Download HP アイデンティティ&アクセス・マネジメント - 日本HP - Hewlett
Transcript
I&AM_02_0309 07.3.9 11:33 AM ページ 2 HP アイデンティティ&アクセス・マネジメント ITライフサイクルの変化に適応し コンプライアンスを実現する Overview • アイデンティティ&アクセス・マネジメントとは • HPのアイデンティティ&アクセス・マネジメント • HPのアイデンティティ&アクセス管理製品 I&AM_02_0309 07.3.9 11:33 AM ページ 3 変化への適応と 効率的なコンプライアンス 事業統合や企業合併、グローバルで加速する法整備など ビジネス環境は常に変化を続けています。 今や企業活動全般を支えるITには、ビジネスと連携してこのような変化に柔軟に適応しながら コンプライアンスできる能力が求められています。 2006年6月に成立した日本版SOX法(金融商品取引法) では、 リスク管理ベースのアプローチをITにも義務化する新たな法規制として、 従来のITのあり方に大きな変化をもたらすものです。 アイデンティティ&アクセス・マネジメントは、このリスク管理ベースのアプローチにおいて、 業種業態に関わらず最優先で取り組まなくてはならないIT施策だといえます。 コンプライアンス対応の効率性と継続性を備えたITへの変革に向けて、 HPのアイデンティティ&アクセス・マネジメント・ソリューション。 I&AM_02_0309 07.3.9 11:33 AM ページ 4 ユーザ、ビジネス、セキュリティ、システム 今、様々な観点からID管理の問題点が 顕在化しています アイデンティティ&アクセス・マネジメント(I&AM) とは 現状のI&AMの問題点 I&AMとは、サーバからアプリケーションまでのIDを利用するリ (1)ユーザ・ビュー • システム毎にID、パスワードの取得が必要で面倒なうえ、複数のID ソース全てにおいてIDを管理、コントロールをすることです。IT を使い分けなくてはならないため使い勝手も悪い。 システムに対して、人的管理ではなくシステマチックにアクセス • 新規サービスが提供されても、ユーザ登録に時間がかかり、その間 制限を行い、強制するものです。これには、全社にまたがる役 割、責任をサイバー上で定義するプロセスも含まれます。 利用できない。 (2)ビジネス・ビュー さらに今後は、 単純な 「識別子としてのユーザID」 だけではなく、 デ • 海外子会社やグループ企業、あるいはパートナー企業からのシステ ジタル証明書などの認証情報、 アクセス制御リストなどの権限情 ム利用要望に迅速な対応がとれず、ビジネスが滞ることがある。 報、氏名や組織などの属性情報などを含む幅広いアイデンティ • 登録手続きなどが複雑なため、海外からの来訪者がタイムリーにシ ティ情報を統合的に取り扱うことがI&AMに求められています。 ステムを利用することも困難。 現状の部署や業務プロセスごとに構築されてきたサイロ型のIT (3)セキュリティ・ビュー • 退職、異動などの変更がスムーズに反映されず、アクセス権限が残 システムにおいてはIDの管理は個別のシステム毎に行われてい っていることがある。 ます。このため、例えばコンプライアンスの観点から全てのシ • 監査で必要なアクセス・ログが取得できない。ユーザ登録などのプ ステムの統制レベルを均一化する場合には、各システムで個々 にIDの設定を行う必要があり、設定や管理プロセスが非常に複 ロセスに手作業部分が残り、ミスも数多く発生する。 (4)システム・ビュー 雑になり事実上不可能です。このようなサイロ型のI&AMには • アカウント情報が分散しているうえ、鮮度や正確性の問題が発生する。 様々な問題点がありますが、代表的な例を次の4つの視点から • 人事データの取り込みを手作業で行うため、登録に時間がかかる。 眺めてみましょう。 • システム毎にI&AMを実施しなくてはならず、コストがかさむ。 このように、現状のサイロ型I&AMではコスト高、変化への対応 の困難さという問題を抱えており、コンプライアンスに効果的 に対応することができません。 