「誰が、いつ、何にアクセスしたか」という統制環境を実現できる、内部統制のための重要なソリューション

3.SAML2.0

Webサービスは、ますます複雑化し巨大化するシステムを何とかしたい、という声に応えて実現されてきました。Webサービスの目指す世界は、各サービスが自律的にほかのサービスと連携し、ネットワーク上で1つのサービスを提供することです。例えば、家電製品がネットワークを通じて、自分で必要な情報を集めたり、ほかの製品の情報を提供することで、ユーザーにとって常に最適な状態を保ち続けられる、という世界です。

こうしたWebサービス連携の中で、セキュリティ技術は不可欠なものです。SAML2.0は、サービスアプリケーションレイヤでのセキュリティを担い、Webサービスの連携に最適であることを目指して設計されています。

Webサービス連携においては、サービス要求を利用者に代わって、仲介者（ブローカー）が行う場面が想定されます。そのため、サービスの要求者とともに、そのサービスは誰のためか、という情報を通知する必要があります。これまでのCookieやSSLを用いた認証では、その通知ができませんでした。

SAML2.0では、CookieやSSLによるセッションの認証と、アイデンティティを証明するAssertionを分離し、メッセージが誰から送信されたもので、誰のためのサービス要求であるかを特定することが可能になります。その仕組みをユーザー認証に応用することで、サービス間でアイデンティティを連携し、連携によるシングルサインオンを実現しています。

また、このAssertionを利用して、アイデンティティの属性情報交換ができます。属性情報とは、そのユーザーに固有な情報（住所や電話番号など）と、ユーザーの状態に関する動的な情報（認証方法や、どのサーバで認証されたかなど）のことです。

この動的な情報を利用することで、あるサービスの認証結果を、第三者機関がお墨付きで認めているといった認証レベルの情報を付加することができます。例えば、銀行振り込みなど高い認証レベルが必要なサービスでは、アクセス制御のポリシーを動的な属性情報によってコントロールすることが可能になります。

SAML2.0は、これからのさまざまなサービスが融合して1つのサービスが提供されるWebサービスの世界において、自由度の高い認証と属性交換の仕組みを提供するものとして重要なものとなっていくことでしょう。

SAML2.0仕様に準拠したアイデンティティ連携モジュール

NTTソフトウェア株式会社では、SAML2.0仕様に準拠したアイデンティティ連携モジュールTrustBind/Federation Manager (トラストバインド/フェデレーションマネージャ）を販売しております。TrustBind/Federation Managerは、2006年12月に開催されたSAML2.0仕様の相互接続性認定試験に合格し、仕様への準拠性が確認されています。

TrustBind/Federation Managerは、NTT情報流通プラットフォーム研究所のI-dLive（アイドライブ）を商品化したものです。純国産製品であり、既存システムとの連携、およびシステム特有の機能に対応するインタフェースを多数備えているため、拡張からカスタマイズまで柔軟に対応することが可能です。

今後は、企業間を連携したサービスの提供も増えていくことでしょう。それに伴う個人IDの管理も複雑性が増していくと予測されます。その中で、いかに個人のID情報をコントロールし、使い勝手が良く、かつ統制された環境を築いていくかがますます重要となり、企業内をはじめ、企業間にわたるシングルサインオンの導入が進んでいくことと思われます。