ノベルの新戦略「one Net」を支える最先端技術（2） XMLで実現するノベルの シングルサインオン技術を詳細分析

◇大規模ユーザーの認証をコントロール

ノベルのマーケティング本部 プロダクトプランニンググループ 飯田敏樹氏

　ディレクトリサービスを提供するeDirectoryは、導入することでさまざまなシステムの認証をコントロールすることができる。新しいバージョンに対応するプラットフォームはWindows NT／2000、Solaris、Linux、NetWare、AIX。企業システムで利用されるほとんどのプラットフォームに対応した。これまでは管理するユーザー数の増加につれて、パフォーマンスの低下を指摘する声もあったが、新バージョンではデータのレプリケーション機能を強化、分散したレプリケーション・データを仮想的に統一して管理することで、処理速度の高速化、ディレクトリ運用時のシステムの安定性を向上させた。ノベルのマーケティング本部 プロダクトプランニンググループ 飯田敏樹氏は「そもそもディレクトリの有効性は、管理するクライアントが大多数になればなるほど、強みを発揮する」と話す。

　例えば、フランス税務局では3500万ユーザー、米国の大手銀行では6000万ユーザーをeDirectoryで管理している。M＆Aを経営戦略の重要な武器とする経営者は増えつづけており、企業そしてもちろん、企業システムの姿がどのように変化するのか簡単には読めない時代において、大規模ユーザーに対応するeDirectoryはディレクトリサービスの急先鋒としての位置付けを徐々に強めている。

　ディレクトリサービスが管理するクライアント数が増加するに従い、管理者の負担も大きくなるというのがこれまでの常識だった。しかし、eDirectoryではJavaベースのGUIツール、コマンドラインツールに加え、Webブラウザからアクセスできる管理ツールを提供。ネットワーク全体の管理者から部門別の管理者、ヘルプデスクなど、管理者の所属によって設定できる項目が変化するロールベースのメニューを用意し、初級の管理者でもディレクトリサービスの運用が容易にできるようにした。その結果、管理者の手間は大幅に削減され、TCOの削減につながるのである。

◇XMLを活用したDirXMLの注目技術

　Nsureでキーとなる製品が「DirXML 1.1a」だ。DirXML 1.1aはさまざまなアプリケーションやDB、ディレクトリサービスなどのユーザーデータを同期化するメタディレクトリツールである。

　「DirXML 1.1a」は例えば、eDirectoryで人事情報を扱うERPやDB、グループウェアツールなどを管理している場合などに効力を発揮する。通常、異なるアプリケーション間ではデータ構造が異なることから、一部門あるいは一管理者が一括して企業内に分散するさまざまな種類のデータをハンドリングすることは非常に困難である。

　詳しい技術的な説明は後述するが、DirXML 1.1aを活用することで、例えば、新入社員の人事情報をあるERPにアカウントとして登録すると、データ構造が異なるDBやグループウェアなどサードベンダ製のシステムでアカウントを新しく作り、登録することが可能になる。異動や退職の場合でも同様、eDirectoryにつながったアプリケーション上でアカウントを移動させたり、削除すれば、DirXML 1.1aでメタ的に統合されたほかのシステムでもデータは自動的に同期化され、アカウントの変換が反映されるのである。退職したにもかかわらずに一部のシステムにアカウントが残っており、部外者に対してアクセスを許してしまうというようなセキュリティ上の危険を避けることができるだけでなく、アカウント管理業務の利便性の向上を実現できる（図1）。

図1 Novell DirXMLの仕組み

　そもそもDirXML 1.1aが注目されるのは、導入によるコスト削減効果が格段に大きいからだ。飯田氏は、米国のある調査会社の試算を例にあげ、説明する。「クライアント数が2万5000、年間の人事異動回数が5000回の企業をモデルにすると、1件あたりのアカウント変更に15分、そのコストを10.42ドルとし、7つの管理システムが分散して存在している場合、アカウント変更にかかる年間の総コストは36万4700ドルにも膨れ上がる」という。これは、日本円に換算すると約4500万円にもなる計算だ。1件あたりのアカウント変更にかかる時間はたった15分だが、年間に変更する件数が莫大な数に上ると結果的にコストは爆発的に膨らんでしまう。また、アカウント変更やパスワードリセットなどセキュリティに関わる作業は、単純作業であるが組織の信頼できるスタッフが行う必要があり、時間当たりのコストはますます増大する傾向にある。

