第7回：Solarisのセキュリティ機能と管理システム
〜強固なシステムと適切な管理でセキュリティを確保する〜

　これまでに説明したようなセキュリティ機能を利用することで、強固なシステムの構築が可能になるが、これを安全に運用するためにはユーザーアカウントの適切な管理が重要である。また、企業内システムの多くは複数のサーバにユーザーアカウントを登録する必要がある。このような環境において、ユーザーアカウントを常に適正に設定し、必要な権限を与えることは運用管理者にとって大きな負担だ。特に複数のサーバのユーザーアカウントを適切に同期することは管理者の手作業では大きな手間がかかる。

　例えば、ユーザーが退職してアカウントを削除する場合はそのユーザーがどのサーバにアカウントを持っていたのかを確認し、すべて削除する必要がある。また、部署の異動があった場合、異動先の部署に必要な権限を確認し、すべてのユーザーアカウントの権限を設定し直す必要がある。これらの作業を漏れなく行うことは非常に手間のかかる作業である。そこで、IT管理者の負担を大きく軽減し、ユーザーアカウント管理の効率化を図る製品がSun Java System Identity Manager（以下、Identity Manager）だ。これは企業内に存在する複数のシステム上のユーザーアカウントを関連づけて一元管理する製品。Identity Managerを利用することで、複数のサーバに存在するアカウントを集中管理し、まとめて設定可能になる。

　Identity ManagerもSolaris 10のようにロールベースでアカウントの権限を管理しており、ユーザーのロールが変更された場合、Identity Manager上のユーザーアカウントのデータベースをチェックし、設定されたロールに従って各システムのアカウントの権限を変更する。Identity Managerの大きな特長は、Identity Managerが既存のシステムに存在するアカウントを特定のユーザー(個人)と関連づけ、バーチャル・アイデンティティを構築すると言う点だ。個々のサーバに存在するアカウントはそのままで、既存サーバごとの認証DBをそのまま利用する。ユーザーの追加や、権限の変更といった作業がされると、Identity Managerが個々のシステムに対してそれぞれアカウントを追加し、権限を再設定するようになっているのである。

Sun Java System Identity Managerのアーキテクチャ

Identity Managerでは複数のシステムに存在するアカウントを関連づけて管理する。
※クリックすると大きい画像を表示します

　他社の製品では、ID管理システムが全体の認証サーバになり、ユーザーアカウントをすべてID管理システム上で認証処理するものも存在する。しかしこのような製品の場合、ID管理システムがダウンするとすべての認証が行えなくなってしまうという問題がある。これに対してIdentity Managerの管理手法であれば、個々のサーバの認証システムを利用するので、集中管理によるリスクも回避できる。また、個々のシステムへのアクセスは標準的なプロトコル（UNIX OSであればSSH、データベースならJDBC、メインフレームなら3270など)で接続。個々のサーバにIdentity Managerのエージェントをインストールする必要がないのもメリットだ。

サン・マイクロシステムズ株式会社
ソフトウェア・ビジネス統括本部
ビジネス推進本部
本部長
田中克哉氏

　「システム分散のままアカウントを統合管理できますので、導入時の各システムの変更はほとんど必要なく、運用に関しても実際の認証を各サーバで行うのでボトルネックになることはありません」と、同社ソフトウェア・ビジネス統括本部、ビジネス推進本部 本部長である田中克哉氏はこの管理手法のメリットを語る。

　Identity Managerの導入事例としては、ある大手百貨店の例が挙げられる。お中元やお歳暮のセール時に、一時的に雇用するアルバイトの権限を一括管理するためだ。

　「百貨店のお中元やお歳暮の時期には臨時のアルバイトが大量雇用されますが、これらのユーザーアカウントは数が多く、また期限も限定されていますが、顧客の個人情報などにふれるため、権限を厳密に管理しなくてはなりません。これを確実に行うためにIdentity Managerが採用されました」(田中氏)

　また、大量のユーザーアカウントを一括管理する目的で大学なども採用し、学生のアカウントを管理している事例もあるという。

　「大学などでは、学生の卒業とともにアカウントの削除業務が発生し、入学とともに数千件に及ぶ登録作業が必要です。またこの作業を、一定の短期間で行わなくてはなりません。この作業は管理者が手作業で行っている場合が多いのですが、Identity Managerを利用すれば、アカウントの変更の時限指定が可能なので、IT管理者の負担を大幅に軽減できます」(田中氏)

　また、現在データセンターでのアカウント管理としても導入が検討されているそうだ。

サン・マイクロシステムズ株式会社
ソフトウェア・ビジネス統括本部
ビジネス開発部
アイデンティティ・マネージメント・ビジネス担当
工藤達雄氏

　「データセンターでは自社の社員と外注のSIerなどさまざまな立場のスタッフが管理を行っています。また、社内システムと外部(インターネット)公開のシステムが存在し、それぞれのシステムでのユーザーの権限が異なっていることもよくあります。このような場合、適切にプロファイルの権限を設定し、それを適用することでアカウント管理の効率化を行うことを検討しています」と、同社ソフトウェア・ビジネス統括本部、ビジネス開発部 アイデンティティ・マネージメント・ビジネス担当である工藤氏は語る。

　このような環境では、緊急メンテナンスなどで一時的にアカウントに管理者権限を付与することなどもあるが、このようなワークフローもIdentity Manager上で指定することで対応できる。たとえば上司などの承認を得てから権限を付与し、一定時間の経過後に権限を戻すなどの設定も可能になる。

　Solaris 10のセキュリティ機能を活用するためにはユーザーアカウントの適切な管理が不可欠だ。Identity Managerは、社内のシステムのユーザーアカウントを一括して管理し、複数のサーバやOSを一元管理することで適切な権限管理を可能にしているソリューションなのである。

　現在企業内のシステムに求められている内部統制を確実に実行するためにもアカウントの管理は欠かせない。強固なシステムを構築し、適切な統制を行うために「アイデンティティ管理」を導入することは、企業内の情報がますます多様化・複雑化を極めていく今、必須であるといえるだろう。今回紹介した製品群は、これらを一元的に解決するソリューションなのである。