日本HP コンサルティング・インテグレーション統括本部 セキュリティ・ネットワーク本部 IceWallソリューション部 部長の小早川直樹氏は、「例えば、ある企業が国産のグループウェアであるサイボウズを全社で使っていたとすると、外資系SSOベンダーの場合はサイボウズがどういうソフトであるかを知ることから始めなければならない。IceWallは開発グループが国内に存在するため、企業が使用している様々なアプリケーションとの連携ニーズをサポートできる」と語る。
日本HPでは、2007年4月からSAML 2.0に対応した「HP IceWall SSO SAML2 Agent」を販売している。SAML2 Agentは、ウェブのSSO機能を抜き出し、認証連携を実装するためにエージェント化した製品だ。Select Federationが持つ多彩な連携機能の中から、ウェブのSSO連携機能に絞り込んで価格も抑えた。
日本HPの小早川直樹氏小早川氏は「SAML2 Agentを使用すると非常に簡単にSAMLプロトコルを実装できる。例えば、企業間でGSSOを実現するにはSelect Federationのようなシステムを一式導入する必要があるが、これが企業にとっては大掛かりなものであり、IDP(アイデンティティプロバイダー)のようなサイトは可能だが、コンテンツを提供する小さなSP(サービスプロバイダー)にとっては大きな負荷となる。そうしたSPのためにSAML2 Agentを開発した」と説明する。
「SAML2 AgentはApache Webサーバのプラグインであり、Apacheに差し込むだけで企業間連携ができる」(小早川氏)
IDP本体側にSelect Federationを置き、SPである各サイトにはSAML2 Agentを導入するとGSSOが実現できる。トヨタ自動車がIceWallにSAMLを用いて関連会社を含む認証連携を実現している。
米国ではBtoEのユースケースが主流
GSSOについてどのような利用イメージを描くだろうか。一般的なイメージは、いくつかのポータルサイトがあり、一度の認証でそれらのサイトに入れるといったものだ。小早川氏は「そうしたモデルでは、多少の利便性はあるかも知れないが、メリットは小さい。サイトの顧客が増えるわけでもないし、投資にも見合わない」と指摘する。実際のIDPやSPは別のビジネスモデルを考えていると小早川氏は語る。
例えば、買い物をするために検索をかけ、たまたま無名のサイトで欲しい商品が見つかったとしても、無名のサイトではIDやクレジットカード番号を入力するのに躊躇してしまう。そんな時に「有名サイト会員でログイン」という選択肢があると、すでに有名サイトの会員であれば安心してログインできる。無名サイトで情報登録することなくログインして買い物ができる。これがBtoCにおけるモデルだ。
「無名サイトでは途中で買い物をやめる人も少なくないが、有名サイトの信用を借りることで購入者が増加する。有名サイトが抱える数多くの会員を、無名サイトは潜在的な顧客とすることが可能なのだ。一方、有名サイトは決済を代行するなどのビジネスが考えられる」(小早川氏)
一方、BtoBのモデルはどうだろうか。例えば製造業では、何百、何千の関連会社に対して、仕様や図面、マーケティング情報などを開示するようになった。従来の開示方法は、関連会社の社員情報を、自社のディレクトリサーバに登録するというものだった。何万人もの登録に手間がかかるうえ、異動や退職により情報の精度も低下しがちだった。そこでログインは各関連会社の認証システムで行い、各社の認証結果を信頼して本社イントラネットに入ることを許可する仕組みにする。関連会社間で信頼関係を結び、関係会社の社員は、本社に登録する必要がない。これがBtoBにおけるモデルだ。
「各社で情報を管理するため、精度も低下しにくくセキュアだ。以前は社内での最適化を考えてきたが、いまは関係会社全体で最適化しようという動きがある」(小早川氏)
BtoE(Business to Employee)のモデルもある。例えば社員は社内ポータルで各種情報にアクセスするが、401kや旅行の手配など、社外にアウトソーシングする企業は少なくない。社外サイトへのアクセスには、SP側で認証の仕組みを合わせるか、あるいはSPごとに固有のIDやパスワードを使用する。そこで、企業とSPが互いにSAML仕様に合わせておけば、社内で認証されたユーザーは、そのままアウトソーシング先のサイトにもログインことができる。
「米国では、このBtoEのモデルが一番流行っている。自前で持とうという考え方ではなく、どんどんアウトソーシングしているためだ」(小早川氏)
