ID およびアクセス管理 ‐ 基本概念

効果的な ID とアクセス管理には、相互に依存するいくつかのテクノロジとプロセスが必要となります。これらの要素を組み合わせることによって、組織内の ID の統一性を確保し、それらを効果的に使用できます。ID とアクセス管理の主なトピックとしては、ディレクトリ サービス、ID ライフサイクルの管理、アクセス管理、アプリケーションとインフラストラクチャの統合方法などがあります。

注: この章では各トピックの概要を説明し、残りの章では各トピックに含まれるプロセスとサービスについてさらに詳しく説明します。この章を読んでこれらのトピックの概要を把握してください。技術的な詳しい内容については、第 4 章から第 7 章までを参照してください。

個々の技術的な問題に対処するために、ID とアクセス管理に関する多くのテクノロジとソリューションは独自に発展してきました。組織、アナリスト、ベンダ、およびシステム インテグレータは、これらのテクノロジおよびビジネスの問題がすべて相互に依存していることを次第に認識するようになりました。そして "ID とアクセス管理" という単一のカテゴリに分類されるようになりました。

この相互依存性を明確に示すために、マイクロソフトは ID とアクセス管理に含まれるサービスとプロセスをグラフィカルに表示する ID およびアクセス管理フレームワークを構築しました。

次の図に、Microsoft ID およびアクセス管理フレームワークの主なコンポーネントを示します。

図 3.1: Microsoft ID およびアクセス管理フレームワークの主なトピック
拡大表示する

この章では、フレームワークのそれぞれのトピックを規定し、各トピックをサポートするテクノロジ、サービス、およびプロセスを紹介します。

Microsoft ID およびアクセス管理フレームワークの全般的な要素としては、個々の組織の要件を具体化するビジネス、セキュリティ、およびプライバシー ポリシーの管理があります。これらの要素によって、ビジネス目標の達成に、テクノロジおよびプロセスの適用方法を制御する、ビジネス予測、ルール、標準、および制約を定義できます。たとえば、セキュリティ ポリシーが広範で影響が広い範囲に及んでいると、ID およびアクセスの管理のすべての局面に影響します。

プライバシー ポリシーは、運用している組織、業界、および国または地域の影響を受けます。これらのポリシーは、組織の ID ストアの個人データを有効に保護するための手順を定義します。1996 年に制定された米国の医療保険の携行性と責任に関する法律 (HIPAA: The Health Insurance Portability and Accountability Act) 、1998 年に制定された英国のデータ保護法 (Data Protection Act)、欧州連合のデータ保護に関する EU 指令、(Data Protection Directive 95/46/EC)、および国際的な Safe Harbor agreement および Safe Harbor principle などの各国および国際的な法律は、プライバシー ポリシーの作成において重要な役割を果たします。

ディレクトリ サービス

ディレクトリ サービスは、すべての ID とアクセス管理インフラストラクチャの基盤を提供します。ディレクトリ サービスは、信頼できる単一のデジタル ID 情報のソースを提供します。この情報には、アドレス、電話番号、職場、役職、部署名などのユーザー属性形式のユーザー プロファイル情報、パスワード、X.509 証明書マッピングなどのセキュリティ情報が含まれます。

マイクロソフトでは、組織での信頼されたデジタル ID ストアとなるディレクトリの数はできるだけ少なくすることをお勧めします。この削減により、即座に利益を得て、他のすべてのコンポーネントを統合するための確実な基盤を提供できます。

マイクロソフト テクノロジにおけるディレクトリ サービス

ディレクトリ サービスは、Windows NT® 3.1 が導入されたときに初めて Microsoft® Windows® プラットフォームでサポートされました。マイクロソフトの現在のディレクトリ サービスには、次の内容が含まれます。

マイクロソフトのディレクトリ サービスの詳細については、後述の「第 4 章: ディレクトリ サービス」を参照してください。

ページのトップへ

ID ライフサイクル管理

ユーザーおよびその権限と資格情報の管理には、次のような一連のプロセスがあります。

ID 統合サービス

ID 統合サービスは、一般に組織に複数のディレクトリまたは ID ストアが存在する場合に必要です。各ディレクトリにはユーザーに関するすべての情報のサブセットが保存されているので、ID 統合サービスはすべての ID ストアから情報の集約ビューを作成してサービスを提供できます。

