PR

クラウド環境とアイデンティティ/アクセス管理

2010年11月26日(金)
金子 以澄

最終回の今回は、クラウド環境におけるアイデンティティ/アクセス管理(IAM)について解説します。さらに、クラウド環境を支える仮想化OSにおける「特権ユーザー管理」について解説します。

IAMは、各種のクラウド・サービス(IaaS/PaaS/SaaS)において、ユーザーのアクセス権限を抑制する方法として、また、SaaSにおいて、ユーザー企業と事業者間のアクセス制御を強化する方法として有効です。

クラウド環境でユーザーがコントロールできる範囲とは

まず、「クラウド環境において、ユーザー側がコントロールできる部分は、どの範囲なのか」を押さえておく必要があります。

自社企業内にITシステムを構築していた時には、ストレージ、サーバー、オペレーティング・システム環境(仮想化環境を含む)、アプリケーション、そしてデータ、これらに対して、すべてコントロールを効かせることができました。

一方、セキュリティ、アイデンティティ/アクセス管理の分野についても、自身の責任において対応をする必要があります。今まで紹介してきた『特権ユーザー管理』『統合アイデンティティ管理』『シングル・サインオン』なども、必要に応じて必要なレベルの対応を施すことになります。

クラウド環境やIaaSの環境では、ハードウエア部分にあたるサーバーやストレージは、クラウド・プロバイダが管理を実施します。このため、ユーザーがそのエリアをコントロールすることはできません。ユーザーは原則、ハードウエア部分の上で稼働するオペレーティング・システム(仮想化環境)、アプリケーション、データに対して、コントロールを行います。

オペレーティング・システム部分であっても、完全にユーザーだけによるコントロールが可能とは言えません。プロバイダ側でコントロールすべき部分もあります。例えば、VMゲストをプラットフォームとしてユーザーに提供している場合、VMホスト側のコントロールやVMホストからVMゲストへのアクセスなどは、クラウド・プロバイダ側の責任になります。

この一方で、稼働させるアプリケーションやデータは、完全にユーザー側でコントロールできます。

PaaS環境の状況は、IaaS環境に近いと言えます。完全にユーザー側がコントロールできるのは、データ部分です。アプリケーションやサービスの基本環境に関しては、アプリケーションに対するアクセス・ポリシーの作成や、アクセス制御をどう実現するかというコントロールを、クラウド・プロバイダとともに実施する形になるでしょう。

SaaS環境では、アプリケーション・ソフトウエアまでをクラウド・プロバイダがブラックボックスとして提供しているため、ユーザー側がコントロールできる部分は、本当に限られます。ストレージ、サーバーはもちろん、オペレーティング・システムから、その上で稼働しているサービスやアプリケーションに関しても、サービス・プロバイダがコントロール/管理すべきエリアであると言えます。

では、SaaSにおいてユーザー側がコントロールできる部分とは、どこなのでしょうか。答えは、「ユーザーが完全に自身でコントロールを確立できるエリアはない」というものです。データに関しても、クラウド・プロバイダとともに、アクセスのコントロールを実施することになります。そして、ユーザー側にとっては、そこ(データ)が唯一のコントロール・エリアとなります。

SaaS環境のアイデンティティ/アクセス管理

前述した通り、特にSaaSの場合は、クラウド基盤に対して企業がコントロールできる部分が限られます。こうした中、自身のコントロールが利く範囲の中で、企業とクラウド・プロバイダの間のコントロールを強化する対策の1つが、まさにアイデンティティ/アクセス管理です。

アイデンティティ/アクセス管理には、さまざまな機能が含まれます。それぞれが重要な要素ですが、特にSaaSプロバイダ間のコントロール強化には『統合アイデンティティ管理』と『アイデンティティ連携』が効果を発揮します。

統合アイデンティティ管理によって、SaaSを使用するユーザーのためのIDを自動的に作成/削除する、プロビジョニング/デプロビジョニングが実現できます。ユーザーがサービスを使用する際の待ち時間をなくせるほか、退職や異動などで所有者不明のIDが発生して放置されるというセキュリティ上のリスクをなくすことにもつながります。

アイデンティティ連携により、シングル・サインオン(SSO)を実現することができます。SSOを適用すれば、エンドユーザーは、サービスを使用するたびにログインする必要がなくなります。複数のIDとパスワードを覚えておく必要もなくなります。ユーザーのIDとパスワードを本人に開示せずに運用することも可能であるため、これらの漏えいによる成りすましアクセスを防止することもでき、セキュリティ強化にも貢献します。

CA Technologies マーケティング部 プロダクトマーケティング マネージャー

CA Technologiesにてセキュリティ製品のプロダクトマーケティングに従事。カバーエリアはアイデンティティ/アクセス管理とセキュリティ情報管理。企業の情報システム部に属していた経験と、グローバルベンダー勤務から得る技術を合わせて、市場が求めている情報を分かりやすく提供したいと考えている。
 

連載バックナンバー

Think IT会員サービス無料登録受付中

Think ITでは、より付加価値の高いコンテンツを会員サービスとして提供しています。会員登録を済ませてThink ITのWebサイトにログインすることでさまざまな限定特典を入手できるようになります。

Think IT会員サービスの概要とメリットをチェック

他にもこの記事が読まれています