オラクルは現在、モバイル・デバイスの利活用を加速させるソリューションとして、モバイル・アプリケーションの生産性を高める「Oracle Mobile Suite」と、モバイル・セキュリティを確保するフレームワーク「Oracle Mobile Security Suite」、および「Oracle Access Management Suite」を提供している。本稿では、この後者の2つ――すなわち、Oracle Mobile Security SuiteとOracle Access Management Suiteにスポットを当てる。
全世界で3万社を超える実績のあるID管理/アクセス制御
あまり知られていないかもしれないが、セキュリティはオラクルがかねてから力を注いできた領域だ。同社のセキュリティ専任組織は世界1,500人のスタッフを擁し、開発者の数だけでも600人を超えている。

日本オラクル株式会社
製品戦略統括本部
プロダクトマーケティング本部
Cloud & Big Data推進部
シニアマネージャー
大澤 清吾氏
そんな同社の「セキュリティに対する考え方」は、セキュリティ専業ベンダーのそれとは一線を画している。「セキュリティ・ベンダーは通常、情報保護を中心と したアプローチだが、オラクルの場合、顧客企業のデータ活用、アプリケーション/サービスの有効性、利便性、あるいは投資対効果を最大化させるこ と。その価値のある情報を守るためにセキュリティは重要なピースという位置づけにある」(日本オラクル 大澤氏)。
こうした考え方の下、同社が強化と普及に力を注いできた1つが、アイデンティティ(ID)管理/アクセス制御のソリューション「Oracle Identity Management」(Oracle IDM)だ。Oracle IDMは、ID管理/アクセス制御を実現する機能群から構成され、「ユーザー情報の登録/破棄/変更、プロビジョニング」、LDAPベースの「ディレクトリ・サービス」といったID管理機能をはじめ、「シングルサインオン」、「リスクベース認証」、「なりすまし対策」など、高度なアクセス制御の機能を提供している(下表参照)。
ID管理 | Oracle Identity Manager(OIM) | ユーザ情報の登録・改廃、人事システム連携、各システムへのプロビジョニング等の提供 |
---|---|---|
Oracle Privileged Account Manager(OPAM) | OS/DB/LDAPの特権ユーザ管理。パスワード払出し機能の提供 | |
Oracle Directory Server Enterprise Edition(ODSEE) | LDAPv3準拠のディレクトリサーバ | |
Oracle Virtual Directory(OVD) | LDAP仮想統合化のアクセス・ゲートウェイ(仮想LDAPビューの提供) | |
アクセス管理 | Oracle Access Manager(OAM) | Webシングルサインオン機能の提供 |
Oracle Identity Federation(OIF) | SAML、WS-Federation、OpenID等のフェデレーションプロトコル対応機能の提供 | |
Oracle Entitlements Server(OES) | Java、.NET、C等のカスタムプログラムに組み込みのアクセス制御機能の提供 | |
Oracle Adaptive Access Manager(OAAM) | リスクベース認証、なりすまし対策、ソフトウェアキーバッド機能の提供 | |
Oracle Mobile and Social(OAMMS) | OAuthなどのフェデレーションプロトコルや、モバイルアプリとの認証連携機能の提供 | |
Enterprise Single Sign-On(ESSO) | Web、C/S、Consoleアプリへの自動ログイン機能の提供 |
スピーディなモバイル展開をバックアップ
Oracle IDMの顧客企業数はすでに3万社を超えており、米国ガートナーの調べによれば、ID管理/アクセス制御の領域でOracle IDMが世界No.1シェア(2011年実績)にあるという。
Oracle IDMが企業から広く支持される理由の1つは、業務・ビジネスのスピーディなモバイル展開をセキュリティの側面からバックアップできる点にある。
例えば、ある金融機関では、「リテールバンキング・サービス」のモバイル展開に際して、Oracle IDMを採用。従来の「顧客番号」と「パスワード」を用いた複雑な認証方式を廃止して、「4桁のPINコード」のみの認証を実現した。併せて、「Oracle Adaptive Access Manager」を用い、「なりすまし」などのリスクに対処している(下図参照)。

図1:ある金融機関でのOracle IDM活用
また、英国の大手通信事業者では、ロンドン五輪に向けた公衆Wi-Fiサービスの整備にOracle IDMのソリューションを適用した。
このプロジェクトでは、連携する事業会社や自社のサービスごとに異なるID体系をまとめ上げ、必要なサービス/コントロールを早期に実現する必要があり、その課題解決にOracle IDMを活用。仮想ディレクトリであるOracle Virtual Directoryを用い、単一の統合サービス・レイヤを構築、複数の異なるIDが集約的に扱える簡易ビューを短期間で作り上げた。加えて、「Oracle Entitlements Server 」を用いることで、サービス横断的に高いセキュリティコントロールを確保することに成功したという。
さらに、その後このID管理/アクセス制御のインフラをロンドン五輪終了後も活用。これにより、映像配信サービス(ビデオ・オン・デマンド・サービス)のモバイル展開を早期に実現したという。

図2:英国の大手通信事業者でのOracle IDM活用

日本オラクル株式会社
Big Data & Security営業本部
シニアマネージャー
澤井 真二氏
「この通信事業者の事例にあるような、複数サービスのIDを横断的・仮想的にまとめ上げる仕組みは、今後、ますます重要になる」と、日本オラクルの澤井氏は語り、その理由についてこう説く。
「新たなサービス/業務システムを立ち上げたり、既存システムのモバイル化を図ったりするたびに、ID管理やユーザー認証の新たな仕組みを物理的に構築するのは、きわめて非効率でコスト高。複数のサービスを横に貫くかたちで、仮想的なID統合を実現する仕組みを作れば、既存の運用のスタイルや仕組みを変えることなく、新規サービスのID管理/アクセス制御も適切に行えるようになる」