ID 統合サービスは、既存のディレクトリ、人事 (HR)、会計アプリケーション、電子メール ディレクトリ、各種のデータベースなどのさまざまな権限のあるソースから ID 情報をプルすることによって集約ビューを作成します。ID 統合サービスが収集するすべての ID 情報は、単一のデータベースまたは "metaverse" に格納されます。metaverse は、接続されている複数のデータ ソースの ID 情報から集約したすべてのオブジェクトの統合された単一のグローバル ビューです。

この中央の情報データベースを使用すれば、インポートおよびエクスポート操作のフローを制御するデータにルールを適用できます。インポートおよびエクスポートのデータ フローをルール ベースで制御する機能によって、ID 同期を実装し、さらにプロビジョニングを実装することもできます。この同期とプロビジョニングはプログラム ルールを使用して自動化できるので、ID 統合サービスは、ID データの管理に関連するコストを軽減し、人的管理によるエラーを予防することを可能にします。

プロビジョニング

ID とアクセス管理の主な構成要素の 1 つには、デジタル ID を作成する手法があります。プロビジョニング プロセスは、組織のディレクトリ インフラストラクチャに含まれるユーザー情報を活用する強力なツールを提供するので、ユーザー アカウントと情報リソースに対する権限の許可と失効を迅速に実行できます。このようなリソースには、電子メール、電話サービス、HR アプリケーション、基幹業務 (LOB) アプリケーション、業務アプリケーション、イントラネットおよびエクストラネット アクセス、ヘルプデスク サービスが含まれます。

デジタル ID を作成するプロセスを自動化すれば、コストが削減され、生産性が大いに向上します。たとえば、新しい社員が組織に加入した場合、プロビジョニング システムでは 1 週間以上かかっていたユーザー アカウントとアクセス権の取得を数時間に短縮できます。プロビジョニングの自動化によって、管理者が事務、経理、人事に費やす時間、および IT 担当者が要求を承認および実装するための時間も大いに短縮できます。

ワークフロー

ワークフローは、ほとんどのプロビジョニング プロセスに必要です。リソースへの要求はオンラインで入力され、事前定義されたパスで校閲者と承認者にルーティングされ、最終的にユーザー アカウントを作成する人員またはシステムにルーティングされます。要求および補足資料の電子コピーは、プロセスの各参加者に自動的にルーティングされます。それぞれの情報を一度入力するだけで、プロセスはすべての部署に一貫して完全に適用されます。だれがいつ許可したかについて完全な監査記録が作成されます。自動監視されているワークフローでは、レビューまたは承認のアクションが一定時間内に完了しない場合、上位の主任または管理者に通知が送信されます。

ワークフローは、承認に対する要求をルーティングするなど、管理の委任およびセルフサービス プロセスでも有用です。

管理の委任

一般的な管理モデルには、ID ストアのすべての要素を管理する能力を持つ、信頼された担当者の小さなグループがあります。この管理者は、ユーザーを作成および削除し、パスワードを設定およびリセットし、すべてのユーザー属性を設定できます。

ただし、中央の単独の管理者グループにユーザー ID のすべての管理を任せないほうがビジネス上有利になる場合も少なくありません。エクストラネットのディレクトリにあるパートナーのアカウントの場合は、アカウントの管理をパートナー組織の管理者に委任する方法が適しています。パートナーの管理者は、各自の社員のすべてのアカウントを管理します。ユーザーをいつ作成または削除する必要があるかはパートナーのほうが理解していること、およびユーザー支援の要求をローカルに処理できることから、管理の立場から見ると、この方法は理にかなっています。

管理の委任は組織内でも行われ、その場合は、それぞれの部署で信頼された担当者が組織の ID ストアのサブセットを管理します。

セルフサービス管理

社員などの一般的なユーザーには、セキュリティに関連しない多くのユーザー属性があります。組織は、ユーザーがそのような属性を変更できるようにすることもできます。たとえば、各自の携帯電話の番号をユーザーが変更できるように許可します。ただし、セルフサービス管理には、名前付け規則や有効性の検証を実施するなどの適切な制約を設ける必要があります。

