【47-06】アイデンティティ/アクセス管理：
IT管理者は日本版SOX法へ向けてどこから手を付けるべきか？

迫り来るJ-SOX法の施行に向けて、間違いなくキーポイントの1つとなるのは、社内ITシステムのアイデンティティ/アクセス管理(以下、IAM) でしょう。「それは論を待たないよ。」「そんなことはこれまでに耳にタコが出来るほど聞いたよ。」という読者の皆様の中にも、新聞や雑誌紙面での取り上げられ方や、社内での上司や他部門からの有形無形のプレッシャーの前に、「アイデンティティ管理、アクセス管理をしっかりやれと言われたって、担当者として一体どこから手を付けたら良いの？」とまだまだ悩まれている方も多いと思います。

ご安心ください。今回はHPが提供するソフトウェア、HP Selectシリーズを導入することで、どんなIAMが具現化され、そして皆様が直面している悩みにどうお答えできるか、ポイントを整理しつつご紹介したいと思います。

SOX法制定のそもそもの目的は、企業に正しい財務報告を行わせることにほかなりません。法的な強制力もあります。その特長は、その報告内容の正当性を証明するためのアプローチとして、それが算出されるまでの一連のプロセスを予め整理・明文化し、宣言した通りに算出されたかを管理すること、としているところにあります。これを「企業内部統制」と呼んでいます。そして、日本版SOX法では更に、この内部統制を効率良く確実に行う方法として、ITを大いに活用しなさい、と明記されている点が目を引きます。平たく言うと、財務報告算出プロセスもコンピュータによって処理されているわけで、それを管理する仕組みもコンピュータで行うことを推奨しているのです。

≫拡大画像(新規Window)

★参考資料：
≫HP OpenView News Vol.29-02コンプライアンスとITマネジメント
≫HP OpenView News Vol.42-03 (最新版)日本版SOX法対応におけるITILの有効性　：　内部統制とITの関係

性善説と性悪説の議論は脇に置いておいて、企業内部統制を考える際には一般的に性悪説のスタンスが取られているようです。つまり、上述の財務報告の正当性を証明するには、最大限人手の介入を排除し、IT(コンピュータ)システム による自動算出処理を基本とし、そのコンピュータへアクセスできる人・権限・時間・履歴もきちんとITシステム上で管理しようという発想が根底にあります。要は、人手がやたらと介在すると何をしでかすか分からない、身元の明らかな人のみが、予め意図した条件下でのみ、履歴を残しながら操作することのみを許すようなセキュリティ体制を確立するべきだという論法です(もちろん、単純にヒューマン・エラーを減らしたいという意図もありますが) 。つまり、正しい財務報告にはセキュリティは必須ということですね。

では、セキュリティおよびセキュリティ対策とは何か？という話ですが、セキュリティ対策と一言で言ってもその意味するところはとても広く、一時期、世間を賑わしたP2Pベースのファイル交換を防ぐ仕組みというのもその一環ですし、スパムメールの排除もその一環だとおっしゃる方もいます。VPN等の盗聴されない通信回線の確保、業務用携帯電話を屋外で紛失しない、居酒屋で企業秘密の話をしない、社内で不審者を容易に判別できるように同僚の顔と名前をなるべく覚えるなんていうのも立派なセキュリティ対策です。これらは以下のように整理することが可能かと思います。

≫拡大画像(新規Window)

この図のように、セキュリティ対策はIT（コンピュータやネットワーク）システムの使用や通信の保全性を高めるための“デジタル系”に分類される内容の物と、人(社員) の行動の保全性を高めるための“アナログ系”に分類される内容の物とに大別できることが見て取れます。
IAMは、デジタル系対策の一翼を担い、コンピュータ機器やネットワーク機器へのネットワークを介したログインアクセス管理を強化することを意図していますが、デジタル系対策の中にある他のものと比較してもその中核を成すことが、この図からも直感的に分かると思います。つまり、ITシステムのセキュリティ対策を考える際に、まずIAMに着手するのが妥当と言えます。

★参考資料：
≫HP OpenView News Vol.37-03 いまさら聞けないセキュリティ-4-
≫HP OpenView News Vol.46-03 いわゆる日本版SOX法の実施基準（公開草案）にみる情報セキュリティ対策のポイント

