「オラクルの標準化方針の観点から見ると、Liberty Alliance Projectはとても健全な団体だ」と語るのは、日本オラクル システム事業推進本部 スタンダードストラテジー&アーキテクチャー シニアディレクターである鈴木俊宏氏だ。オラクルでは、Sullivan氏をはじめとして同プロジェクトに多数の人材を参加させており、技術的にもIdentity Gavernance Framework(IGF)仕様を無償で提供、オープンな場で活発な議論が行われるよう望んでいる。
「オラクルは標準のための標準はつくらない。地に足のついた取り組みでなければならない。実際のビジネスに使えなければ役に立たない」(鈴木氏)
Libertyでは仕様の策定が一段落しており、運用のフェーズに移っている。過去にフェデレーションについて様々な議論がなされてきたが、なかなかビジネスにつながらなかった。しかし、北野氏は「次はフェデレーションが来るとの市場観を我々は持っていた。Libertyのような世界をどのようにビジネス化していくかだ。ユーザーがメリットをきちんと享受できる状況になりつつある」と手ごたえを感じている。
日本オラクルの鈴木俊宏氏SAMLは、XML関連の標準化団体OASISで生まれたが、Liberty Allianceが一時引き取とって開発を進め、それを再度OASISに戻したという経緯がある。鈴木氏は、「これは大きな意味を持つ。Libertyの中だけで進めるよりも、より多くの企業が参加するOASISの標準として承認されたほうが、一気に認知度が高くなる」と話す。
一番大切なのは、鍵の管理
ところで、便利なSSOはセキュアなのだろうか。複数ある部屋に個別の鍵をかけた方が安全なのではないか。
この疑問について北野氏は、パスワードを鍵に喩えて次のように説明する。10の部屋があると10個の鍵を持つ必要がある。10個の鍵があるとそのうちの1つを、机の上に置き忘れるかもしれないし、どこかに落してしまうかもしれない。これが10個の鍵を持つことのリスクだ。一方、同じ1つの鍵を使う場合は、そうしたリスクは減る。ただ、その鍵を落とすと大変なことになる。
「つまり、SSOにしたからといってセキュリティのレベルが上がるわけではなく、鍵の管理をやりやすくし、その鍵をしっかり管理できる環境にすることで初めて、リスクか下がりセキュリティが向上する」と北野氏は説明し、管理を伴わないSSOは危険だと指摘する。
とはいえ、鍵を落とすことはある。そこで鍵だけではドアが開かないよう複数要素認証(Multi-Factor Authentication)が必要になる。鍵の管理と、本来の認証強度を維持すること。セキュリティ向上に関する対策としては、この両方をセットで考える必要がある。
「内部統制に関連してプロビジョニング製品に企業の注目が集っている。その本質もやはり鍵の管理にある。誰がその人にその鍵を渡して良いと認めたのか。どういった経緯で誰がその人に鍵を渡したのか。そうしたプロセスを明確化して、正しい鍵が正しい人に渡されたことを担保するところが重要なのだ」(北野氏)
また、SSOのメリットについて北野氏は「IDやパスワードが増えないことだ」と指摘する。実際、オラクルでは早くからリポジトリを統合しており、メールサーバやファイルサーバなどグローバルで使用するものは米国で一元的に管理される。ただし、例えば日本独自の捺印管理システムなどの特殊なシステムはローカルで管理される。どうしてもローカルなシステムが必要となる場合があるが、それでもIDやパスワードは増えない。
「すべて米国のリポジトリを見るというルールになっている。当社の社員も気づいていないかもしれないが、システムが増えてもIDやパスワードは増えない。ユーザーにとって素晴らしいことだ」(北野氏)
