オンプレミスとクラウドの連携――第4回:ハイブリッド環境でも堅牢なセキュリティを支える「シングルサインオン」を実現する方法


こんにちは、SAPジャパンの奥野です。オンプレミスとクラウドの連携をテーマにご紹介している本連載。今回は、システムのユーザビリティやセキュリティに大きく関わる「ユーザーと権限」の連携について解説したいと思います。

パスワードの乱立を抑制しセキュリティを向上

Unlocking Doorオンプレミスとクラウドが共存するハイブリッド環境においては、ユーザーが1つの業務処理を完了する間に2つ以上のアプリケーションをまたいで行き来することは珍しくありません。しかし、そのたびに何度もユーザー名とパスワードを求められるのでは、ユーザーにとって不便極まりありません。

また、定期的にパスワード変更を求められる場合には、数多くのパスワードを管理しなければならず、同じパスワードを使い回したり、簡単で覚えやすいパスワードを使ったりするユーザーもでてきます。これらは、裏を返せば第三者から推測されやすい、いわば脆弱なパスワードです。

こうした安易なパスワード設定は、重大なセキュリティリスクにつながります。システム管理者は、ユーザーに定期的なパスワード変更と、十分に複雑なパスワード設定を促す必要があります。ユーザーが管理すべきパスワードの数を極力減らし、ユーザビリティやセキュリティを向上するシングルサインオンをいかに実現するかが大きな課題と言えます。

ハイブリッド環境でシングルサインオンを実現

ハイブリッド構成におけるシングルサインオンは、オンプレミスと比較してより複雑になります。オンプレミスでのシングルサインオンでは、たとえばSAPの場合、WindowsにおけるKerberos認証やSAP Logon Ticketがしばしば利用されます。しかし、ハイブリッド環境ではアプリケーションが異なるドメインに存在するケースも多いため、ドメインの信頼関係に基づくKerberos認証や、読み出し権限の制御にドメインサフィックスを利用するcookieによるSAP Logon Ticketでは、不都合が生じてしまいます。このような環境下では、SAMLのようなクロスドメインでのシングルサインオンを実現する新たなテクノロジーが必要となってきます。

このように複雑なハイブリッド構成の環境下であっても、シングルサインオンを確実に行えるのがSAP Single Sign-Onです。SAP Single Sign-Onは、以下のようにさまざまな認証方式を利用したシングルサインオンを実現すます。

  • WebまたはWebサービス ベースのシングルサインオン
  • Kerberos認証、X.509を利用したSAP GUIのシングルサインオン
  • ユーザーパスワードを利用するレガシーシステムのためのシングルサインオン
  • SAML 2.0によるシングルサインオン

手作業による権限管理がセキュリティリスクの温床に

オンプレミスとクラウドを連携したハイブリッド環境で、セキュリティの観点から考慮すべき別の側面としては、「ユーザーと権限の管理」が挙げられます。手動でユーザー権限管理が行われている場合に起こりがちなセキュリティリスクの典型的な例としては、たとえば退職者のユーザーIDが無効化されずに、そのまま残り続けてしまうといった問題があります。もちろん、こうした問題はオンプレミスのみの環境でも起こりえるリスクです。しかし、ファイアウォールによって守られた社内ネットワークとは異なり、インターネット経由で外部からアクセス可能なパブリッククラウド上のシステムでは、企業にとってより大きな脅威となります。

ユーザー権限を手動で管理することで起こりうるもう1つの問題は、異動に伴うユーザーの削除が行われず、異動後も不必要な権限がユーザーに与えられたままになってしまうという状況です。この結果、部署異動を重ねるたびに「何でもできるスーパーユーザー」が生まれかねません。基幹系システムにおいてユーザーに不必要な権限が与えられると、セキュリティ上のリスクだけなく、コンプライアンス上の重大なリスクを招きかねません。

適切な権限分掌を実施し、かつコンプライアンスに準拠していくためには、ユーザーに対してどのような権限が与えられているかを確実に把握するとともに、人事異動などのイベントに合わせて権限の付与と削除を適切に行っていく必要があります。

複数のユーザー権限を自動で一元管理

こうした目的で活用できるのが、SAP Identity ManagementというID管理ソリューションです。SAP Identity Managementは、その名前の通りユーザーのロールに応じて各システムに付与すべき権限を一元管理するソリューションです。たとえば「経理部の一般ユーザーは、このシステムのこの機能と、このシステムのこの機能が使える」といった、詳細な権限の定義を行うことができます。

SAP Identity ManagementはSAPの人事管理モジュールとも連携できるため、ユーザーの人事異動の際には、各システムに対して自動的に必要な権限を付与し、不要となった権限を削除します。また、ワークフローの機能も備えており、そのワークフロー上でユーザーによる追加権限の申請と承認が実行可能です。

もう1つの重要な機能としては、レポートと監査のための機能があります。これにより、ユーザーがどの機能にアクセスできるのかを即座に把握できるだけでなく、SAPのGRCソリューションと連携(連載第1回を参照)して、ユーザーに与えられた権限に危険な組み合わせがないかを検出することも可能です。ここでは、システムアクセスはもちろんワークフロー上での振る舞いも含めた監査ログが保存されるため、証跡管理などコンプライアンスの面でも万全の管理が担保されます。

オンプレミスとクラウドが共存するハイブリッド環境における堅牢なセキュリティをお考えであれば、ぜひSAPまでお問い合わせください。次回は、紙文化の残る経理業務を効率化する方法をご紹介します。

ご質問はチャットWebからも受け付けております。お気軽にお問い合わせください。

●お問い合わせ先
チャットで質問する
Web問い合わせフォーム
電話: 0120-554-881(受付時間:平日 9:00~18:00)