では、このIAMをお手伝いするHP Softwareの HP Selectシリーズ導入のメリットについてご紹介します。
HP Softwareが提供するHP Selectシリーズでは、IAMの高度化を実現するための製品として以下の4つの製品をご用意しています。

≫拡大画像(新規Window)

それぞれ
HP Select Identity software(以下、Select Identity) ： IDライフサイクル管理
HP Select Access software (以下、Select Access) ： Single Sign-on(SSO) を含めた認証・認可管理
HP Select Federation software(以下、Select Federation)： IDアクセスの企業間連携
HP Select Audit software(以下、Select Audit) ： Select製品のAudit（監査）機能補完
を受け持ちます。
では、これらの製品が日本版SOX法対応において、どのような効果を発揮するのかについて、特にSelect IdentityとSelect Accessの2つの製品についてご紹介します。

(1)IDライフサイクル管理とEntitle Management　(Select Identity)

Select Identityは、効率的なIDライフサイクル管理を実現するパッケージソフトウェアです。ではIDライフサイクル管理とはどういったことを行うのでしょうか？

企業の内部統制強化が叫ばれる昨今では、多くの企業で、インフラのIT化が確実に進んでいます。かつては紙ベースで手渡されていた給与明細が、今ではWebベースで各自が閲覧したり、各部門のデータや情報をWeb上で掲載して共有している企業もあるかと思います。
このように高度なIT化が進んだ企業においては、これまで社員を一意に特定する手段であったFace to faceの識別や書類を介した識別は、その多くが通信上でのやりとりに置き換わり、その人のアクセスはコンピュータ上の代理物である”ID”と共に識別されるようになります。そして、正しいIDを伴うアクセスに対してのみ正しい権限が付与される必要があるのです。

つまり、IDライフサイクル管理とは、企業内のこのような何百何千というIDを過不足なく管理し、必要な人に必要なIDを正しく払い出し、適切な閲覧権限、適切な実行権限を付与し、不要になった権限は剥奪する、または不要になったIDは休止する、削除するという一連の活動を指します。例えば、財務報告を算出するITシステムにIDライフサイクル管理が施されていなければならないのは火を見るより明らかです。

ただ、「それは分かっているけど、中々効率よくそれを実現できなくてね。」とおっしゃられるIT管理者もいらっしゃるでしょう。そこでお勧めなのがSelect Identityで実現するEntitle Managementです。

Select Identityでは、従来用いられてきた、権限を定義した役割（role）を作成し、その役割をIDに直接付与するというRule & Roleベースの管理は行いません。運用が長期に亘ると役割とIDの紐付け管理が煩雑になり、いずれ活動が破綻する恐れがあるからです。
Select Identityでは権限（Entitle）が払い出されるべき対象はIDではなく、実はID(人)が持つ何らかの側面属性であることに着目し、これを管理する論理設計が成されています。例えば、ある研究結果の閲覧権限は、実は個人(ID)に払い出されているのではなく、個人の所属部署（研究所勤務）という側面属性に払い出されているという発想です。
これをシステム的に見ていくと、社内情報共有のWebシステムにあるそれぞれのページ(営業用、総務用、人事用、研究所用)にアクセスできるグループ(Sales-G、Admin-G、HR-G、LAB-G)を作成し、リソース(Unix OS、ディレクトリサーバ…)上に配置し、そして所属を表す属性(department)を定義して属性値の候補(Sales、Admin、HR、LAB)を決めます。リソースのこれらのグループはSelect IdentityからEntitlement(権限)として参照可能なので、これら全てを一括りのサービス(Web閲覧サービス)と定義します。
後は特定の属性値を持った人、例えば太郎さん(ID=taro)がこのサービスに参加させれば、その属性値(LAB)により自動的にOS上のLAB-Gにtaroが加わり、その結果として研究所用Webページにアクセスできる仕組みになっています。太郎さんが営業部に異動して属性値がSalesに変われば、自動的に研究所用のWebページの閲覧は不可能になり、代わりに営業用のWebページの閲覧が可能になります。

≫拡大画像(新規Window)

