前回の記事「ゼロトラスト対策のポイントはIDと認証管理」で、ゼロトラスト対策の要となる「IDと認証管理」について、その必要性と組織・利用者にとってのメリットを説明しました。「IDと認証管理」を実現するツールの一つがIDaaSであり、調査会社のアイ・ティ・アール社によれば、「日本国内のIDaaS市場売上は2018年時点で21億円と前年と比べて43.8%増を記録し、2023年度には60億円規模に到達する見込み」とされています(※引用)。
今回はゼロトラストの実現、企業のセキュリティとガバナンス確保のために、いま求められている「IDaaS」について見ていきます。
シリーズ「ゼロトラストセキュリティとIDaaSの活用」
#1 ゼロトラストセキュリティ 最新状況とメリット
#2 ゼロトラスト対策のポイントはIDと認証管理
▶ #3 クラウド利用におけるゼロトラスト対策 これからのIDaaS
#4 クラウド利用におけるゼロトラスト対策 フィッシング耐性の高い認証
クラウド利用におけるゼロトラスト対策 Oktaの主なユースケース5選
IDaaSとは?
IDaaSとは、「Identity as a service」の略で、複数のサービスやアプリケーションに存在するアカウント名・パスワード、役職などのIDに関わる情報を一元的に管理し、アクセス制御を提供するクラウドサービスを指します。日本語では「クラウド型ID統合管理サービス」と訳されることもあります。
IDaaSと混同される言葉に、IAM(Identity and Access Management)があります。「AWS IAM」のように特定の機能・サービス名として使われる場合もありますが、IAMとは、ユーザーのIDやアクセス権限を管理する仕組みであり概念としての総称です。具体的には、ユーザー登録や認証、アクセス権限付与や削除、アクセスログ監査などの機能が含まれます。
IAMはさまざまな形で提供されていて、そのうちの1つがIDaaSであり、IDaaSはSaaSで提供されるIAMの一種といえます。
IDaaSで出来ること
IDaaSの主な機能であるID管理、ID連携、各種システムやサービスへの認証(2段階認証や多要素認証)、認可(アクセスコントロール)、監視について紹介します。
ID管理
IDaaSで管理しているIDを作成・変更・削除することができます。従業員の入退社や人事異動に伴うアカウントの作成・削除・変更などを行い、ID情報を一元管理します。管理者は管理画面から簡単にマネジメントを行えるため、ID管理の負荷軽減につながります。
ID連携
IDaaSと各クラウドサービス、オンプレミスの社内システムなどのID連携を行うことができます。ID管理の際に変更したユーザー情報を、ほかのクラウドサービスや社内システムと同期させることで、異動や組織変更にともない発生していたサービス・システムごとのID管理作業が不要となります。
また、管理者が各システムへログインする際のIDやパスワードを一括管理できるため、ユーザー任せのID運用による、パスワードの使いまわしや短いパスワードの利用など、セキュリティ上のリスク回避が可能です。
IDaaSのなかには、既存のActive DirectoryやLDAPと連携できるサービスもあります。Active Directoryのアカウント情報をそのままIDaaSで統合すれば、これまで多くの時間が必要だった統合作業を短縮できます。
認証(2段階認証や多要素認証)
IDaaSや各クラウドサービスへのサインイン時に、複数条件を用いてユーザーの認証を行うことができます。クライアント認証やワンタイムパスワード認証、生体認証、質問認証などの認証方式が提供されています。
アクセス状況とこれらの認証方式を組み合わせて2段階認証や多要素認証を行うことで、不正アクセスを防ぎセキュリティを強化しながら、業務の柔軟性を確保することができます。
(例:社外から個人タブレットでアクセスする時は、ワンタイムパスワードによる2段階認証を設ける、など)
認可(アクセスコントロール)
連携したクラウドサービスへの適切なアクセス権の付与と、条件に応じてクラウドサービスへのアクセスをコントロールすることができます。クラウドサービスへアクセスできる利用者や端末・場所などに制限をかけることで、管理者の許可を得た利用者のみが各システムを利用できるようになります。
監視
ユーザーがどのクラウドサービスをどれくらい利用しているかを確認することができます。従業員の利用履歴やアクセス状況、パスワードの変更履歴、管理者作業のログを取得できるため、不正アクセスなどのトラブル発生時には証拠として追跡に活用できます。
