総合的なセキュリティ対策で企業課題を解決せよ：情報セキュリティ担当者の苦悩（3/3 ページ）

セキュリティ担当者がのんびりする時間はあまりなさそうである。「モバイルセキュリティ」や「アイデンティティ管理」といった2008年の企業の情報セキュリティにおける優先課題に対し、すべて同時に取り組む必要があるからだ。

[Marcia Savage，ITmedia]

重要性を増すアイデンティティ管理

　ヘルスケア・パートナーズとその3500人の職員にとって、ユーザーアカウントを手動で管理する作業は手に負えなくなった。このため、この総合医療機関グループでは、ユーザープロビジョニングシステムの整備が優先課題となっている。

　「作業を自動化し、経常費用の一部を節減するとともに、アクセス権限の付与および不要になったアクセス権限の削除を、もっと徹底的に管理したいと考えている」とISセキュリティ管理ディレクターのレオ・ディットモア氏は語る。

42％の回答者が管理強化に時間をかけると回答

われわれにとって、シングルサインオンの目的は、ユーザーの経験値を向上させることにある――レオ・ディットモア氏

　ヘルスケア・パートナーズは、アイデンティティおよびアクセス管理に今年力を入れる多くの組織の1つだ。調査回答者の42％が、アイデンティティ管理に従来より多くの時間をかけると答えている。特に、60％以上の回答者が、強力な認証を重要な優先課題と位置づけており、56％近くの回答者が、ユーザーアクセス権限／許可管理の向上を重要視している。約31％が、プロビジョニング技術の評価を行うとしている。

　アイデンティティおよびアクセス管理（IAM）の業務上のメリットに気付き、当初の懐疑的な見方を改める企業が増えていると、スティーブンス工科大学ハウ技術経営大学院のコンサルタント兼助教授、ポール・ローマイヤー氏は語る。

　「IAMの取り組みを進めようとする企業が多く見られるようになってきた。以前は、彼らがIAMの重要性を理解していなかったと思われるころもあった」と同氏。「今ではツールも成熟している」

強力な認証を推進する動きは以前から活発化

　システムエキスパーツのCEO、ジョナサン・ゴセルズ氏は、規制要件がIAMへの関心を大いに高めていると指摘する。「誰がどんな権限を持っているかを継続的に把握する必要がある。社員が退社するときには、アクセスを解除する手続きを取らなければならない」

　「強力な認証を推進する動きは、かなり前から活発になっている。企業はスマートカードやトークンのほか、ユーザーのタイピングのリズムを追う新技術などを続々と導入している」とゴセルズ氏は語る。

　職員数約250人の法律事務所パーソンズ・ベール＆ラティマーは、遠隔地で働く弁護士の認証を強化する方法を模索した末、BioPasswordを選択した。この技術は、ユーザーのIDおよびパスワードと、タイピングのリズムの特徴を組み合わせるものだ。「一番使いやすく、かつ導入しやすかった」とアプリケーション管理者を務めるジェイソン・スミス氏は語る。「もう1つのセキュリティレイヤとして機能している」

SSOは今年とくに重要なIAM技術に

　シングルサインオン（SSO）も、調査回答者にとって今年重要なIAM技術だ。米フォレスター・リサーチのシニアアナリスト、アンドラス・クサー氏は、実際、エンタープライズSSOへの関心は高まっていると語る。

　同氏はその理由として、比較的導入しやすいことに加え、あまり開発の手間をかけずにほとんどのアプリケーションをサポートできるため、IAMプロジェクトとして最初に取り組むのに適していることを挙げている。

　「エンタープライズSSOはスムーズなエンドユーザー体験を提供するため、IAM全般への抵抗感を軽減する効果がある。また、エンドユーザー自身によって作成されるエンタープライズSSOのバックエンドリポジトリ情報は、多くの場合、ロールベースの全社的なプロビジョニングシステムを構築するための最も正確な基盤になる」（クサー氏）

　ヘルスケア・パートナーズは最近、医師のためにSSOを導入した。

　「パスワードを何度も入力しなければならないようでは、医師を煩わせてしまう」とディットモア氏。「われわれにとって、シングルサインオンの目的は、ユーザーの経験値を向上させることにある」