ユーザーが移動する環境のセキュリティ統制


ユーザーが移動する環境のセキュリティ統制
~クラウド環境やユーザーが移動する環境のセキュアな運用管理を支える~

 企業におけるコンピューティング環境やサービスが多様化し、ITインフラが複雑になるにつれて、企業情報システムにおけるユーザー使用許可は、より多くの課題を伴うようになってきている。コーヒーショップからiPadでアクセスしたり、社内のコンピューターからアクセスしたりするなど、ユーザーが頻繁に移動する環境において、一貫性のあるユーザー・エクスペリエンスを確保しつつ、ID管理、認証、信頼関係、アクセス制御、ディレクトリサービス、およびガバナンスを統制するにはどうすればよいのだろうか。

 企業の情報システムでは、ユーザーがどのような場所からでも、どのようなデバイスを使用する場合でも同じように認識され、アクセス要求、権限、およびパスワードによるセキュリティがサポートされることが理想的である。モバイルデバイスやデスクトップ、その他あらゆる種類のシステムからのアクセス要求をプロビジョニングする場合は、シンプルでコスト効率が高く、そして、もちろん安全でなければならない。

 ヘルスケア業界や通信業界を含む最高レベルのセキュリティを保持する必要がある組織では、ビジネス中心の包括的なアクセス・プロビジョニングを実現し、オンプレミス環境でもクラウド環境でも、さまざまなデバイスからあらゆるエンタープライズ・リソースへのアクセスを可能にするOracle Identity Managementのソリューションに注目している。

外出先からの健康管理

「新規採用者が初日からシステムを利用できるよう迅速にプロビジョニングするために
Oracle Identity Managementを採用しました」

カイザー・パーマネンテ ID・アクセス管理、およびセキュリティ・コンプライアンス担当専務理事
カート・リーバー氏
9つの異なるシステムから一元的なアクセス・プロビジョニング・モデルに移行するうえでOracle Identity Managementは最適だったと語る、カイザー・パーマネンテ ID・アクセス管理、およびセキュリティ・コンプライアンス担当専務理事、カート・リーバー氏。
 

 1945年に設立されたカイザー・パーマネンテは、加入者数が900万人を超える米国最大の非営利医療サービス団体である。36の病院、533の診療所、1万5,853人の医師、17万2,997人の従業員、数千人の往診医師を抱え、そのユーザー認証、ITリソースのプロビジョニング作業量は膨大だ。

 かつて同団体におけるアクセス・プロビジョニングは、地域ごと、アプリケーションごとに異なっていた。ユーザーのプロビジョニングのために9つの異なるシステムが存在していたため、監査人に対して9組の資料を用意しなければならなかった。順調に事業が成長した一方で、政府の規制が厳しくなったことでより厳格な管理が求められている状況を踏まえ、カイザー・パーマネンテは一元化されたプロビジョニング・モデルへの移行を決定した。

 同団体のID・アクセス管理(以下、IAM)、およびセキュリティ・コンプライアンス担当専務理事であるカート・リーバー氏は、「当団体では、新規採用者が使用するすべてのアプリケーションに対し、一貫したアクセス許可の方法をもっていませんでした」と説明する。「新規採用者が初日からシステムを利用できるよう、迅速にプロビジョニングするとともに、ますます厳しくなる規制要件にコスト効率の高い方法で対応するためにOracle Identity Managementを採用しました」。

 リーバー氏と90人のIAM専門家は、社内スタッフ、往診医師、そのほか医療従事者を含む約26万人をサポートしている。カイザー・パーマネンテでは、数年前にOracle Access Management Suiteを導入し、約100のアプリケーションに対してWebベースの安全なシングルサインオンを実現するとともに、ユーザーの作業を簡素化することに成功した。そしてここ数年のあいだに、重要なWebベースのアプリケーションにおけるリスク管理サービスのため、Oracle Adaptive Access Managerを追加で導入している。

 カイザー・パーマネンテが導入しているIAMソリューションでは現在、財務、人事、および多くの臨床領域の主要なアプリケーションがサポートされている。IT技術者は、さまざまなファイルシステムやデータに対してアクセス制御をおこなうディレクトリグループを単一のインタフェースから利用できるので、ITリソースのプロビジョニング作業が大幅に簡素化されている。「これまで数日から数週間かかっていたプロビジョニング作業が、今では数分から数時間で完了します」とリーバー氏は述べる。

 同団体では、電子カルテの導入を進める点からも、情報システムを常にオンライン状態にし、安全にアクセスできるようにすることが何より重要な課題となっていた。「当団体のカルテはすべて完全に電子化されており、KP HealthConnectと呼ばれる単一のアプリケーションに保管されています」とリーバー氏は説明する。「当団体に加入する医療供給業者は、当団体の電子カルテシステムを利用し、患者の情報を入力、取得しています。患者に適切な治療を施すためには、100%の稼動率を確保することが重要です」。