　DirXML 1.1aを導入すれば管理するシステムがどれほど多くなっても、一部のシステムでアカウントを変更すればすべてのシステムで自動的に同期を図れる。そのため「年間の管理コストは上記のケースでみると、5万2100ドル（日本円で約650万円）に抑えることができる」（飯田氏）という。

　DirXML 1.1aでは、ディレクトリに格納されるオブジェクトのデータ構造をXMLで定義している。ディレクトリに発生する更新・追加などのイベントに関して、変更内容、追加内容を表現するXMLを定義し、eDirectoryでアカウントの更新が行われると、DirXML 1.1aはイベントとして検出し、XML形式で取り出す作業を行う。このイベントXMLは、連携するアプリケーションとeDirectoryをつなぐDirXML 1.1aドライバに、コマンドXMLとして渡される。DirXML 1.1aドライバはXMLで表現されているデータをアプリケーションのデータ構造に変換し、アプリケーションデータを更新する。逆に、アプリケーションでアカウントの更新が行われると、ドライバはイベントとして検出し、XMLに変換、DirXML 1.1aはeDirectoryデータを更新する。標準的な技術を使っているので、XMLエンジニアであれば、簡単に導入できるのも特徴だ。

◇アカウントを安全に管理して、シングルサインオンを実現

　DirXML 1.1aに対して「Novell Account Management 3」はさまざまなOSの認証をeDirectoryにリダイレクトさせ、同一ID・パスワードでのアクセスを実現するツールだ。企業内では、クライアントPCで利用率の高いWindowsから、基幹システムのUNIX系OS、部署のファイルサーバなどで利用されるLinuxなどさまざまなOSが混在している。1人のユーザーがそれぞれのOSに対応した複数のアカウントを持っていることも多い。だが、それらのアカウントのID、パスワードをすべて覚えておくのは困難である。また、OSによってはセキュリティポリシーの関係で1カ月に一度の頻度でパスワード変更が行われる場合があり、自分で管理するのは煩雑で非常に面倒だろう。かといって、パスワードをメモして、机の上に貼っておくなどは言語道断である。結果として、システム管理部門には、紛失してしまったパスワードをリセットするなどの連絡が相次ぐことになる。

　「Novell Account Management 3」は、各OSの認証を統合する。異なるOSでも同一のID、パスワードで認証できるようにするのである。新バージョンではSolaris Spark、Linux、Windows NT／2000／XPに加えて、IBMのメインフレーム系OSやUnix、FreeBSDなどにも対応プラットフォームを拡大した。「Novell Account Management 3」を導入することでユーザー、管理者の双方の負担は軽減され、システム全体のセキュリティが向上するのが分かるのではないだろうか（図2）。

図2 Novell Account Managementの仕組み

　「Nterprise」ソリューションは、さまざまな環境のシステムやコンピュータを一括して管理できるようにするクロスプラットフォーム対応の管理ツール群の総称である。ノベルが発表した対応製品は、PC管理ソリューションの「ZENworks for Desktops 4」と、PDA管理ソリューションの「ZENworks for Handhelds 5」、コラボレーション／グループウェアツール「GroupWise 6」、インターネットメールソリューションの「NetMail 3.1/NetMail XE 3.1」だ。それぞれITシステムの管理を容易にすることで、管理者の手間や新たなシステム投資をなくし、TCOの削減に貢献する。

　Nterpriseの対応製品、「ZENworks for Desktops 4」はディレクトリサービスを使って、クライアントPCのアプリケーション管理を自動化するツールだ。ポリシー設定をすることで、必要なクライアントPCに必要なアプリケーションの一括自動インストールや更新が可能である。企業内で組織横断的なプロジェクトを組む際に、複数のPCに対して必要なアプリケーションをネットワーク経由でインストールすることができるのである。営業スタッフなどが利用するPDAに対して、アプリケーションやデータの自動配布、データファイルを自動回収するPDA対応のツール「ZENworks for Handhelds 5」もある。

