Hitachi
お問い合わせお問い合わせ

背景と概要

インターネット・イントラネットによる ビジネスのスピードアップ

インターネットの普及により、商品/サービス情報の素早い提供や、イントラネットによる企業内での情報共有のスピードアップは、予想を超える速さで進展しています。このような動きに対応するために、Webアプリケーションの拡充が図られてきましたが、アプリケーションが乱立することによる、アクセスコントロール情報の管理コストの増大、設定作業の遅れや設定漏れの発生リスクへの対応が求められています。

画像 Webアプリ、拡充から統制へ

次々と拡充されていくWebアプリケーション群を、これまでの個別管理から、一元的に管理できるシングルサインオン・ソリューションに統合することにより、内部統制に対応したセキュアなインターネット・イントラネット基盤を実現します。

アクセスコントロールの統合管理から、そしてさらに内部統制に対応したガバナンスへ

インターネット・イントラネットの普及により、ビジネスのスピードを高めたWebアプリケーションはさらなる拡充が求められています。また一方、小規模インターネット・イントラネット時代からのWebアプリケーションごとのセキュリティ管理、すなわちアクセスコントロールも、多様化、拡充される状況では運用負担が増大し、新たな管理形態への移行が求められるようになってきました。近年では、内部統制への認識も高まり、ログイン・ログアウトの日時や操作履歴を管理したい、セキュリティ・ポリシーに従った運用が行われているかをチェックし、その監査レポートをまとめたいといったこと、すなわち、インターネット・イントラネットの『アクセスコントロール4A』(認証・認可・管理・監査証跡)をWebアプリケーションごとの管理から、一元的な管理に統合する事が求められています。

適切なデータ及び資源へのアクセス管理(アクセスコントロールの4A)
Authentication認証 情報提供側が適切な利用者と確認する機能
Authorization認可 認証された利用者にアクセスを許可する機能
Administration管理 認証・許可のための利用者情報、アクセス制御情報を管理する機能
Auditing監査証跡 利用者のログイン/ログアウト日時、操作履歴の管理や、チェックした監査レポートをまとめる機能

この時代の要請で注目されているのがIceWall SSOシングルサインオン・ソリューションです。

IceWall SSOは企業情報セキュリティを統合管理するソリューションです。

今、注目されている『シングルサインオン・ソリューション』であるIceWall SSOは、一度の認証で複数のWebアプリケーションへのログインを実現するとともに、セキュリティとアクセスコントロールの統合管理を実現する製品です。
シングルサインオンによりユーザーの利便性を向上しつつ、堅牢な環境を提供。全体最適化で、ITシステムの管理コスト削減に貢献します。

画像 IceWall導入イメージ
画像を拡大する

特徴

企業情報セキュリティの統合管理

  • 認証・認可・管理・監査証跡を一元的に管理
  • 統合管理による管理者の運用負荷軽減
  • 企業情報を内部統制に対応したガバナンスへ

運用負担の少ない認証・認可方式

  • 日本の組織体制に対応したルールベースのアクセスコントロール方式を採用。組織改革、人事異動に追従する認証ルート
  • 役割に適切なアクセスを認証・認可

高速処理とスケーラビリティ

  • 大量アクセス集中でも、同時ログインを高速認証
  • 大規模なシステムにはスケールアウトで性能確保
  • 先進企業での豊富な採用実績

エージェントレスのリバースプロキシ方式を採用

IceWall SSOを搭載するサーバは、IceWallサーバと認証サーバとで構成します。 IceWallサーバはクライアントからのアクセスを一度受け取り、そのリクエストをWebアプリケーションに中継する、リバースプロキシ方式を採用しています。IceWall SSOはWebアプリケーションにエージェントモジュール組込むエージェント方式にも対応しますが、エージェント方式に比べ、リバースプロキシ方式はWebアプリケーションの制約が少ないという利点があります。

IceWallサーバがすべてのトランザクションをチェック

すべてのトランザクションがIceWallサーバを通過しますので、認証・認可のチェックや、アタックの防御を行います。すなわち、Webアプリケーションとは独立した形態で、一元的に認証・認可を行うことができます。

認証サーバは認証データベースと照合、アクセスログを出力

IceWallサーバからの要求により認証サーバは、中継するトランザクションと認証データベース上の認証・認可情報とを照合します。この時のアクセスログを出力する監査証跡の役割を担います。

画像 リバースプロキシ方式

日本の組織体制を熟知したIceWall SSOでは、運用負担を軽減させる『ルールベースのアクセスコントロール』を採用。

役割に適切なアクセスを認証・認可

組織改革による役割の変更、人事異動および昇格者/退職者の扱いと、組織はダイナミックに動いています。この動きに合わせて組織の人事データベースは更新されていきますが、新たに認証用のデータベースを作成・更新する負担は少なくありません。
IceWall SSOは、論理式を組み込んだ『ルールベースのアクセスコントロール』を採用しています。したがって、役職と部署の個人属性が更新されれば、自動的に更新内容に追従して、アクセスの可否を判断して、認証・認可を行うことが可能。 日本の組織体制を熟知した、IceWall SSOならではの機能が織り込まれています。

画像 運用負担の大きいロールベース

運用負担が大きい
運用開始時
  1. 組織×役割分の非常に多くのロールを定義(人事部長、人事課長…総務部長、総務課長…)
  2. 個人にロールを割り当てる
組織変更異動時
  1. 人事データベースに異動情報を登録
  2. ロールを再割り当てする

画像 運用負担の少ないルールベース

運用負担が非常に少ない
運用開始時
  1. 組織+役割=属性分のルールを定義するのみ(複雑な組織にも柔軟に対応可能)
組織変更異動時
  1. 人事データベースが更新され、組織や役割などの属性が変更になればアクセス可能先も自動更新

IceWall SSOは、既存の人事データベースを活用することができます。

IceWall SSOの高速処理を支えるHA8500

数千ユーザーのイントラネットから、数百万ユーザーのインターネットまで対応可能なスケーラビリティを確保

IceWall SSOが採用している先進の技術によって、高性能と高いスケーラビリティを実現しています。この高速処理機能への高い評価によって、先進的な企業のインターネット・イントラネットのアクセスコントロールに、数多く採用いただいています。

具体的には、HP-UX 11iのアクセスをマルチスレッド機能を活用し、B*Tree検索及びコネクションプールによるパラレル処理といった先進の技術を多用して、 IceWall SSOは高速処理を実現しています。数千ユーザーのイントラネットから、数百万ユーザーのインターネットまで、スケーラビリティを確保し、規模に応じたスケールアウト構成がとれるようになっています。 このスケールアウト構成に対応するのが、 HP-UX 11iを搭載する日立アドバンストサーバHA8500です。

画像 B*Tree検索及びコネクションプールによるパラレル処理

同時ログインユーザーが多くとも、パフォーマンス劣化を招かない、B*Treeメモリ検索、マルチスレッドコネクションプールによるパラレル処理を採用。

簡便な高セキュリティ認証基盤「 HA8500+IceWall SSO+指静脈認証」

IceWall SSOの認証を「日立指静脈認証装置」による認証に置き換えることにより、シングルサインオンによる利便向上と生体認証による認証強化を両立できます。

メリット1

指1本で簡単にログインできるので、ユーザーはパスワードが不要

メリット2

なりすましが困難な生体認証により、本人確認のセキュリティレベルを向上

メリット3

IceWall SSOのログインを日立指静脈認証装置の認証に置き換えるため、Webアプリケーションの改修が不要

画像 IceWall、日立指静脈認証の連携イメージ
画像を拡大する