 24時間365日稼動するシステムに対するアクセスは、モバイルデバイスの普及に伴って複雑化が進行している。多くのケースでは、病院に設置されているPCに代わり、モバイルデバイスが利用されるようになってきている。カイザー・パーマネンテに加入する多くの医師も、自分のモバイルデバイスからKP HealthConnectへアクセスすることを希望しているのだ。

 オラクル・コーポレーションの開発、およびセキュリティ&ID管理製品担当バイスプレジデントを務めるアミット・ジャスジャは、「マルチ・アプリケーションSSOは、Webブラウザでは簡単に実現できます。しかし、モバイルデバイスではそれは容易ではありません」と話す。「今日のiPhoneやiPadのアプリケーションでは、何度もログイン操作をする必要がないようにパスワードがキャッシュされますが、これはセキュリティ上、大いに問題があります。それに、接続場所の問題もあります。公衆無線LANサービスを使用しているか、社内ネットワークを使用しているかによって、アプリケーションの動作も異なります。企業において、社内アプリケーションへのアクセス権限を付与する場合は、機密データへのアクセスを許可する前に、接続場所を把握する必要があります」。

 オラクルでは、Oracle Identity Management 11g Release 2でモバイルアクセスの課題に対処し、モバイルデバイス対応機能を実装。iPhone/iPadのiOSもサポートし、カスタム・アプリケーション開発、デバイス登録、コンテキスト依存の認可、証明書と資格情報の管理などをおこなえる、OAuthやOpenIDなどのセキュアな認証標準規格、およびREST*1 APIも統合された。さらに、デバイスの使用状況レポートや分析機能なども備えている。IT技術者はOracle Enterprise Managerの統合管理パックを使用すれば、全体を管理することができる。

 リーバー氏は同僚とともに、Oracle Identity Management 11g Release 2をテストしてきた。このテストの目的には、モバイル・アプリケーションのセキュリティ機能の評価も含まれている。「リスクを増やすことなく、これらのエクスペリエンスを可能なかぎりシームレスにする方法を必要としています。モバイル・コンピューティングをはじめ、現在普及してきている技術領域における、オラクルのID管理とアクセス管理の包括的なロードマップはすばらしい。ITの活用によって削減した経費を、患者の治療に充てることができます」(リーバー氏)。

ますます多様化する通信環境


増大するコンプライアンス、監査上の課題に対処するための堅牢なID管理ソリューションとして、Oracle Identity Managementを導入したのは当然の選択だったと語る、BTのIDサービス責任者、ピーター・ボイル氏。

「以前は、新規採用者を新規ユーザーとしてプロビジョニングするためのソリューションが複数存在していましたが、現在は1つのプロセスに統合されました」

BT IDサービス責任者
ピーター・ボイル氏

 BT(旧社名ブリティッシュ・テレコム)は、170カ国で事業を展開する、通信ソリューション、および通信サービスのグローバルプロバイダーである。5年前、通信業界大手のBTでは、基本的なディレクトリ・サービスを使用してユーザーの役割と特権を追跡していたが、年々増大するコンプライアンス、および監査上の一連の課題に対処するため、より堅牢なID管理ソリューションを導入した。Oracle Financials、PeopleSoft、Oracle Fusion Middlewareの導入に成功していたBTがOracle Identity Managementを導入したのは当然の選択であった。

 BTでIDサービス責任者を務めるピーター・ボイル氏は、「当社では、ディレクトリインフラの上位にセキュリティレイヤーを構築して、ユーザーをプロビジョニングしたり解除したりし、データフローが適切に実行されることに注力しました」と説明する。「オラクルは、共通のアプリケーション・サービスのセット、およびすべてのミドルウェア層で動作する共通のアプリケーション開発フレームワークを提供しています。これらにより、当社のシステムはよりシンプルで、標準化されたものになりました。以前は、新規採用者を新規ユーザーとしてプロビジョニングするためのソリューションが複数存在していましたが、今では1つのプロセスに統合されたため、プロビジョニングの手順が明確になりました。また、複数の人事システムを単一のグローバル・インスタンスに統合したことで、われわれのインフラはシンプルになりました」。

 ボイル氏のチームの責務は、約8万9,000人の従業員と約5万の外部企業が、BTのエンタープライズ・リソースにアクセスできるようにすることだ。さらに、個人消費者から政府部門、多国籍企業に至るまで、顧客の多くはBTの情報システムにいずれかのレベルでアクセスしている。

 BTではOracle Identity Managementをグローバルで導入し、彼らの製品やサービスを開発またはサポートするために、内部システムにアクセスする必要があるすべてのユーザーを支援している。ボイル氏は、BTがOracle Identity Management 11g Release 2を採用したことで、さらなるシンプル化が可能だと考えている。「Oracle Identity Management 11g Release 2の柔軟なユーザー・インタフェース、とくに自分の資格やルールで必要なアプリケーション検索し、それらをショッピングカートに入れることができる点は大きなメリットです。これは、eBayやAmazon.comなどの一般的な電子商取引ソリューションのインタフェースと似ているため、ユーザーは簡単に利用することができます」。