現状の複雑化したアイデンティティ&アクセス・マネジメント パートナ データ& アプリケーション パートナ 顧客 従業員 ITリソース データベース、 オペレーティング ディレクトリ システム メッセージング CRM, ERM 人事、会計 アプリケーション 管理者 人事、会計 管理者 Non IT リソース ネットワーク アドミン OS Non IT ディレクトリ 管理者 管理者 メッセージング 管理者 ポリシー A ポリシー B ポリシー C ポリシー D ポリシー E ポリシー F ポリシー G Line of Business Line of Business Line of Business Line of Business Line of Business Line of Business Line of Business 管理者 ネットワーク 管理者 セキュリティ& ビジネスポリシー アイデンティティ・ メンテナンス &監査プロセス 1 I&AM_02_0309 07.3.9 11:33 AM ページ 5 現在だけでなく、将来をも見とおし ID管理の不安を払拭する それがHPの アイデンティティ&アクセス・マネジメント サービス中心の発想を基にI&AMをとらえ直し 今日の企業では、正社員をはじめ契約、派遣など様々な雇用形 シンプルで一貫性のある共有サービス化を目指す 態の人々が同じオフィスで働いています。入社や退社、異動に 現状のアイデンティティ&アクセス・マネジメント (I&AM)が抱え 伴って発生するID情報の生成・変更・廃棄などのユーザ管理は ている数々の課題を解決するには、これまのITシステムを中心 確実に実施しなくてはなりません。多くのパートナー企業とビ にした発想を大胆に転換する必要があります。経営の変化に追 ジネスを展開しているようなケースでは、協業先の人員を含め 従できる俊敏さがITに求められていることから、当然、I&AMも た統合的な管理を行う必要も出てきます。コンプライアンスの 俊敏さを備える必要があるでしょう。 観点からは、職務の明確な分掌と多様なユーザに対する的確な そこで、発想の基本にとらえるべきは、ITは業務フローを円滑に アイデンティティ管理、そして監査の資料となるアクセス履歴な 進めるためのサービスをITシステムによって提供するサービス どの記録・保存も不可欠です。 である、ということです。ITリソースではなく、下の図のように、 I&AMを共有サービス化することで、こうした多様なニーズへの サービスを最上位に置き、これを中心にI&AMに取り組んでい 対応が極めて容易になります。HPではI&AMを共有サービス化 く。サービス・オリエンティッドな発想へ切り替えていかなくて することのメリットを早くから認識し、対応を進めてきました。 はなりません。 アプリケーション・レベルでの万全な認証(真正確認) ときめ細 こうしたサービス・オリエンティッドな発想をITシステムへ具体 かで柔軟なアクセス制御、そしてその前提となるアイデンティ 的に適用していく際に極めて有効なのが、 「共有サービス化」 と ティ管理を統合的にしかも低い管理コストで実現するこれから いう考え方です。ITリソースやポリシーを含め、提供するサービ のI&AM。HPのアイデンティティ&アクセス・マネジメントは、そ スを共有化することで、ITシステムに対してシンプルで一貫性 の実現を強力にサポートできます。 のあるI&AMをトータルに提供できるようになります。 これからのアイデンティティ&アクセス・マネジメント 顧客 サービス ア イ デ ン テ ィ テ ィ & ア ク セ ス 管 理 2 パートナ データ& アプリケーション パートナ カスタマー サービス サプライ マネジメント パートナ オペレーション 従業員 給与 サービス Warehouse Service 新規採用 サービス セキュリティ& ビジネスポリシー 全ビジネスサービスにわたり一貫したポリシー アイデンティティ・メンテナンス &監査プロセス ビジネス全体にわたる、共通のメンテナンス&監査プロセス ITリソース データベース、 オペレーティング ディレクトリ システム メッセージング CRM, ERM 人事、会計 Non IT リソース ネットワーク I&AM_02_0309 07.3.9 11:33 AM ページ 6 ユーザライフ サイクル あらゆるライフサイクルイベントに対応し お客様の重点領域から、すぐにでもスタートできる 変化に柔軟に対応 HPのアイデンティティ&アクセス・マネジメント 共有サービス化という考え方に加えI&AMにおいて重要なのは、 HP アイデンティティ&アクセス・マネジメントは、複雑で広範囲 