クラウド環境とアイデンティティ／アクセス管理

統合アイデンティティ管理によるSaaSアプリケーションの管理
～クラウド対応も考えた製品選択を

今後、アイデンティティ／アクセス管理製品を導入検討する場合は、現在クラウドや仮想化環境を使用していなかったとしても、今後使用する可能性を考慮に入れて、拡張性のある製品を選択することを勧めます。『統合アイデンティティ管理』『シングル・サインオン』の両製品に関しては、SaaSアプリケーションまでを管理できるかどうかを必ず調べましょう。

『統合アイデンティティ管理』製品では、外部アプリケーションのユーザーIDまで管理できるかどうかを確認します。Webサービスでのインテグレーション、SPML（Service Provisioning Markup Language）のような標準への対応が備わっているかもチェックします。

該当するSaaS製品（Salesforce.com、Google Appsなど）があれば、そのサービスまで含んだプロビジョニング／デプロビジョニングが可能か否かを調べます。可能な場合は、インテグレーションのプログラムが提供されるのか、カスタマイズなのか、を調べます。カスタマイズの場合も、作り込みベースなのか、設定レベルなのか、を押さえておきましょう。

カスタマイズを外部に委託するのであれば、それだけのサービス費用も検討に入れる必要があります。もちろん、製品に追加ライセンスが発生するのか否か、も確認しましょう。『統合アイデンティティ管理』製品は、機能的にはあまり違いがありませんが、ライセンスでは大きな違いが見られます。

『シングル・サインオン』も同様です。認証の連携は『フェデレーション（ID連携）』機能がキーとなります。フェデレーションの実現には、SAML（Security Assertion Markup Language）、ADFS（Active Directory Federation Services）のような標準への対応が備わっているかがポイントとなります。「SaaSアプリケーションとの連携が可能」と明記している製品であっても、連携部分を作り込む必要があるのか、もしくはプログラムが提供されていて設定レベルで対応が終わるのかを、きちんと把握しておく必要があります。

仮想化環境

クラウド・プロバイダのサービス基盤として、仮想化環境が採用されているケースが多いように見受けられます。この点には注意が必要です。仮想化環境特有のサーバー・セキュリティ対策がなされないままに仮想化環境が構築されていた場合、クラウド・プロバイダにとっても、サービスを利用するユーザー側にとっても、非常に大きなリスクになります。

これらの、仮想化によるセキュリティ・リスクを低減するためには、システム・セキュリティ対策とともに、仮想マシン固有のアクセス制御技術が必要です。さらに、仮想マシン固有のコンプライアンス要件に基づいた、厳密な監査の導入が必要不可欠です。

サーバーにおける仮想化は、リソースの物理的な性質や境界を覆い隠し、これを論理的なリソース利用単位に変換します。これにより、複数のオペレーティング・システム（OS）や仮想マシン（VM）を、同じハードウエア上で実行できるようになります。各VMは、専用のOSを備えた専用物理マシンと同様に機能します。

仮想化技術には、いくつかの方式が存在します。VMware ESXに代表されるハイパーバイザ型は、VMとハードウエアの間に、ハードウエア・リソースを共有するためのレイヤーとしてハイパーバイザと呼ばれる制御プログラムが実装されています。また、ハイパーバイザの種類によっては、特権パーティションと呼ばれるVMが存在し、ほかのVMの管理に使用されます。この特権パーティション上のゲストOS上にサービス・コンソールなどを配置します。