ID 管理の進化
過去数年間、通信の技術的な革新によりツールが提供され、人、ビジネスおよびサービスの新たな関係を構築してきました。人々が思い描いているのは、どこからでも、接続に使用される機器に関わらず、即時にアプリケーション、情報および重要な地域にスムーズにアクセスすることです。このビジネスの世界が新たに形成されている現在、透明性と普及性のある接続が期待され始めています。そしてデジタル ID は、私達の移動に合わせて、機器から機器へ自動的に私達の側に存在するべきであると期待されています。
このビジョンを達成することは、もはや機器やネットワークが十分であるかどうかという問題ではなくなりました。その代わりに、IT の専門家によるコンピューティングの環境を作成し、企業および個人の情報に侵害、盗難または悪用の脅威を感じることなくアクセス、共有および使用を行うための努力が重ねられるに従い、セキュリティが中心を占めるようになりました。ここで期待されているのは、単に接続を構築しないことで問題を解決するのではなく、信頼性の高い接続を確立することです。
接続されたこの世界では、ID および身元確認システムの拡大は大きな問題で、困難な挑戦です。私達のユーザーは、コンピュータ間でやり取りされる際に増え続けているユーザー名とパスワードを覚えるのに必死です。そして我々、IT の専門家は、その管理に必死です。デジタル ID がユーザー、アプリケーションまたはデバイスを表していたとしても、そのデジタル ID の保護と管理は、今日ユーザーが必要としているシナリオを可能にし、信頼性の高い接続の構築のために重要なことなのです。
効果的で安全に企業ネットワークのユーザー コミュニティの実装と管理するために必要な費用と努力は、計り知れません。ソフトウェアのベンダー企業から IT 組織にさまざまなソリューションが提供されており、それは特別な垂直的または狭い ID 問題をピンポイントで解決するものから、すべての人に必要な問題を解決しようとする幅広い製品のスィートにまで及んでいます。ベンダー企業がどこであるか、また、みなさんの ID の問題を解決するためにどのベンダー企業を選択するかに関わらず、みなさんは ID の主要な 5 分野で製品およびソリューションを探すことになると思います。ここで重要なのは、みなさんの組織の ID およびアクセスのインフラを計画する際に、細心の注意を払うことです。
ディレクトリ サービス
組織内のユーザーと機器が拡大されるにしたがって、アクセスするユーザー、コンピュータおよびアプリケーション情報の保存および管理場所を中央に設ける必要性が高くなりました。さらに、中央での保存は、コンプライアンスに関する 2 因子の認証、データの暗号化および追跡など、最新の組織のセキュリティ ポリシーに適応する必要があります。ニュースが古いですか? IT 専門家のほとんどが、以前から組織でディレクトリ サービスを取り入れています。今日、IT 専門家は ID 管理とコンプライアンスの幅広い問題に対応するために、ディレクトリのアーキテクチャに立ち返り、ディレクトリが適切であるか確認しています。
ディレクトリが適当であるかを継続的に確認することは、優れた ID およびアクセスのインフラの基礎を確立するのに重要なことです。砂の土台に家を建てられませんし、お客様に対して豊富なエクスペリエンスを提供したいのであれば、ディレクトリのアーキテクチャの見直しが第一歩になります。みなさんが、大多数のお客様の一人で Active Directory を使用してユーザーに対する最初の認証ディレクトリにしている場合、5 年から 7 年前に選択したアーキテクチャを注意深く見直す時期が来たようです。
強力な認証
組織では、組織の隔たりを超えて多くのサービスをユーザーに提供することに目を向けるようになったために、伝統的なユーザー名およびパスワードのソリューションはビジネスの資産や機密データに対するアクセス管理の安全を確保するのに、もはや十分でない認識され始めました。さらに、IT の専門家は、歴史的に多くの強力な認証のソリューションが適用、維持および管理の観点から提供されているという複雑性を良く認識しています。
評判の悪いソリューションのひとつは、デジタル証明書です。多くの組織がデジタル証明書ベースの認証ソリューションを用いた過去の経験があるものの、これらは優れた最も柔軟性のある認証のためのソリューションで、ユーザー、コンピュータおよびアプリケーションに幅広くバラエティ豊かなシナリオを提供します。ソフトウェアおよびハードウェアのベンダー企業はデジタル証明書のインフラの適用および管理に関して提供される技術において、巨大な改善を成し遂げました。Windows Server の証明書のサービスは、最初に Windows NT 4.0 Option Pack にその姿を現して以来、この基礎的なインフラを提供するために長い道のりを経てきました。
コンピュータ認証用の Internet Protocol security (IPsec) およびユーザー用のスマート カード認証のような技術的な要件が、組織の最前線および中心になった今、P で始まり I で終わる 3 文字でできた単語を再確認するべきです。
フェデレーション
長い間、ディレクトリ サービスおよび強固な認証は IT の専門家特有のものでした。世界中で相互的な関係が深まり、「ID フェデレーション」のような新しい言葉が出現してくる一方で、組織は組織内のシステムおよびビジネス パートナー、お客様そしてモバイル使用の社員などの、社外組織用のデータに対して効果的で安全性が高いアクセスを提供することが必要になってきました。
「フェデレーション」は基準ベースのメカニズムで、異なる組織間 (例えば、組織とその仕入先など) の信頼性を構築するものです。この確立された信頼性により、組織間ではより安全で効率的な協力が可能で、異なる環境のエクスペリエンスで組織全体を網羅している共通のサイン オンをお客様に対して提供できます。