Identity & Access Management ビジネスライフ サイクル ITライフ サイクル 3つのライフサイクル ユーザライフサイクル • • • • 雇用 & 契約満了 昇進 & 異動 長期休暇、休職 正社員、パートタイム、臨時従業員 ITライフサイクル • 新規、アップグレード、廃棄 • 新たなアクセスモード (リモート、モ バイル etc) • データセンタコンソリデーション • アウトソーシング & ホスティング サービスの利用 ビジネスライフサイクル • 合併 & 買収 • 組織再編成 & リストラクチャリング • 複数業務、複数部門によるイニシア チブ、プロジェクト • 企業間連携イニシアチブ、プロジェ クト • 法規制への対応 「ライフサイクル」の視点です。変化への柔軟な対応を行うため にわたるアイデンティティ管理、アクセス管理を整理し、様々な に、様々なタイプのライフサイクル上のイベントに対応したライ 視点からの長期に及ぶライフサイクルを見とおせるよう、I&AM フサイクル管理を行う必要があります。HPはIDの生成・変更・廃 を3つの階層に分類。それぞれの階層に対応した4つの製品を 棄といったユーザライフサイクルだけではなく、ITライフサイク 提供しています。 ル、ビジネスライフサイクルにも対応した包括的なライフサイ アクセス管理の階層では、シングルサインオンを容易に実現す クル管理をサポートします。 る「HP IceWall SSO」 、および企業の枠を超えた認証連携をサ 例えば、パートナからの要求に応じて新しくモバイルアクセス ポートする「HP Select Federation software」の2製品が活躍しま に対応するといったITイベント、競合状況の変化に対応するた す。アイデンティティ・ライフサイクル管理の階層では「HP Select めの組織の再編成といったビジネスイベント、これらのイベン Identity software」がアイデンティティ情報管理の一元化と自動化を トに迅速に対応できる柔軟性をHPのI&AMは提供します。 サポート。そして「HP Select Audit software」は、内部統制上の 多くの場合、I&AMの導入当初にはITライフサイクル、ビジネス アイデンティティ&アクセス・マネジメントに関わる統制状況を ライフサイクルへの対応は重要な要件ではありません。しかし、 可視化します。 より長期的な視点からはこれらのライフサイクルへの対応が重 これらの4つの製品を活用することにより、従来の煩雑で不安 要な要件になってきます。戦略的I&AMに必要な3つのライフサ の残る高コストなI&AM環境を、最小限の投資で、シンプルで確 イクル管理の実現をHPはサポートします。 実、コスト効率の良いものへと改革することが可能になります。 HPの提供するアイデンティティ&アクセス管理ソリューション アクセス管理 • SSO • フェデレーション • マルチデバイス認証 • Privacy Enforcement HP IceWall SSO HP Select Audit software フェデレーション HP Select Federation software ポータル WS/SSO Audit Privacy アイデンティティ・ライフサイクル管理 • IDプロビジョニング(生成・変更・削除) • プロセス管理 — ワークフロー — • ビジネスプロセス・モデリング • パスワード管理 • セルフサービス & アドミン権限委譲 • プライバシー管理 • シンクロナイゼーション Governance HP Select Identity software アイデンティティ アカウント & ポリシー Context Policy アイデンティティ・インフラストラクチャ ID & データ ストア • ディレクトリ:LDAP, Virtual & Meta • アプリケーション、 デバイス & データストア • PKI ディレクトリ 統合 & 連携 データベース、 ディレクトリ オペレーティング システム メッセージング アプリ ケーション 人事、会計 PBX 3 I&AM_02_0309 07.3.9 11:33 AM ページ 7 正確なアイデンティティ情報を基に、 パーフェクトなセキュリティ管理に向け スタート時点で必要十分な機能を提供する HPのアイデンティティ&アクセス管理製品 アクセスを確実に制御することで 達成される万全のセキュリティ体制。 