更にSelect Identityでは、サービスの定義の一環として、適切な管理ユーザの承認無しには実際の値の反映を実行させないようなワークフロー・テンプレートや、人事DBからの自動データ反映を行わせる機能、分単位の粒度で時間を指定しその間だけEntitleを払い出すような運用機能も提供されているので、一から全てを定義・設定する必要はなく、現在のアクセスを見渡し交通整理をして、適切なサービス設計を行えば長期に亘って効率的なEntitle Managementが実現できます。

(2)Single Sign-onを含めた認証・認可管理とPolicy Enforcement

一方Select Accessは、Single Sign-on(SSO)を含めた認証・認可管理を実現するパッケージソフトウェアです。一言で言うとWebアクセスにSSOを提供するツールです。
SSOとは、ある管理ツールが管理下にWebサーバを幾つも配し、そのどれかに対してユーザIDとパスワードを用いて一旦アクセスログインしてしまえば、その他のWebサーバに継続してアクセスする際にはユーザIDとパスワードを再度入力する必要がないような運用を実現することです。
これにより、全てのWebサーバへのアクセスログインに必要なユーザIDとパスワードは1組だけ準備されればよく、ユーザはこの1組だけを記憶しておけば、各Webサーバへのアクセス時の入力も初回以外不要となります。管理者にとってはユーザIDとパスワードが保存されているデータレポジトリが1箇所となるため、管理の簡素化と保全性の確保が容易になるというメリットがあります。
昨今のSSOツールでは、Select Accessも含めて、前述のように、入り口でのアクセスログイン時のアクセス開始を許可する/拒否するの”認証”処理だけではなく、ログイン後のWebページ参照において、ログイン時に用いたIDを持つユーザ個々に対して閲覧許可/拒否をページ単位で振り分ける”認可”処理も行えるものが殆どで、さらにIDに関するデータをLDAP上に保持する設計が一般的とされています。
Select Accessでは、もう一歩踏み込んで、HP-UX 11.23との連携に限っては、HP-UXへのログイン(ローカルログイン、telnet、ftpといった/etc/passwdをベースとしたアクセス)認証処理とローカルログイン/telnetログイン後のシェル上でのコマンド実行の認可処理を制御することも可能で、これらOS上の認証・認可とWeb上での認証・認可とを混在させてSSOを提供することも可能です。
また、これらIDとパスワードベースの認証・認可処理に加えて、ソースIPアドレス(アクセス元のPCに付与されたIPアドレス)や、現在時刻、外部DB参照結果に応じて認可処理の動作ポリシーを切り替えるというような設定もGUIで簡単に出来ます。

このようにSelect Accessは、単にアクセスしてくる人をIDで識別し、Webの門の入り口から中に入れるか否かの認証処理を行うだけでなく、IDが実行しようとする権限の認可を、様々な値を判断基準と実行する柔軟なIDアクセスポリシーの具現化が可能であり、これを人(ID)に向けて確実に適用し続けていくというPolicy Enforcementの色合いが強い製品となっています。

管理者の方は、まずはユーザと自身の負荷を劇的に軽減するSSOを実現しながら、各システムに分散したIDのLDAP上への集約化を実現し、製品テンプレートを用いた粒度の細かい認可処理ワークフローの設計を直感的なツールで行うことになります。これによりIDライフサイクル管理からもう一歩踏み込んだ形のメリハリの効いた認証・認可管理が可能となります。

Select AccessはIDのデータレポジトリとしてLDAPを用います。また、Select Identityはそのリソース設定としてLDAPを設定することが可能です。これらからSelect IdentityとSelect AccessはLDAPをハブとしたシステムで共存連携が可能で、Entitle ManagementとPolicy Enforcementを同時実現させるシステムを構築が可能であり、この構成は国内大手企業でも既にお使いいただいている実績のある構成です。

ここまで見てきたように、日本版SOX法対応とIAM (IDアクセス管理)は切っても切れない関係にあり、HP Softwareが提供するSelect IdentityとSelect Accessを用いて、Entitle ManagementとPolicy Enforcementの考え方に則って社内のリソースを整理していくことは、効率的なIAM(を長期に亘って行うことにとって非常に有効な手段だといえます。
是非ご検討下さい。