テクノロジー業界は、過去に共通のサイン オンに関して多くのアプローチを実施してきました。「フェデレーション」が、このように新鮮な印象を与えた背景のひとつには、そのデザインにより IT の専門家が固有の境界のない関係性を構築でき、社外の組織用のユーザー アカウントを作成する必要なく、より複雑なディレクトリの環境を管理できるということがあります。過去、多くの IT の専門家達は完全に別の Active Directory のフォレストを構築し、ビジネス パートナーへ安全と思われる方法でアクセスを提供する必要がありました。「フェデレーション」の使用により、IT スタッフに重荷をかけることなく通信の業務が実施され、ネットワークの境界内で情報および資産の安全性を確保できます。
情報の保護
次の文章を繰り返す必要はないと思います。: 機密情報の漏洩により、知的財産が失われ、競争力が侵害され、不公平な購買および決定過程、さらにお客様からの信頼が失墜されます。社員の給与額や社会保険番号が一般の Web サイトに掲載された理由を尋ねる CEO からの電子メールを受け取りたい IT の専門家などいるはずもありませんが、このコラムを目にしている方の中には、おそらくそのような経験をお持ちの方がいらっしゃるでしょう。
今日の組織では、電子通信およびファイルを随所で目にします。電子メールのメッセージと情報の送信を簡単にすると、不正な閲覧や配信のリスクにさらされる可能性も高まります。マイクロソフトのデジタル情報および組織の資産を保護する戦略は、私達が直面している脅威全体に対応するために進化していく必要があります。この問題に対する真の多層防御のアプローチに関しては、情報の利用を管理する詳細なポリシーを作成した上で、情報保護のためのソリューションを実施することがどうしても必要になってきました。
作成からライフサイクルまで、情報保護の戦略に時間とエネルギーを投資することは、ID 管理およびアクセスに対する包括的なアプローチの重要な要素です。以下は、この分野で考慮すべき重要な点です。
| • | 作成された時に情報が保護されているか? |
| • | この保護が持続するか? |
| • | ユーザーは、最も頻繁に使用するアプリケーションの情報にシームレスにアクセスできるか? |
| • | 災害時および情報の復旧計画があるか? |
ライフ サイクル管理
ここまでは、ID 管理およびアクセスの基礎を確実に構築するために必要な、4 つの主なインフラの分野について私の考えをお伝えしました。次にお話するのは、IT の専門家がライフ サイクルの間、組織のデジタル ID を司るポリシーの管理の責任を担っているということです。ユーザー、情報ポリシー、アクセス ポリシー、強固な認証のトークンおよびその他もろもろの管理業務の複雑性が増してきています。組織は社内外のルールと共に配信されるアプリケーションおよびデータの複雑さに対応しなければなりません。また、確実に認証ポリシーが定義され、正しく実施されている必要があります。この複雑性が増したことにより、自動化され、ポリシーで管理されて、作業過程をベースにした管理ソリューションが過去の手動プロセスに代わって必要とされるようになりました。
みなさんにとって、これは大変な仕事ですから、この問題に最も簡単で直接的な方法で対処したいと望んでいるはずです。以下はライフサイクルの管理について考えた場合に思い浮かぶ、いくつかの主要な点です。正しいディレクトリに関する最初の提案を確認してください。より簡単に、上手くディレクトリのインフラ管理を実施すれば、ライフサイクルの管理業務がより簡単になります。所定のすべてのアプリケーション特定のディレクトリについて考え、主要なユーザー ディレクトリとこれらのディレクトリで、どのようにデータを同期させ続けるかを考えてください。
みなさんの認証および「フェデレーション」の計画、さらに情報保護に関して何を行っているかについて考えてください。単に積み重ねていくソリューションではなく、上のひとつひとつをまとめて統合するのに役立つソリューションを探してください。ライフサイクル管理のプロセスを簡単にするために、ユーザーによる ID 管理に関連するビジネスの問題の処理能力を強化し、IT 組織の管理下で最大の管理能力を維持してください。みなさんには、既存の投資のすべてが上手く一体化されているソリューションが必要です。どの ID のライフサイクル管理のソリューションも、みなさんの常識破りのニーズを満たすことはできませんから、みなさん個々のニーズに応じたソリューションを探す必要があります。
この問題の対処法を選択する場合、ここまでお伝えしたような強固な基礎、四方を壁で固めることなしに、管理製品のスィートがみなさんのすべての問題を解決すると誤解しないでください。
まとめ
ID 管理はユーザーと組織を結びつけるために急を要する課題に対応する際に直面する最も重要なセキュリティの問題です。IT の専門家としてみなさんが ID 管理に対処し、今日および将来的な問題へアクセスする方法により、みなさんの組織がどれくらいの速度でアプリケーション、情報およびサービス対する幅広い、シームレスな世界を認識できるか決定されます。これらの主要な 5 分野に関する問題に対して慎重なアプローチを実践することにより、ゴールの達成に役立つソリューションを見出すことができます。必要なものが見つからない場合、乗り遅れず実現できるように、お気に入りのソフトウェア ベンダーに伝えてください。我々マイクロソフトは、耳を傾けています。
この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。