その実現に向け、 1製品ずつを段階的に導入するケースでも、 4製品を一気に導入するケースでも、 HP アイデンティティ&アクセス・マネジメント 製品なら満足のいく成果を得られます。 また、コンサルティングメニューとして I&AM原則サービス、 I&AMアーキテクチャサービスも用意。 HPならI&AMの上流から下流まで トータルにソリューションを提供できます。 トータルなアイデンティティ&アクセス管理を容易に実現 セキュリティ・インフラ 利用者 Select Identity 社員A リソース 統合 ユーザ管理 社員B ユーザ データ Windows IceWall SSO シングル サインオン Select Federation 外注 取引先 A Webアプリケーション A ユーザ データ Webアプリケーション A ユーザ データ Webサービス 関連会社/ 他社 フェデレーション 監査情報 一元管理 Select Audit HP IceWall SSO Web環境でのシングルサインオン機能を提供 インターネットをはじめとするネットワーク環境ではサービスの シングルサインオンによりアクセスがシンプルに Web化が進む一方で、用意されたサービスにアクセスするたび に異なるログイン認証を受けなくてはならないという不便さが 発生しています。HP IceWall SSOはこうしたWebにおける認 証の手間を省き、1度の認証入力で様々なサービスの利用を可 要素1 リバースプロキシ 全 て のト ラ ン ザ ク ション が IceWallサーバを通過。認証認 可チェック、アタックを防御す る働きをする HP IceWall SSO Agentの 配付不要 ERP IceWallサーバ 能にするシングルサインオン機能を提供します。プラットフォー ムを選ばないエージェントレスのリバースプロキシ方式の採用、 CRM Network OS、Webアプ リに制約が少 ない 数百万ユーザ規模まで対応できるスケーラビリティ、管理負担 の少ないアクセスコントロールといった特長も備えます。 導入のメリット • システム全体のセキュリティレベルの向上 • 複数のIDやパスワードを管理するユーザ負担の軽減 • システムを利用する際の煩雑さを解消 • アクセス管理のためのコストを削減 4 要素2 認証モジュール IceWallサーバ要求を受け、認 証DB上の認証認可情報と照合 アクセスログを出力 SCM 認証サーバ ディレクトリ/ DB Webアプリ I&AM_02_0309 07.3.9 11:33 AM ページ 8 HP Select Federation software グローバルシングルサインオン、拠点や企業の枠を超えた認証連携を容易に提供 海外拠点との連携や他企業との協業などの機会が増えたこと 多様なステイタスを柔軟に管理 で、異なる認証システムをまたがってお互いにアクセスできる SSO 環境を構築することが求められるようになってきました。また、 認証連携 認証連携 BtoCのサービスにおいても、サイト間での認証の連携はユーザ IceWall の利便性向上の面から非常に有効です。HP Select Federation softwareは、こうした異なる認証システムをまたがって利用す Select Federation ロンドン るケースでのグローバルシングルサインオンを実現します。 認証連携 関連会社、他拠点 IceWall 導入のメリット • 企業間やプロジェクト内でのスムーズなIT連携 • 登録などに要する時間の短縮 • 個人情報保護法などの法令への確実な対応 東京 HP Select Identity software 分散した数多くのIDの統合管理を実現 メールシステムやシングルサインオン、業務システム、OSなど IDのライフサイクルをトータルにカバー に点在するデジタルID情報を統合的に管理するディレクトリ統 合と連動して、ユーザアカウントや権限の作成・メンテナンス・ Windows 終了を、アイデンティティ情報のライフサイクルをとおして自動 SAP アカウント 生成・登録 化、一元化するためのソフトウェアです。監査ログの出力、承認 リソース 反映 Linux アカウント ライフサイクル マネジメント ワークフローといった機能も提供します。 