 IT専門の調査会社である米国IDCでセキュリティ製品リサーチディレクターを務めるサリー・ハドソン氏は、Oracle Identity Management 11g Release 2の新しい資格機能でオラクルが時代の先端を行っていると確信している。「カタログやショッピングカートを使用して、資格を特定の従業員機能と関連づけることによって、コンプライアンス要件への準拠やビジネスの整合性確保をより簡単におこなえます。当社の経営層は、これらのビジネス要件に対応するため、IT部門と共同の取組みを始めています。このようなトレンドのもとでは、カタログやショッピングカートを使用したインタフェースはビジネス・コミュニティに進んで受け入れられるでしょう」。

 BTでは、IDインテリジェンスを実現するため、分析ダッシュボードおよび高度なコンプライアンス機能でユーザーのアクセス状況を監視、分析、確認、管理して、リスクの軽減、透明性の確立、コンプライアンス要件に対応するOracle Identity Analytics 11gも導入済みだ。ボイル氏によると、現在の監査プロセスのほとんどは手作業だが、Oracle Identity Analyticsによって、アクセス権限と資格確認、検証のプロセスを自動化できるという。

 「以前はアプリケーションごとにこれらの作業をおこなっていましたが、Oracle Identity Management 11gによって、オラクルのツールセットに基づいた一元的な作業を実行できるようになります。これは大きな前進であり、多くのリソースの節約につながります」。

 多くの企業と同様に、BTも増え続けるサービス・ポートフォリオに対応しなければならない。これらのサービスのなかには、サードパーティのソーシャル・ネットワーク・サービスの資格情報をサポートするものもある。ボイル氏は、ITマネジャーに対して、このような場合は慎重に作業をおこない、認証の種類が信頼レベルに対応していることを確認するようアドバイスしている。「ユーザーのFacebook資格情報は、オンラインゲームにアクセスする場合には適切かもしれませんが、銀行の支払いを認可する目的では使用しないでしょう。企業内には認証の階層が複数存在し、各サービスに適切なレベルの認証を対応させなければなりません」。

*1 REST:Representational State Transferの略。Web APIの仕様を決めるうえでのアーキテクチャ・スタイルの1つ

オラクルの、新たなID管理ソリューション

 Oracle Identity Management 11g Release 2は、オラクルのID管理製品のポートフォリオ全体を統合する。顧客がパフォーマンスと運用規模のバランスを調整しやすいように、主要な3つのカテゴリーに分類されている。3つのカテゴリーは次のとおり。

◎アクセス要求、プロビジョニング、および認証に対処するID管理。新機能には、Oracle Privileged Account Managerがある。これは、従業員がアプリケーションに対するアクセス権を要求できる、ビジネスとの親和性が高い、自分で設定が可能なショッピングカート・スタイルのユーザー・インタフェースを備える。

◎企業全体のデータ、アプリケーション、Webサービスにおいて、エンド・ツー・エンドのユーザー認証、および認可による保護を提供するアクセス管理。

◎包括的で実績のあるディレクトリ・サービス・オプションを提供するディレクトリ・サービス。新機能には、近接関係に基づく検索、Oracle Optimized Solution for Oracle Unified Directory、およびストレージ、プロキシ、同期化、仮想化を統合したオールインワン機能がある。

 オラクル・コーポレーションの開発、およびセキュリティ&ID管理製品担当バイスプレジデント、アミット・ジャスジャは、「このデジタル時代のエクスペリエンスで顧客が直面する新しい課題に対処し、既存のインフラでより高い安全性を確保し、多くのユーザーにサービスを提供し続けることができるように、Oracle Identity Management 11g Release 2を設計しました」と語る。「Oracle Identity Management 11g Release 2を活用することで、複雑なコンプライアンス要件や規制要件に対応しつつ、企業全体のIDライフサイクル管理を強化し、シンプル化することができます」(ジャスジャ)。

SNAPSHOTS

カイザー・パーマネンテ
kaiserpermanente.org

本  部:米国カリフォルニア州オークランド
業  種:医療サービス(非営利団体)
従業員数:17万2,997人
収  益:479億ドル(2011年度)
オラクルの製品とサービス:Oracle Access Management Suite、Oracle Adaptive Access Manager、Oracle Identity Management 11g

BT
bt.com

本  社:英国ロンドン
業  種:通信サービス
従業員数:8万9,000人
収  益:190億ポンド(2011年度)
オラクルの製品とサービス:Oracle Financials、PeopleSoftアプリケーション、Oracle Identity Management 11g、Oracle Identity Analytics 11g

ページの先頭へ