Active Directory - 認証の仕組み Active Directoryでユーザー認証などを行えることを、前回までで紹介しました。ここではどのようにユーザー認証が行われるのかについて、ワークグループ環境とドメイン環境を比較して紹介したいと思います。 ワークグループとドメイン Active Directoryによる認証を行う環境を「ドメイン環境」と呼びます。対して Active Directoryを使わない環境は「ワークグループ環境」と呼ばれています。この2つの環境の違いについて、まず紹介します。 ワークグループ環境は、アクセスを要求してきたユーザーに対する認証をそれぞれのコンピュータが独自に実行する形態です。この環境では、アクセスを要求するクライアントから、アクセス先のコンピュータに対して、ユーザー名とパスワードを基にした認証データを送信します。この認証データを受け取ったアクセ

アイデンティティ管理技術の相互運用を目指すKantara Initiativeの国内活動について、関係者らが説明した。 アイデンティティ管理技術の相互運用を目指す新団体「Kantara Initiative」の国内の発起人らが6月23日、都内で活動方針や国内での活動計画について記者向けに説明した。 Kantara Initiativeは、複数のアイデンティティ管理技術を相互運用できる環境を目指し、技術仕様の検討や運用フレームワークの策定、参加コミュニティーとの調整、教育プログラムの立案、プロモーションなどを行う。 メンバーには、ITや通信、メディア、金融などの企業のほか、openLiberty、Liberty Alliance、Concordia Project、Information Card Foundation、DataPortability Project、Internet Soc

OAuthやOpenID、SAML 2.0といったアイデンティティ標準の相互運用の実現を目指す新団体が発足した。 複数のアイデンティティ管理標準の相互運用性実現を目指す新団体「Kantara Initiative」が6月17日、米国で発足した。 同団体は、異なるアイデンティティ管理フレームワークやプロトコル、仕様を推進する各種プロジェクトと連携し、エンドユーザーの利便性やセキュリティ、プライバシー保護を確保する標準技術を確立するのが目的。具体的には、Identity Assurance FrameworkやID-WSF、Identity Governance Framework、Information Card、OAuth、OpenID、SAML 2.0、WS-*、XACML、XDIの各種標準を組み合わせたソリューション開発を進める。 組織は理事会と議長会の2部門で構成され、2つの会が参加

Active Directoryは、Windowsの中で最も過小評価され、見過ごされがちなコンポーネントの1つだ。多くの管理者がこれを「ただそこにあって手を掛けなくていいもの」と見なし、セキュリティ面でも大した注意を払わない。だが、確実に手を打っておきたいActive Directoryのセキュリティ問題も存在する。 わたしが最も気にするのは、ビジネスリスクを最低限に抑えるために使う技術について記した、最低限のセキュリティ手順と基準に関する文書が存在しないことだ。これはActive Directoryにも当てはまる。しかしこの点には、高いレベルの監査を受ければ指摘される以上の問題がある。管理者全員が職務や責務を問わず、それぞれ平等なシステムへのアクセス権を持っているケースを、わたしは数多く見てきた。 セキュリティ部門を通じてActive Directoryの責任を代表する者がほとんどあるい

日立製作所は4月8日、カナダのID管理ソフトウェア会社を買収したと発表した。欧米を中心に成長しているID管理市場に早期参入する。 M-Tech Information Technology（カルガリー）の株式の過半を取得し、社名変更して「Hitachi ID Systems」を設立した。 企業が情報漏えい対策やコンプライアンス対応の強化を迫られる中、ユーザー認証・アクセス権限管理を高度化するID管理へのニーズが高まっている。低コストで運用可能な製品を持ち、大手企業を顧客に抱える同社の買収で、グローバルID管理事業に参入する。