資格情報管理

資格情報は、認証と承認において重要な要素となります。そのため、特別な管理が必要になり、関連するすべてのプロセスに対して厳格なセキュリティ対策が必要になります。資格情報はプロビジョンする必要があり、証明書の失効、パスワードのリセットなどの管理を行う必要があり、ユーザーには自身のパスワードの変更などのセルフサービス機能が必要です。資格情報を受け取るメカニズムは、(本人が ID を提示してスマート カードを受け取るか、または暗号化されたダイレクトなチャネルを使用してリセットされたパスワードを受け取るなど) 綿密に検証する必要があります。

パスワード管理

資格情報管理固有のサブセットはパスワード管理と呼ばれます。ユーザー名とパスワードの組み合わせによる認証は、今日のネットワークとアプリケーションで依然として最も普及しているテクニックです。異種環境でパスワード情報を管理する場合は、さまざまなテクニックを使用できます。

別のシステムに自動的にパスワード情報を伝達するテクノロジを使用するパスワード管理の方法もあります。この伝達によって、ユーザーは同じパスワードを使用して複数のシステムにログオンできるので、パスワードを忘れることも少なくなり、忘れたパスワードの生成に伴うヘルプデスクへの問い合わせも少なくなります。プラットフォームとアプリケーション間で一貫したパスワードを使用するには、一般的に、パスワードの変更操作およびヘルプデスクによるパスワードのリセット操作を共通のインターフェイスを使用して集中管理する必要があります。

パスワードの伝達は、参加する各システムのセキュリティ特性を完全に把握してから検討する必要があります。たとえば、ネットワーク経由で Telnet を使用してプレーンテキストのパスワードを送信する UNIX 環境には、業務上重要な機密処理を完了するために使用される Active Directory アカウントと同じパスワードを提供すべきではありません。

プロビジョニング解除

プロビジョニング解除は、ID ライフサイクル管理のもう 1 つの主要な機能です。プロビジョニング解除によって、社員が組織を離れた場合にアカウントを体系的に無効化または削除し、権限を失効させることができます。良好なセキュリティ プラクティスとしては、万一元社員による悪意のある攻撃があった場合にそれを防ぐ目的でアカウントをすばやく無効化する必要がありますが、再びこのアカウントを有効にする (または名前を変更したり再割り当てしたりする) 必要が生じたときのために、適切な時間が経過するまで削除しないことをお勧めします。アカウントを削除せずに無効にする方法は、アカウント名などの特定の ID 属性が一意で、ポリシー要件に指定された期間再利用できないようにする必要がある組織などでも有効です。

マイクロソフト テクノロジにおける ID ライフサイクル管理

ID ライフサイクル管理に対応したマイクロソフト テクノロジは次のとおりです。

マイクロソフト テクノロジによる ID ライフサイクル管理の詳細については、後述の「第 5 章: ID ライフサイクル管理」を参照してください。

ページのトップへ

アクセス管理

アクセス管理では、ユーザーの識別に認証を使用する場合、デジタル ID を相互に関連付けるために資格情報のマッピングを使用する場合、またはリソースへのアクセス許可に承認を使用する場合のいずれの場合にもユーザーによるリソースへのアクセスの制御が関係します。その他のアクセス管理のトピックとしては、連合と信頼の実装によるアクセスの拡張、および監査によるユーザー操作の追跡と記録があります。

認証

認証は、ネットワーク、アプリケーション、またはリソースに対するユーザーまたはオブジェクトのデジタル ID を立証するプロセスです。認証されたユーザーは、承認プロセスを経由して各自の権限に基づいてリソースにアクセスできます。

