SaaS・クラウドの進展が後押し

　SaaS・クラウドコンピューティングの時代へ移行するなか、ネットワーク利用のサービス領域が拡大したことでSI（システム構築）業界ではアイデンティティ（ID）連携やシングルサインオンなど「ID管理」が重要性を増している。SaaSアプリケーションなどの利用や、ユーザー企業での多拠点間（子会社やグループ会社、取引先など）のID連携や、内部統制強化策として浮上してきた。特定ベンダー製品に依存しない「ID管理技術標準仕様」策定が進み、国内のSI案件で利用されるケースも増加傾向にある。「ID管理ソリューション」への期待感が高まっている。

　企業内には多くのシステムが乱立し、IDとパスワードの管理が複雑さを増している。企業内個人はIDとパスワードを記憶するためにメモ書きで保存し、システム管理者がそれらを個人へ発行する際にハードコピーを手渡したり、退職者のIDを使い回すなど、コンプライアンスや内部統制上の危険にさらされている状況だ。

　企業内にある各システムのIDやパスワードを手作業で管理すると「管理コスト」が増大し、情報漏えいのリスクが高まる。国内では「決裁権限者」のIDを利用し「循環取引」で不正利益を計上した事件も起きた。さらに、Webサービス型のアプリケーションを複数利用するケースが増え、IDを適正に管理することが困難になりつつある。そこで、特定ベンダーに依存しない標準化されたID連携やシングルサインオンの仕組みが急浮上しているのだ。

　2001年に設立された世界的な標準化団体「リバティ・アライアンス」は、Webサイトなどで、相互連携可能な「ID管理技術」の標準化を推進。同団体にはビジネスや公共政策に生かすため、カード会社はじめ通信会社や米政府機関が加盟するなど、世界の主要団体・企業が賛同している。

　国内では、同団体の日本SIG（Special Interest Group）があるほか、「URL形式のID」である「OpenID」の普及を目的とした団体「OpenIDファウンデーション・ジャパン」が昨年10月に立ち上がったのは記憶に新しい。「ID管理技術」は「OpenID」のほか、リバティ・アライアンスが策定したサービス間で安全に属性情報を交換するための基盤「ID─WSF（Identity Web Services Framework）」とXML関連の標準化団体OASISが承認した「SAML」など多岐にわたっている。

　「IDを生成して消すまで、認証だけでなく運用面などIDにかかるライフサイクル全体のサポートを考えている」（日本SIG共同議長でNTT情報流通プラットフォーム研究所の高橋健司・プロジェクトマネージャ）というのがリバティ・アライアンスのスタンスだ。

　その一環として、シングルサインオン製品を認定するため、製品間の相互接続性テストも実施中。また、異種プロトコルの相互接続では「コンコーディア・プロジェクト」を立ち上げ「OpenID」や「SAML」などの相互運用性について協議している。さらに、ライフサイクル全体のサポートを重視する観点から、アイデンティティを他のサイトに受け渡しする際に、本当にそのID情報が信用できるか、保証基準を設けるため「Identity Assurance Framework」を規定し、「Assurance level」（信用レベル）などを設けた。「例えば『レベル1』は、無料パスワードで無料サイトにアクセスできる程度で『まったく信用できないレベル』。こうした『信用』を担保するため、監査体制などを整備している段階」（高橋マネージャ）としている。

　早い段階から標準化されてきた「SAML」については、すでに企業内でウェブサービスも踏まえたシングルサインオンや会員向けサイトの連携などで実績を挙げている。NTTソフトは「SAML2.0」を実装した「TrustBind/Federation Manager」を販売。NTTデータの統合マネジメント基盤「VANADIS」にもSAML対応オプションとして提供している。NTTデータは公共分野に強いことから、公共機関、大学でも引き合いがあるという。

　また、OpenIDファウンデーションではワーキンググループを発足させ、重要な情報をやり取りするための仕様を策定し始めた。ベンダーの取り組みでは、日本IBMが資産管理ソフト「Tivoli」やミドルウェアの「WebSphere」などでOpenIDに対応。社内システムのOpenID化を促進する方針だ。（鍋島蓉子／佐相彰彦）

【関連記事】膨らむ「ID管理｣関連の市場
年率3％強の成長見込まれる

　「ID管理」の標準仕様化への動きや企業向け利用は、世界に比べ日本が先行するといわれている。これに呼応してNTTデータなどNTTグループ会社や野村総合研究所（NRI）など、標準団体の事務局を務める大手ベンダーを中心に、企業向け利用に向けたシステム案件が増えつつある。

　国内では金融商品取引法の「J─SOX法」が今年4月に適用され、内部統制やコンプライアンス強化策が重要な局面を迎えていることも刺激になっている。特に、2009年は世界的な経済不況下にあり、M＆Aや企業内の事業統合などが急増しそう。その際に各拠点や事業所で異なるシステムを統合しようとすれば、「ID管理」が運用・導入の両面で簡素化されていなければ、内部統制やコンプライアンスの面で時間や労力、コスト負担が増す。こうした企業にとって「ID管理」が必要不可欠になるのだ。

　近い将来、SaaS・クラウドコンピューティングの利用拡大が見込まれ、「従量課金制でWebアプリケーションを借りる」方法が広がる。例えば、企業の本社と支店、グループ会社間、あるいは取引先とWebアプリケーションでやり取りする際に、標準仕様化された「ID管理」は重要だ。

　調査会社IDC Japanによれば、「アイデンティティ／アクセス管理製品」の国内市場規模は07年が約480億円。12年には566億円に達すると予測する。ただ、いま出回る既存の「ID管理」製品は単一企業内で使用する際に管理・運用を簡素化し、セキュリティを担保するモノが多く、異機種のシステム間同士でつなぎ管理するまでに至っていない。これを補うための標準仕様策定の動きを見ると、この市場規模がさらに膨らむ可能性がある。

　ゆくゆくは大規模向けシステムでなく、大規模システムに紐づく拠点システムとの関連で、SaaSなどの普及に伴って中堅・中小企業のシステムへも浸透しそうで、同領域に強みを持つSIerにとってのビジネスチャンスになる。（谷畑良胤）