注目されるアイデンティティ管理　＜第1回＞ ―アイデンティティ管理市場の進展とその背景―

　今日企業は社会的責任（CSR）を果たすことや健全な企業経営の確立に向けて、内部統制とコンプライアンスへの対応が強く求められています。こうした中で企業の業務を支えるITについても適切かつ安全なシステムの構築と運用が厳しく要求されています。一方で複雑多様化した情報システムでは、運用管理におけるコストが増大しているため、コスト削減要求が増しており、さらにはビジネス拡大に向けたITシステムの拡充も同時に迫られているところです。

　こうした背景から業務プロセスやサービス、情報へのアクセスにおいて要になるアイデンティティ管理の進展が注目されています。本コラムでは何回かに分けてアイデンティティ管理が注目される背景や市場・技術の動向、標準化状況などについて解説する予定です。

※アイデンティティ管理とは

　一定のポリシーを基に人のアイデンティティについてアイデンティティ情報（識別子、資格、権限、属性等）の管理、ライフ・サイクル（アクセス権限の自動的な割当、変更、失効）の管理について全社的に管理・運営する一連のプロセスおよび技術。

1.アイデンティティ管理市場

(1)市場が拡大している

　C NET JapanがITRにより調査したアイデンティティ管理市場を紹介しています。それによると2007年度の国内出荷金額は88億円で前年比28.1％増と急速に拡大しており、2008年度はさらに高い伸びを示すと予想され、アイデンティティ管理の市場は、他のITの市場を大きく上回るスピードで成長しています。
（出典：CNET Japan「アイデンティティ管理市場が急拡大」）

2.コンプライアンス対応の強化とアイデンティティ管理

(1)SOX法とアイデンティティ管理

　SOX法では適正な財務報告がなされるように企業に対して内部統制（Internal Control）を求めています。内部統制を構築するためのフレームワーク（COSO）には、「職責と権限の明確化」および「職務権限の分離（Segregation of Duties）」を重要な統制活動として位置づけており、その実現の要がアイデンティティ管理とアクセス制御です。

＜米国の状況＞

　米国では、SOX法が施行されたことにより厳しい罰則規定とともに企業にコンプライアンスを強く求めています。その結果、情報セキュリティやアイデンティティ管理への取組みの優先順位が上がり、アイデンティティ管理市場が急速に伸びるきっかけになりました。SOX法施行1年目を経た2007年、SOX法上での重大な欠陥として、会計方針とその実践やリース会計等が指摘されている一方、ITに関する内部統制が脆弱であることも明らかになってきました。ITそのものが重大な欠陥となっているケースは少ないようですが、影響度が大きい欠陥として指摘されていたものには、<1>アカウント管理の不備、<2>変更管理の不備、<3>システム構成への理解不足、<4>変更ログの不備　が挙げられていました。こうした状況からSOX法施行2年目以降には、効果的に欠陥を排除する手段としてIT導入の需要が急速に高まっています。

＜日本の状況＞

　日本でも日本版SOX法（証券取引法の抜本改正である「金融商品取引法」の一部規定がこれに該当）が2009年3月期の決算から上場企業およびその連結子会社を対象に適用されることになりました。昨今企業の財務会計をはじめとして業務処理のほとんどはIT化されていますから、日本版SOX法に対応していく
ためのフレームワークである「実施基準」には、内部統制の構築に関する「ITの利用による統制（IT環境の適切な理解とこれを踏まえたITの有効かつ効率的な利用）」と「IT自身の統制（ITに係る全般統制および業務処理統制の整備）」を挙げています。アイデンティティ管理に関して具体的には、<1>メンテナンス系も含め業務プロセスのアクセスには権限を有した「人」のみアクセスできること、<2>アクセスする際は、承認を得てアクセス可能とすること、<3>アクセス履歴を把握できること、等が必要になってきます。

(2)情報保護関連法制度とアイデンティティ管理

　2005年4月に個人情報保護法が施行され、さらに同年11月には不正競争防止法が改正されて、個人情報や企業情報の漏えい防止に関する法律が制改定されました。

<個人情報保護法＞

　個人情報保護法の制定にともなって、行政府や業界団体ではガイドラインを作成しています。情報漏えいの原因としては、媒体の紛失以外では多くの場合、アクセス権限のない者が個人情報にアクセス可能になっていたり、退社した社員のアカウントがそのまま残っていたり等、アイデンティティ管理の不備が、個人情報流出の大きな原因になっています。こうした認識から、ガイドラインには一般に個人情報の漏えい防止対策として次の項目を挙げています。

・アクセス権限所有者の特定、限定、把握
・パスワードの定期変更
・人事異動時のアクセス権限の見直し
・アクセスログの収集、管理、分析、報告

―個人情報の漏えいは止まらないー

　日本ネットワークセキュリティ協会（JNSA）報告によると、2007年の個人情報漏えい事件は864件で、2006年から129件減少しています。一方、被害者数は約3,053万人で、2006年に比べて約800万人増加しました。情報漏えい事件はまだまだ高い水準で発生しているところです。

<不正競争防止法＞

　今回の不正競争防止法の改正では、営業秘密の持ち出しについて広く罰則規定を設けるもので、主に3点が大きく改正されました。

1)国外犯についても処罰の対象：営業秘密を国外に持ち出し使用・開示した者
2)退職者についても処罰の対象：在職中に第三者から請託を受け、その後退職した社員が営業秘密を第三者に不正に使用・開示した行為
3)法人についても処罰の対象：営業秘密の侵害行為の実行犯だけでなく、所属する会社にも罰金刑。

　不正競争防止法で守られるための要件としては、対象となる情報が秘密として管理された有用な情報であり、非公知であることが必要です。特に「秘密管理性」については、情報が秘密に管理されていることが必要であり、そのためには当該情報に対する適切なアクセス管理、アイデンティティ管理は必須の条件になってきます。

3.運用負担軽減要求の増大

　システムの多様化・複雑化、内部統制などの法規制の影響により、情報システム部門におけるアカウント管理業務では運用負荷が増大しており、さらにセキュリティ向上、ユーザの利便性確保への対応などの課題を抱えています…

【次回の予定】
アイデンティティ管理の重要性が増す中でプロビジョニングの自動化、ディレクトリの統合、シングルサインオン、フェデレーション等々、運用コスト削減や内部統制の構築、サービスの拡大に関わる技術とソリューションについて解説する予定です。

【執筆：東京大学情報セキュリティコミュニティ副代表林誠一郎】

＊各規格名、会社名、団体名は、各社の商標または登録商標です。

【関連リンク】
NTTデータ・セキュリティ　セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/index.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec