段階で明白だったことが運用段階に入ると更に確実になりました。OVSAが提供できるTCOなら、ROIを最大化する方法を模索する企業も迅速な収益の還元が期待できます。また、小型のコンポーネント、簡単な設置と配備、使いやすいインターフェースはトレーニングの必要性を最小限に抑え、消費するリソース量も最低限で済みます。簡単に管理できるためエラー発生率が減り、コスト削減にもつながります。また、XMLを使用することなど、他の類似製品に比べて全てがコスト面で有利です。

Ophios社トーマス・メッケル氏は、どのようにSTS内でプロジェクトが受け入れられたかを、次のように説明します。「STSの立場からすると、ユーザ側および管理者側双方において、これまでの実績がとにかくすばらしい。迅速かつ円滑な配備プロセスは、誰をも納得させました。」

「全体的なセキュリティ基準が上がる一方で、ユーザやリソース検出の自動化など自動管理機能を通じて、管理に対するオーバーヘッドは大幅削減となりました。一方、管理に関わるエラーも減りました。加えて、総合的なトレーニングを実施せずにシステムを管理できる操作性も、非常に好材料でした。」

「全くそのとおり」と同意するのはSTS　ヴォルフガング・グリース氏。「このプロジェクトは模範的でした。私たちが経験した内容は、全て説得力あるものでした。現在、約70のwebアプリケーションで構成される当社のイントラネット／エクストラネットのユーザ管理は、全てOVSAで対応しています。そして、何も問題なくシームレスに機能しています。」

OVSAは、STSのグローバルな安全基準を強化しただけでなく、管理業務上の作業負荷を軽減し、総所有コスト（TCO）も大幅に削減したため、同社にとって大きなメリットとなったのです。