　「GroupWise 6」はノベルのディレクトリサービスに完全対応したグループウェア。既存グループウェアの基本的な機能はもちろんだが、ディレクトサービスを利用しているシステムに導入することで、複雑な設定なしにポリシーベースの運用をすぐに開始することができる。

　「NetMail 3.1／NetMail XE 3.1」は、ディレクトリサービスに対応したインターネットメールソフト。ディレクトリサービスを活用してユーザーを一元管理することが可能である。

◇[事例紹介] eDirectoryとDirXMLで複数のシステム管理：清水建設

　ノベルのone Netはすでに国内外の企業に導入され、大きな成果を挙げている。eDirectoryが得意としている大規模ユーザーの管理ソリューションを活用しているのは、フランス中央税務庁だ。職員と関連組織、個人と企業納税者が利用しており、ユーザー総数は3500万人以上に及ぶ。eDirectoryとDirXML、Webのシングルサインオンソリューション「iChain」を導入し、オンライン上での税金の申告と支払いを実現した。

　ドイツ・ルフトハンザ航空ではeDirectoryとDirXMLなどを導入したことで7万人の従業員の情報を統合している。パイロットやフライトアテンダントが全世界のオフィスで本国と同じ環境のPCを使えるようになった。空港のパブリックPCなどでも同じ環境を再現することが可能である。

　one Net導入で大きな成果が出ている国内企業は大手建設会社の清水建設だ。清水建設では全社ネットワークの再構築とともにeDirectoryとDirXMLを導入した。

　清水建設の全社ネットワークの再構築では、サーバOSや電子メール、グループウェア、ワークフローなどの情報系システムを主に刷新。だが、社員の人事情報や組織情報などユーザー管理は従来からのメインフレームで行っていたために、情報系システムとの連携が複雑になることが予想された。また、人事情報に登録されていない派遣スタッフやグループ企業のスタッフがシステムを利用するケースもあり、新規登録や登録抹消を各システムで同期することが課題になっていた。

　要件定義には2〜3カ月をかけた。オープン系システムのアカウント情報に柔軟に対応できること、LDAPによる各種ディレクトリサービスとの連携が可能なこと、ユーザー情報や組織情報を変更した際に、ほかのシステムに変更情報を自動伝達できること、シングルサインオンの基盤がそろっていることなどを洗い出した。

　この要件定義に最適なソリューションとして選ばれたのがeDirectoryとDirXMLだった。稼働までには約半年。eDirectoryがほかのディレクトリサービスの製品に比べ、ディレクトリサーバとしての機能が優れている点、大規模ユーザーへの導入実績がある点が評価された。現在、清水建設ではeDirectoryとDirXMLを活用し、約1万以上のユーザーアカウントを一元管理している（図3）。

図3 清水建設のアカウント管理システム構成図

　eDirectoryとDirXMLの導入後は、eDirectoryサーバを中核にして、人事情報や組織情報を格納するメインフレーム、電子メールシステム、Windowsネットワーク（Active Directory）、ワークフロー、グループウェアなどのアカウント連携を実現している。各サーバを冗長化したことで、システムの信頼性、可用性を高めた。アカウント管理の一元化、自動化の実現は、運用管理の負担軽減にもつながっているという。今後は、認証システムとLDAPの強化、シングルサインオンの実現で業務をさらに効率化することを検討している。

　国内のほかの導入事例としてはICカードとeDirectoryを組み合わせることで約6000人の業務のネット化と信頼性を高めた四国電力や、eDirectoryとWebシングルサインオン製品の iChain によって、Webサイト利用者に安全でパーソナライズされたシングルサインオン環境を提供する、統合WebポータルASPサービスを実現したの三菱アプリケーションサービスなどがある。

◇

　景気低迷で新規のIT投資が難しくなっている。一方でITシステムに対するセキュリティ確保や業務効率化への期待は膨らんでいる。ノベルのone Netは必要最低限のコストで企業が抱える経営全体の問題を解決し、ITシステムを経営の武器に変える有効なソリューションを提供するといえるだろう。

（1） 投資対効果を最大限に引き出すone Net戦略
（3） ノベル「exteNd」、開発者重視のWebサービスを実現