認証テクニック

認証には、ユーザー ID とパスワード情報 (ユーザーが知っているもの) やバイオメトリクス (ユーザーを区別するもの) に基づいた簡単なログオンから、トークン、デジタル証明書、スマート カード (各自が持っているもの) などに基づくさらに強力なセキュリティ メカニズムまで、広範なテクニックがあります。高度なセキュリティ環境には、多元的な認証プロセスが必要になることがあります。たとえば、ユーザーが知っているもの (パスワードなど) と、ユーザーを区別する機能 (指紋など) またはユーザーが持っているもの (スマート カードなど) と組み合わせることができます。

e ビジネス環境では、単独または複数のサイトにある多くの Web サーバーにまたがる複数のアプリケーションにユーザーがアクセスすることがあります。効果的な ID 管理とアクセス管理の戦略を使用すれば、認証サービスを展開してユーザーの操作を簡略化し、管理オーバーヘッドを軽減できます。このような理由により、認証サービスは異種環境をサポートする必要があります。

認証テクニックには、次のような例があります。

認証テクニックの強度を比較する

認証テクニックには、ユーザーがパスワードをアプリケーションまたはホストに直接入力する簡単なものから、高度な暗号化メカニズムを使用して悪意のあるアプリケーションまたはホストからユーザーの資格情報を保護するはるかに複雑なものまであります。

どのような方法であれ、暗号化されていないプレーンテキストのパスワードをアプリケーションまたはホストに提供することは、認証シーケンスを傍受される危険があるので、最も弱い認証テクニックであると考えられます。ユーザーが悪意のあるホストへの認証を試みると、ホストの所有者はネットワークのあらゆる場所でそのユーザーになりすまして操作するために必要なすべての情報を入手することになります。パスワードを機密情報と考えていても、その機密情報が何かをネットワークのすべてのコンピュータに示す必要があるのであれば、それはほとんど機密情報とはいえません。

より強力な認証テクニックでは、認証に使用する資格情報を保護し、ユーザーが認証を試みるホストまたはリソースに機密情報が解読されないようにします。一般的には、これは、ユーザーと信頼されたサードパーティ (Active Directory ドメイン コントローラなど) だけが知っている秘密のパスワードを使用して署名データを暗号化することで実施されます。コンピュータは、署名されたデータを信頼されたサードパーティに提示することによってユーザーを認証します。サードパーティは、署名をユーザーの既知の情報と比較し、ユーザーの身元が正しいかどうかをコンピュータに通知します。このようなメカニズムによって、パスワードが正しい機密情報であることを保証します。

シングル サインオン

あらゆる認証にとって重要なことは、シングル サインオン (SSO) の概念です。  アプリケーション レベルの SSO では、ユーザーがアクションを実行するたびにパスワードを提供する必要なくアプリケーションを継続して使用するために、クライアントとサーバー間に "セッション" を確立する必要があります。

同様の概念は、ネットワークで使用できる一連のアプリケーションにも拡張できます。異なるアプリケーション間で SSO を実装するには、クライアント、ネットワーク上で信頼されたサードパーティ、各種のサーバー アプリケーションとネットワーク リソース間でセッションを確立します。セッションは、ユーザーの資格情報の代用としては最適のものと見なされている、チケットまたは cookie を使用してさまざまな方法で実装できます。認証時には、ユーザーに資格情報を要求する代わりにチケットまたは cookie がサーバーに送信され、ユーザー ID の証明として受け入れられます。

その結果、ユーザーは一度サイン オンするだけで多くのアプリケーションを使用できることになります。このようにして、シングル サインオンが実現します。

注: 非常にまれですが、ユーザーが繰り返し認証の資格情報を提供することを強制する認証メカニズムが適している場合もあります。また、特に機密性の高い操作を実行する前にアプリケーションが資格情報の入力を要求することもあります。

マイクロソフト テクノロジにおける認証

Microsoft Windows Server 2003 Active Directory は、次のような認証メソッドに不可欠なサポートを提供します。

Windows Server 2003 IIS (Internet Information Services) 6.0 は以上のすべての機能のほかに以下の機能をサポートします。

アプリケーションは、SPNEGO (Secure Protocol Negotiation) を含むセキュリティ サポート プロバイダ インターフェイス (SSPI) などのアプリケーション プログラミング インターフェイス (API) を介して認証メソッドを呼び出すことができます。