SAMLやID-WSFなどのID管理／認証技術の普及団体「Liberty Alliance」の日本分科会は3月17日、OpenIDやCardSpaceなど異なる共通ID基盤の相互運用の実現に向けた活動を報告した。4月にもデモンストレーションを実施する。 冒頭、共同議長を務めるNEC第一システムソフトウェア事業部の田中伸佳セキュリティグループマネジャーは、「共通IDの導入拡大が注目されるようになり、異なる基盤同士で安全に相互運用できるための取り組みがますます求められている」と挨拶した。 Liberty Allianceでは、SAMLやID-WSF、OpenID、CardSpaceの相互運用に求められる技術仕様の検討、策定などに取り組む「Concordiaプロジェクト」や、SAMLやID-WSFのオープンソース化を進める「OpenLiberty.org」の活動を支援する。Liberty All

NECは12月3日、グループ署名技術に基づいたID連携技術をNEC欧州研究所と共同で開発したことを明らかにした。 グループ署名技術は、ある権限を持つ“グループ”への所属有無を認証しつつ、証明書の発行機関名を、証明書の利用者であるサービスプロバイダに対して非公開（匿名）にするもの。 ユーザーがサービスプロバイダを利用する場合、あらかじめ登録しているIDプロバイダが証明書発行機関に証明書発行を依頼する。証明書発行機関はグループの証明情報とメンバー鍵を使ってグループ署名を生成、サービスプロバイダへ送る。サービスプロバイダはグループ公開鍵を用い、証明書の正当性を確認、サービスを提供する。 この場合、IDやパスワードといった個人情報をサービスプロバイダ側に渡すことなく、かつ、グループとしてサービスを利用するため、ユーザーの行動履歴などの収集もできなくすることが可能であるなど、従来のデジタル署名方式で

日本ヒューレット・パッカードは9月18日、ID管理ソフトウェア製品群を「HP Identity Center」と定義し、その強化を図ると発表した。拠点間にまたがるシステムの認証、ID管理を行う「HP Select Federation 7.0」を発売するほか、従来より提供しているID管理ソフトウェア「HP Select シリーズ」の3製品「HP Select Identity／Audit／Access」を組み合わせたパッケージ製品の提供を開始する。これらにより、IDとパスワードの発行や削除などの一般的なID管理に加え、内部統制のためのアクセス管理やログ収集などが容易になり、効率的なID管理が実現するとしている。 「HP Select Federation 7.0」では、連携先で使用する認証連携プロトコルを気にせずさまざまな連携が行える「拡張Broker機能」やWindows CardSpa

日本HPは、異なる認証システム間における連携ID管理を行うソフトウェア「HP Select Federation 7.0」などを発表した。 日本HPは9月18日、異なる認証システム間における連携アイデンティティ（ID）管理を行うソフトウェアの新バージョン「HP Select Federation 7.0」を発表した。また、同社のID管理ソフトウェア製品群を「HP Identity Center」と定義し、既存製品のパッケージ提供を開始する。 同製品は、「HP Select Federation」シリーズの最新バージョン。各ユーザーが1つのID・パスワードで必要なシステムを利用できるシングルサインオン（SSO）を導入しており、複数の異なるシステムにアクセスする際に、その都度ログイン認証する手間を省くのが特徴だという。なお、今回新たに以下の機能が追加された。 連携先の使用する認証連携プロトコル

ネットスプリングは8月30日、LDAPベースの認証アプライアンスサーバの最新モデルとなる「AXIOLE（Version1.2）」を発表した。9月28日より出荷を開始する。 最新版のAXIOLEは、ActiveDirectoryとの連携に対応し、AXIOLE上のユーザーデータをリアルタイムにActive Directoryへ反映できるようになった。また冗長化構成への対応やMACアドレス認証のサポート、複数アカウントの設定によるシステムの運用管理業務の分担化に対応した。 このほか、脆弱性の高いパスワードの検出機能やパスワード管理、最大90日程度までのログ保存機能も搭載され、同社では従来の中堅・中小企業だけでなく、大規模企業の厳格なセキュリティ要件を耐える製品にバージョンアップさせたと説明している。 製品ラインアップは、アカウント数に応じて5つのモデルが設定され、価格は最小構成1000アカウント

