統合ID管理　～アイデンティティマネジメント～

課題

システムを利用する上で必要となるID/パスワードは、一般的にシステムごとに管理されている。複数のID/パスワードを管理する必要があるため、利用者の利便性を損なうことはもちろん、結果的にセキュリティ問題を生み出す原因となる。

• 利用者が複数のID/パスワードを覚え切れないため、付箋紙や手帳などにメモしてしまう。
• 利用者が複数のパスワードでも覚えれるように、簡単なパスワードしか設定しない。
• 利用者が複数のパスワードの管理が煩雑であるため、定期的なパスワード変更を怠る。
• 社員の退職や異動が発生しても、不要なIDのたな卸しが困難であるため放置されたままとなっている。

アプローチ

利用者数や統合するシステム規模によって、以下2つのいずれかの方法が一般的である。

利用者数が少なく、比較的小規模なシステムのケース

• Windowsドメインを管理しているActiveDirectoryを活用する。
• 小規模なシステムにおいてもWindowsドメインを運用しているケースは多い。ユーザ管理やパスワード管理の機能はActiveDirectoryをそのまま利用し、他システムへはフリーソフトウェアであるsambaによりActiveDirectoryとID/パスワードの自動連携を図る。
• ActiveDirectoryのパスワードポリシー機能（パスワードの長さや有効期間などの設定）を活用することで、Windows標準のGUIでユーザに定期的にパスワード変更を促すことができたり、パスワード強度をコントロールすることができるため、費用対効果が高いだけでなく運用も非常にシンプルとなる。

利用者数が多く、連携するシステムが多いケース

• 有償のID管理ソフトウェアを利用し、ActiveDirectoryやメールシステム、及び既存の業務システム等との連携を図る。
• が多い場合、ActiveDirectory標準の機能だけでは管理が困難である。また、様々なシステムと連携する場合、LDAP連携だけでなくデータベース連携を行ったり、連携ルールのカスタマイズが必要だったりする場合が多く、sambaだけでは機能が不十分であることが多い。そのため、管理面と機能面から有償のID管理ソフトウェアを採用するケースが多い。

導入効果

統合ID管理の仕組みを導入することで、ID/パスワード運用にまつわるセキュリティリスクの軽減効果が期待できる。

将来的な拡張

更なる利便性の向上と、業務システムのセキュリティ権限一元管理を実現する場合、シングルサインオン（以下SSO）の仕組みを導入することが効果的である。
SSOの導入はシステムアカウントが一元的に管理されていることが前提となるため、統合ID管理の仕組みを整備することで、導入がよりスムーズになる。（一斉導入するケースもあり）

本件のお問い合わせは