導入のメリット アカウント 削除 LDAP プロフィー ル変更 • アイデンティティ情報管理の手間とコストを軽減 メール サービス • アイデンティティ情報の変更・廃棄忘れなどを防止 • アイデンティティ情報の容易な登録を実現 人事DB マスター Select Identityサーバ 業務DB HP Select Audit software SOX法対応のキーとなる内部統制をサポート SOX法へのITの対応を進めるうえで、業務プロセスの「見える 多様なステイタスを柔軟に管理 化」はアイデンティティ管理でも不可欠です。こうしたニーズに Select Identity 対応するHP Select Audit softwareは、管理作業やユーザ変更、 Audit Client API アクセス要求、認証判定などの履歴にデジタル署名を付加して 集約し、改ざんを防止します。また、こうしたデータを運用上 の監査ポリシーや法律による監査ポリシーに応じて自動的にレ Audit Connector Select Audit Select Federation Audit Client API HTTP Audit Connector ポート化(COBIT4.0 DS5に対応)。内部統制の実施をサポート HTTP XML Select Audit Server IceWall SSO します。 導入のメリット • IT監査に必要な情報収集の効率化 • 自動化による監査作業負担の軽減 • コンプライアンス強化に貢献 Audit Client API • 生データの格納 • データの処理 • レポーティング XML XML HTTP Audit Connector 3rd Party Application Audit Client API XML HTTP Audit Connector 5 I&AM_02_0309 07.3.9 11:33 AM ページ 1 HPのエンタープライズ・セキュリティ・アーキテクチャ 1つでも対策漏れが生じてしまうと、 そこが弱点となって被害が全体に及んでしまうのがセキュリティです。 隙のないセキュリティ環境を実現できるよう、 HPは対策を以下のような4つの領域に整理し、 体系的なトータル・ソリューションを提供しています。 セキュリティ・プランニング&ガバナンス 体系的で継続的なセキュリティ対策を実施できるよう、対策の基本計画や実施の ための仕組み作りなどをコンサルティングするソリューションです。 ビジネス目標 アイデンティティ&アクセス・マネジメント リスク・マネジメント コンプライアンス セキュリティ・プランニング&ガバナンス アイデンティティ &アクセス・マネジメント プロアクティブ・ セキュリティ・マネジメント 従来のファイアウォールで防御するネットワーク・セキュリティに加え、ユーザご と、アプリケーションごとにきめ細かなアクセス管理を実現するソリューション です。 プロアクティブ・セキュリティ・マネジメント セキュリティ事故の事前回避策も含め、対策を実施するために必要な監視や管 理、運用のための具体的な方策を提供するソリューションです。 トラスティッド・インフラストラクチャ トラスティッド・インフラストラクチャ セキュリティ対策の有効性を支える信頼性の高い基盤を構築するための、テクノ ロジーやITリソースを提供するソリューションです。 安全に関するご注意 ご使用の際は、 商品に添付の取扱説明書をよくお読みの上、 正しくお使いください。 水、 湿気、 油煙等の多い場所に設置しないでください。 火災、 故障、 感電などの原因となることがあります。 お問い合わせはカスタマー・インフォメーションセンターへ 03-6416-6660 月∼金 9:00∼19:00 土 10:00∼18:00(日、祝祭日、年末年始および5/1を除く) HP セキュリティ・ソリューションに関する情報は http://www.hp.com/jp/security 記載されている会社名および商品名は、各社の商標または登録商標です。 記載事項は2007年2月現在のものです。 本カタログに記載された内容は、予告なく変更されることがあります。 © Copyright 2006, 2007 Hewlett-Packard Development Company,L.P. 本カタログは環境保護のため100%再生紙および 大豆インキを使用しています。 日本ヒューレット・パッカード株式会社 〒102-0076 東京都千代田区五番町7番地 JEO06172-02