厳密なIDアクセス管理には、アクセス制御・認証・監査ログを集中管理する統合認証基盤が求められている。ここでは、実際に提供されているWebアクセス管理ツールを例に、統合認証基盤の機能を解説しよう。 企業内にさまざまに存在するアプリケーションの入り口となるユーザー認証を横ぐしでカバーする役割を担い、顧客や社員、パートナーが統合的なログインを可能にするのが、統合認証基盤である。 その一例として、アイデンティティ／アクセス管理（IAM）ソリューションに注力するCAでは、2004年に買収したNetegrityのWebアクセス・シングルサインオン（SSO）製品を自社製品に統合し、Webアプリケーションの認証基盤「CA SiteMinder」を提供している。 「SiteMinderの最大の特徴は、ユーザー認証、アクセス制御、ログ収集を一元管理する機能にある」と説明するのは、日本CAのセキュリティマネジメ

多様なアプリケーションは企業に高い生産性をもたらした。半面、システムは肥大化し、そのID（アイデンティティ）管理が深刻なセキュリティリスクの要因となっている。そこで今、アクセス制御などのIDアクセス管理（IAM）の重要性が問われている。 2006年6月に金融商品取引法が成立し、「24条4-4」（通称日本版SOX）による上場企業を対象にした財務管理報告書の完全性を示すための内部統制の実施が、2008年度から求められることになった。そこで、IT内部統制の必要性がいっそう高まっている状況がある。 この法律の成立に伴い、「実施基準」「財務報告に係るIT統制ガイダンス」が金融庁から公表されているが、日本版SOX自体はITを強制しているわけではなく、ITを利用して効率的に内部統制すべきことが明記されている。ITを使用した場合には、それに対して内部統制、つまりIT化された業務の統制や、ITを利用した統制

アクシオとNTTデータイントラマートは、内部統制の観点でアイデンティティ管理（IDM）を効率化するソリューションの提供で協業する。 アクシオとNTTデータイントラマートは8月7日、内部統制の強化を目的にアイデンティティ管理（IDM）を効率化するソリューションの提供で協業すると発表した。アクシオが構築するIDMシステムとNTTデータイントラマートのWebシステム構築用統合フレームワーク「intra-mart」を組み合わせ、システム監査上、確実なIDMや適正なアクセス管理を可能にするソリューションとしてユーザー企業に提案する。 両社が共同で提供するソリューションは、セキュリティやコンプライアンスの観点から要求される、入退社や異動時の確実なIDMや、職務分掌によるIDアクセス管理（IAM）を実現するもの。 アクシオが手がけるマルチベンダーでのIDMシステムと、intra-martで提供されるワー

日本オラクルは、ID管理ソリューションに強みを持つ米SENA Systemsと「Oracle Identify Management」の導入支援で協業すると発表した。 日本オラクルと米SENA Systemsは6月27日、オラクルのID管理製品「Oracle Identify Management」の導入支援で協業すると発表した。 SENA SystemsはID・アクセス管理ソリューションに特化したSI企業。フォーチュン1000のうち、250以上の企業を手がけており、大規模システムに強みを持つという。CEOのロバート・レビン氏をはじめ経営陣に金融関係出身者が多く、コンプライアンスを早くから意識してきた企業という。 両社の協業の背景として、アクセス権やID管理製品への投資が、脆弱性管理への投資を上回る勢いで増加していることがある（IDC Japan調査）。日本オラクル 常務執行役員 システム

日立ソフトは、統合ID管理ソフトウェア「SR-Account バージョン2」の販売を開始した。ほかのシステムDBとの連携強化が図られたほか、権限の自動割り当て機能などが追加されている。 日立ソフトは6月13日、統合ID管理ソフトウェア「SR-Account バージョン2」の販売を開始した。SR-Accountは、組織やユーザーの情報をDBで一元管理し、複数のシステムや業務アプリケーションに割り当てを行う統合ID管理ソフトウェア。 最新バージョンでは、DB取込連携エージェントとDB出力連携エージェントから構成されるDB更新アダプタを新たに取り入れ、ほかのシステムDBとの連携強化が図られた。また、組織や役職などの属性項目とその役割をルール化し、それに基づくロールを割り当てる形で職務権限を自動的に生成するルールロール機能をはじめ、アカウントプロビジョニング機能が強化された。 動作環境は、OSがW