Windows XP には、ワークステーションのログオンおよびリソースへのアクセスのための統合された認証機能、Web サイトへの統合された認証に対応した Internet Explorer、および認証に使用するパスワード、デジタル証明書、および Passport を管理するための資格情報マネージャが含まれます。

承認

承認とは、デジタル ID を使用して要求されたアクションを実行できるかどうかを決定するプロセスです。承認は認証の後に発生し、グループ メンバシップなどのデジタル ID に関連付けられた属性をマップして、リソースに対するアクセス許可を確認し、デジタル ID がアクセスできるリソースを識別します。

アクセス制御リスト

承認情報を保存するためのメカニズムは、プラットフォームによって異なります。最も一般的な承認メカニズムはアクセス制御リスト (ACL) と呼ばれます。ACL は、デジタル ID およびリソースに対して実行できるアクション (アクセス許可) の一覧です。

アクションは、一般に ACL が保護するオブジェクトの種類に基づいて定義されます。たとえば、プリンタは "印刷" または "ジョブの削除" などのアクションを許可し、ファイルは "読み取り" または "書き込み" などのアクションを許可します。

セキュリティ グループ

多くのユーザーをサポートするオペレーティング システムでは、一般に特別な種類のデジタル ID を構成するセキュリティ グループをサポートします。セキュリティ グループを使用すれば、数千のユーザーを抱える大規模ネットワークの管理の複雑さを軽減できます。

セキュリティ グループを使用すると、ACL は、オブジェクトへのアクセス レベルをグループごとに指定するエントリを少数保持するだけでいいので、管理を簡略化できます。グループを慎重に設計すれば、ACL への変更は比較的少なくなります。ディレクトリなどの集中管理された機能によって維持されるグループのメンバを操作すれば、一度に多くのオブジェクトの承認ポリシーを簡単に変更できます。グループを相互にネストすれば、承認を管理するためのグループ モデルがさらに柔軟になります。

ロール

多くのアプリケーションは、ユーザーを分類するために "ロール" という用語を使用します。たとえば、"財務管理者" (Finance Managers) というセキュリティ グループに "管理者" (Manager) ロールを割り当てれば、このグループのすべてのメンバにこのロールが提供するネットワーク リソースへの権限を自動的に与えることができます。

経費報告アプリケーションの承認などでは、実行時の決定に基づいてロールを動的に決定することもできるので、さらに柔軟になります。このようなアプリケーションでは、"Approving Manager" ロールで承認されたユーザー (またはプリンシパル) のみが承認できるアクションを指定できます。ただし、経費を承認する前に、システムはディレクトリを照会して提出者の "Manager" 属性が経費を承認する担当者の名前と一致するかどうかを判定します。このようなビジネス主導の論理を ACL 型のメカニズムで構成するのはほとんど不可能です。

ロールは、ディレクトリ内のグループ メンバシップなどを使用してグローバルに定義できます。また、アプリケーション コードによる動的クエリに基づいてロール メンバシップを決定することもできます。さらに、"Managers" というロールを、グローバル グループの "HR Managers" と "Engineering Managers" の両方のロールを含めるようにローカルで定義するアプリケーションなどでは、ローカルとグローバル両方の種類のロールを組み合わせることもできます。

それぞれの方法に利点があります。ロールのメカニズムが適切に設計されていれば、アプリケーション開発者はその中から最適なロールを柔軟に選択できます。

マイクロソフト テクノロジにおける承認

Windows Server 2003 は、広範な承認メソッドに不可欠なサポートを提供します。マイクロソフトの承認テクノロジおよびサポート コンポーネントは次のとおりです。

マイクロソフトの承認テクノロジの詳細については、後述の「第 6 章: アクセス管理」の「承認」の項を参照してください。

信頼

信頼という概念は、組織がビジネス パートナーとリソースを共有してゆくにつれて、さらに重要になっていきます。独立して管理されているシステム間に信頼を確立する機能は、IT システムが必要なレベルのデータ交換をサポートするために不可欠です。信頼によって、自律情報システム間での、セキュリティ保護されたデジタル ID の認証と承認を、少ない管理オーバーヘッドで実現できます。