IDaaSは上記の機能を通じて、シングルサインオンによる利便性の向上、煩雑なID管理の効率化、セキュリティの強化を実現し、DXやサービス開発に必要な新たな技術・サービス利用を後押しします。
IDaaSの選定ポイント
IDaaS市場の拡大にともない、国内外のベンダーからさまざまな製品が提供されていますが、どのようにIDaaSを比較・検討すればよいのでしょうか。
IDaaSを選定する際のポイントを5つ紹介します。
さまざまなシステムやクラウドサービスと連携できるか
連携の対象が社内システムやサードパーティから提供されるアプリケーションであっても、管理画面から簡単に登録できるクラウドサービスを選ぶとよいでしょう。ビジネス環境の変化や、業務で使用するクラウドサービスとの可用性を重視すると、より柔軟に対応できるようになります。
自社のID管理ツールと連携できるか
自社で利用しているActive DirectoryやMicrosoft365、Google Workspaceとの連携が可能かどうかを確認します。大半のIDaaSは連携に対応していますが、オプションで追加料金が発生するケースもあるため注意が必要です。また、ID管理にLDAPを利用している場合も、連携の可否を併せて確認しておきましょう。
自社のセキュリティポリシーに対応できるか
IDaaSは基本的にSaaSとして提供されているため、企業によってはログインのための認証サーバーを他社と共有できません。プライベートな環境でデータを保管する場合は、各IDaaSベンダーが契約しているAWSやAzure上に、自社専用のサービスとして利用できる形態を取れるサービスを選ぶとよいでしょう。
利便性に優れているか
セキュリティツールというと、セキュリティのために利便性を犠牲にするイメージがありますが、IDaaSは、多くの従業員・ビジネスパートナーが普段の業務に頻繁に使用されるので、操作性・利便性は欠かせません。また、操作画面・管理画面やサポートが日本語に対応していることもユーザー・管理者の利便性に大きく影響します。
コストの最適化につながるか
連携が必要なサービス・システムの数、対象従業員・ビジネスパートナーの数、使う機能によって、基本料金に含まれている部分と購入形態を比較する必要があります。
また、長期的観点で、ツール導入により期待できる社内ヘルプデスク・管理業務の簡素化・効率化で、どのくらい総所有コスト(TCO)が削減され、コストの最適化につながるかを確認するのも大事です。
IDaaSが備えるべき4つの特性とは?
ID・認証管理を強化する目的は、セキュリティ強化とユーザー利便性の向上そのものではありません。組織がクラウドの力を全面的に活用し、より俊敏にイノベーションとビジネス成長の新たな機会を切り開くことです。
IDaaSというと、シングルサインオンや多要素認証のような機能と同意語として認識されがちですが、ビジネスシーンにおける価値と合わせて、IDaaSが備えるべき特性をまとめます。
運用性
ID運用管理の最適化による運用性の向上は、ビジネスそのものの向上に繋がります。
安全性
攻撃パターン・技術の変化、法規制・ガイドラインの変化に対応可能である必要があります。
柔軟性
IDは人であり、ビジネスの拡張や組織の統廃合など変化、パートナーとのアライアンスなど、様々なビジネス環境をサポートできる必要があります。
拡張性
主に機能面の話で、必要とされる新しい機能や新しい外部サービスへの対応がタイムリーに行われる必要があります。
*出典:Okta社、これからのIDaaSが備えるべき4つの特性
当社でのご支援
NHNテコラスでは、IDaaS製品として、グローバルでトップシェアを誇るOkta社が提供する、従業員のID・アクセスを統合管理するクラウド型サービス「Okta Workforce Identity Cloud」を取り扱っています。ライセンス販売から、検討段階のヒアリング・検証・導入支援も行います。
また、インフラ・ネットワーク支援として、ご利用中のAWS(Amazon Web Services)・GCP(Google Cloud Platform)の現状分析・診断を始め、構築・運用・監視を「C-Chorus」というサービス名で提供しております。
ご興味がある方は、お気軽にお問合せフォームからご相談ください。
シリーズ「ゼロトラストセキュリティとIDaaSの活用」
#1 ゼロトラストセキュリティ 最新状況とメリット
#2 ゼロトラスト対策のポイントはIDと認証管理
▶ #3 クラウド利用におけるゼロトラスト対策 これからのIDaaS
#4 クラウド利用におけるゼロトラスト対策 フィッシング耐性の高い認証
クラウド利用におけるゼロトラスト対策 Oktaの主なユースケース5選