2012年2月5日日曜日
アイデンティティ・プロバイダにおける身元保証と岩波書店の縁故採用宣言
たまには時事ネタも、ということで。
岩波書店が2012年度の採用を縁故採用に限る、という宣言をしたことが賛否両論を呼んでいますね。
岩波書店の採用ページ
http://www.iwanami.co.jp/company/index_s.html
色々な意見があるのは確かだと思いますので、ここでは特に何の意見も述べるつもりはないので、少しだけWeb上の反応を紹介しておきます。
(私の周りには結構肯定的な意見が多いかも)
・雑種路線でいこう
http://d.hatena.ne.jp/mkusunok/20120204/p1
・常識的に考えた
http://blog.livedoor.jp/jyoushiki43/archives/51836165.html
・ドラゴンの抽斗
http://ameblo.jp/nitta-ryo/entry-11153856843.html
で、ここからアイデンティティの話(およびサービスプロバイダの話)です。
先日の Kantara Initiative Seminar 2012 Winter でも Japan WG 議長の山田さんが紹介していましたが、現在 Kantara Initiative が生き残りを賭けて?力を注いでいるのが Identity Assurance Framework です。
※山田さんの講演資料はこちら:
http://kantarainitiative.org/confluence/pages/viewpage.action?pageId=57606150
背景を含め簡単に説明すると、、、
特にパブリック・クラウドなど事業者をまたがってサービスを使う様な場合、「サービス・プロバイダの信頼」というものが非常に重要になってきます。
※これまでこの blog で紹介してきた AD FS2.0 などで言う証明書を使った信頼関係の実装とはレイヤが違う意味での「信頼」です。事業者同士の信頼をITシステムの中で表現するための一つの方法が証明書ベースでのIdP/RP間の信頼です。
例えば、アプリケーションを提供する側としては、外部のアイデンティティ・プロバイダからの認証結果や属性情報を受け入れるには普通に考えて結構な覚悟が要るはずです。本当に認証は正しく実行されているんだろうか?パスワードが漏れていて実際は本人以外の人がアカウントを使っているんじゃないだろうか?実は退職した後でもアカウントが消されていなくて不正利用をされているんじゃないだろうか?など考えただけで色々な懸念があるはずです。
また、逆にアイデンティティ・プロバイダ側からすると利用したいアプリケーション・サービスが本当に大丈夫なのか?については同様に気を使います。管理レベルが低くて提供したメールアドレスなどの属性情報をリスト化してスパム業者に売り払っているんじゃないだろうか?作成したデータを盗み見られているんじゃないだろうか?などなど、こちらも多くの懸念があります。
こうなってくると「何を持ってアイデンティティ・プロバイダ、サービス・プロバイダを信頼するか」の基準の確立が非常に大切になってきます。これを「トラスト・フレームワーク」と言います。
現在、Kantara Initiative は Open Identity Exchange(OIX)と並んでポリシー策定者である米国調達庁(GSA/ICAM)の認定したトラスト・フレームワーク・プロバイダとなっています。
GSA が行う電子調達においては OIX や Kantara Initiative が認定したアイデンティティ・プロバイダで認証された利用者 / 企業であることが必要となります。
ちょっと話がそれましたが、このトラスト・フレームワークの認定基準を見るとアイデンティティ・プロバイダ、サービス・プロバイダで事業に従事する人員の採用に関する要件についても規定されています。
Kantara Initiative Identity Assurance Framework
Identity Assurance Framework:Service Assessment Criteria
LoA2 ( Level of Assurance 2 )
AL2_CO_OPN#030 Personnel recruitment
Demonstrate that it has defined practices for the selection, evaluation, and contracting of all service-related personnel, both direct employees and those whose services are provided by third parties.
LoA3/4 ( Level of Assurance 3/4 )
AL3_CO_OPN#030/AL4_CO_OPN#030 Personnel recruitment
Demonstrate that it has defined practices for the selection, vetting, and contracting of all service-related personnel, both direct employees and those whose services are provided by third parties. Full records of all searches and supporting evidence of qualifications and past employment must be kept for the duration of the individual's employment plus the longest lifespan of any credential issued under the Service Policy.
特に LoA3や4(信頼レベル高)ともなると過去の従事者が資格を満たしていることのエビデンスや雇用履歴の調査など、かなり厳密な管理が必要となります。
それもそのはず、例えばイギリスでは LoA4 を要求するサービスとして生命や医療、国防にかかわるサービスをあげていたりします。
Kantara Initiative の他にも Cloud Security Alliance(CSA)でも Cloud Control Matrix(CCM)を定めており、その中にも従事者の採用に関する項目が規定されています。
CSA / Cloud Control Matrix(CCM)
https://cloudsecurityalliance.org/research/ccm/
HR-01
Pursuant to local laws, regulations, ethics and contractual constraints all employment candidates, contractors and third parties will be subject to background verification proportional to the data classification to be accessed, the business requirements and acceptable risk.
HR-02
Prior to granting individuals physical or logical access to facilities, systems or data, employees, contractors, third party users and tenants and/or customers shall contractually agree and sign equivalent terms and conditions regarding information security responsibilities in employment or service contract.
HR-03
Roles and responsibilities for performing employment termination or change in employment procedures shall be assigned, documented and communicated.
特に HR-01 では身元確認の重要性を強調しています。
色々と書きましたが、岩波書店の話に戻すと特に公共性の高いサービスにおいては「身元のしっかりした人を採用する」ことの重要性が認識され始めているのかも知れません。
しかし、これには色々と問題があるのも確かで、特にプライバシーの観点から見ると過去の犯罪歴や家族構成などが原因で仕事に就けない、といった事象を生む可能性も否めません。
※この辺りは崎村さんの blog で。
http://www.sakimura.org/2010/12/686/
クラウドを含め単一の企業ネットワークに閉じた境界防御ではなく複数の事業者にまたがるビジネス・スキームが主流になってくると必ず話題に上る、いわゆる「セキュリティ vs プライバシー」の議論の典型的な例だと思いますので、岩波書店の例に関する結果がどうなるのか?は要ウォッチかも知れません。
登録:
コメントの投稿 (Atom)
0 件のコメント:
コメントを投稿