独立した組織間で認証およびその後の承認プロセスが有効に機能するには多くのタスクが必要になるので、信頼のメカニズムは複雑になります。信頼する組織と信頼された組織が通信するには、セキュリティで保護されたメカニズムが必要です。信頼する組織が外部デジタル ID を認証したら、次にその外部アカウントの権限情報を信頼する組織の承認プロセスに取り込む必要があります。

連合

連合とは、内部ネットワークの境界を超えて異なる組織間に確立される特殊な相互信頼関係です。連合によって、信頼のプリンシパルに基づいて、自律情報システム間での、セキュリティ保護されたデジタル ID の認証と承認を実現できます。たとえば、会社 A と会社 B の間に連合した相互信頼関係がある場合、会社 A のユーザーは会社 B の情報を使用できます。

注: 連合には、マイクロソフトと IBM が中心になって進めている、組織境界にまたがるさまざまな認証と承認システムの間でユーザーおよびマシン ID を共有する方法を標準化するためのイニシアチブである WS-Federation などの発展段階にある仕様の実装も含まれます。WS-Federation の詳細については、Microsoft.com の次の URL にある、「Web Services Federation Language」 (英語) を参照してください。
http://msdn.microsoft.com/library/en-us/dnglobspec/html/ws-federation.asp.

連合は、複数の場所でアカウントを管理する必要性をなくす試みでもあります。連合では、ある組織のユーザーが通常のネットワーク アカウントを使用して別の組織が管理するリソースへの認証を直接受けることができます。この方法は、多くのアカウントを管理する必要がなくなる (または、少なくとも要件をはるかに容易に満たすことができるようになる) ので、一般に普及しています。

たとえば、100 のパートナーと取引する組織を想像してください。連合を使用しない場合は、100 のパートナーのエクストラネットで委任された管理インターフェイスを使用してアカウントを管理する必要があります。管理の委任などのテクニックでは、非常に多くの接続が存在するビジネス環境まで拡張できないことが、この例によってわかります。ビジネス チャンスを拡大するには、確実で安全にデジタル ID を連合する機能が不可欠です。

マイクロソフト テクノロジにおける信頼

Microsoft Windows は、次のようなテクノロジを使用して信頼のサポートを提供します。

セキュリティ監査

監査によって、アクセス管理イベントおよびディレクトリ オブジェクトの変更を監視できます。セキュリティ監査は、一般に問題およびセキュリティ違反の発生を監視するために使用します。

マイクロソフト テクノロジにおけるセキュリティ監査

Microsoft Windows は、次のようなセキュリティ イベントを記録するセキュリティ イベント ログを提供します。

MOM (Microsoft Operations Manager) 2000 は、環境内でイベント ログを統合し、有用な監査レポートを提供できます。

ページのトップへ

アプリケーション

汎用ビジネス アプリケーションは、ID とアクセス情報の最終的な使用者といえます。したがって、それらは ID およびアクセス管理プラットフォームに統合されている必要があります。アプリケーションは、一般に API を介してフレームワークの認証と承認コンポーネントに統合されます。統合されていないアプリケーションを使用すると、環境が複雑になり、管理コストが増大し、セキュリティの脆弱性につながる新たな攻撃対象が生成されることもあります。

アプリケーションを統合する

アプリケーションの統合には多くの作業が必要になりますが、この統合プロセスによって投資収益率 (ROI) が向上します。アプリケーションに独自の認証システムがある場合、組織がアプリケーションを認証プロセスに完全に統合する唯一の方法は、プラットフォームと連携するようにアプリケーションを再設計することです。したがって、ID およびアクセス管理フレームワークとアプリケーションの互換性を確保するには、組織の SDLC (Software Development Life Cycle) 手法にアプリケーションが標準プラットフォームの認証と承認機能を使用する方法の明確な基準を含める必要があります。

マイクロソフト テクノロジによるアプリケーションの統合の詳細については、後述の「第 7 章: アプリケーション」を参照してください。

ページのトップへ

要約

次の図に、Microsoft ID およびアクセス管理フレームワークのすべてのプロセスとサービスを示します。

図 3.2: Microsoft ID およびアクセス管理フレームワークのプロセスとサービス
拡大表示する

ページのトップへ

3 of 8