IDaaSとは、Identity as a Serviceの頭文字を取ったもので、ID管理がインターネット経由でサービスとして提供されているものを指します。
ビジネスにおけるSaaSやBYOD利用の拡大、テレワークの普及などにより、従来のセキュリティやID管理では事足りなくなってきました。そこで注目されているのがIDaaSです。
本コラムでは、IDaaSの重要性やメリット・デメリット、IDaaS製品の比較など、IDaaSに関する情報をまとめてご紹介いたします。
クラウド型ID管理・統合認証サービス「Okta(オクタ)」のサービスページはこちら
目次
IDaaSとは
IDaaSとは、Identity as a Serviceの頭文字を取ったもので、ID管理がインターネット経由でサービスとして提供されているものを指します。読み方は「アイダース」または「アイディーアース」です。
IDライフサイクル管理(登録、変更、抹消、休止・有効化など)を、ユーザーごとにアクセス権限を付与しながら行えるほか、一組のアカウント情報で複数のシステムやアプリケーションなどにログインできる「シングルサインオン」や、アカウント情報のほか生体認証など複数の認証情報を組み合わせる「多要素認証」など、ID管理に関する総合的なソリューションを実現してくれます。
社内システムはもちろん、クラウドサービスも対象となり、ID管理の簡素化やセキュリティの向上など、さまざまなメリットがあります。
IDaaSの重要性
IDaaSが、その存在感を増している背景には、従業員が業務に利用するシステムやアプリケーション、SaaSなどの増加に伴うアカウント数の増加と、働き方や情報セキュリティリスクなどのビジネスを取り巻く環境の変化があります。
従業員一人当たりが持つアカウント数の増加
IDaaSが注目を集めるようになったのは、まず、管理しなければならないアカウント情報が増加したためです。ビジネスに利用されるアプリケーション数が増え、従業員一人当たりが日々、業務のためにログインしなければならない回数は片手では足りないでしょう。その対象には、オンプレミスのシステムだけでなくSaaSも含まれます。こうした数多くのシステムを利用するためのアカウント情報を、個々の従業員だけでなくシステム管理者も管理しなければならず、その手間が煩雑になっています。
セキュリティ対策とIDaaS
さらに、セキュリティの面でもIDaaSの意義は大きなものがあります。
従来のネットワークやセキュリティは現在「境界型」とよばれています。これは、在宅勤務やリモートワークの普及に代表されるように働き方が変化してきたことや、ビジネスに利用されるSaaSが増加したことなどによって、従来のように社内ネットワークとその境界のみの保護を重視していれば良かった時代が終わり、すべてのユーザーやアクセスのリクエスト、サーバーを信用できないものと考える「ゼロトラスト(zero trust)」の概念が登場したことによって、後から名付けられたものです。
従来の境界型境界防御モデルは、社内のネットワークやそこへアクセスできるユーザーは安全なものであり、脅威は社外のネットワークから入り込んでくるという前提に立ったものでした。しかし、上記のようにパブリッククラウドやSaaSなどインターネット経由で社外のさまざまなサービスの利用が普及したり、テレワークで社外のネットワークを活用したりするようになると、実情に合わなくなりました。
また、セキュリティインシデントの犯人は必ずしも外部のサイバー攻撃者ばかりでなく、内部犯行による被害も深刻なものです。
一方、ゼロトラストモデルによるセキュリティ対策では、アクセスのリクエストがあった時に、
・そのIDとパスワードは従業員本人が利用しているか
・その端末は会社の台帳に登録されたものであるか
・その端末はマルウェア感染していないか
・その端末に不要なアプリケーションがインストールされていないか
・アクセスを求めてきた場所に不審なところはないか
などを確認し、問題ないと判断した場合のみ認可します。
このようなモデルは、グローバル化やM&Aに伴う拠点の広がりにも対応可能です。
IDaaSは、各製品で規定している複数の認証方法で、そのIDの使用者が正規のユーザーであることを認証します。このため、上記ゼロトラストの一部を実現できるのです。
IDaaSの主な機能
現在、日本で利用できるIDaaS製品にはさまざまなものがありますが、共通する主な機能について、以下でご紹介いたします。
ID・ユーザー管理
数が増えるアカウント情報を管理する「ID管理」と、さまざまなシステムやアプリケーションへのアクセスに権限を付与する「ユーザー管理」の機能です。
この機能により、システム管理者は、社内で利用されているID情報と、これに紐づく従業員情報(指名・所属など)を一元管理できるようになります。
従業員が使用するアプリケーションが増えると煩雑化するID管理を効率化でき、退職や入社、移動などに伴うIDのライフサイクル管理を簡素化できます。
プロビジョニング機能(ID連携)
IDaaSのID管理機能と、従業員が利用しているSaaSなどとでデータを連携し、IDの追加や削除といった変更が、連携先のサービスとIDaaSで同期される機能です。
IDの変更に伴うシステム管理者の作業の手間を削減できます。
シングルサインオン
シングルサインオンとは、一度のログインで複数のシステムやサービスに自動でログインできる仕組みのことです。
従業員にとっては、PC起動後の複数のログイン作業から解放されるメリットが、システム管理者にとっては、従業員が利用するシステムにおけるID・ユーザー管理の効率化・簡素化できるメリットがあります。
アクセス権限管理
従業員の所属部署や職格などによって、アクセスできるアプリケーションの種類などの権限を一元管理できる機能で、主にシステム管理者にメリットがあります。
IDだけでなく、端末やアクセス元の場所、時間帯などでもアクセス権限を設定できるものもあります。
多要素認証
IDとパスワードによる認証だけでなく、指紋や虹彩による生体認証、ワンタイムパスワードなど、複数の認証方法を組み合わせてアクセスを許可する機能です。
認証におけるセキュリティをより厳格化することができます。
ログレポート機能
IDaaSの利用状況のレポーティング機能です。
従業員の各システムやアプリケーション、サービスへのアクセス状況や、パスワード変更の履歴といったログ情報を参照できます。
IDaaSのメリット
ここまでに、IDaaSの有用性について何度か触れてきましたが、ここで改めてIDaaSのメリットをまとめてご紹介いたします。
シングルサインオンができる
シングルサインオンについては「IDaaSの主な機能」でもご紹介しましたが、ビジネスに利用されるシステムやアプリケーション、SaaSなどの種類が増えるほど、ユーザーである従業員は、各サービスなどへのログイン作業が手間になり、システム管理者側も管理が煩雑になります。
シングルサインオンは、これらの課題を解消してくれます。
ID管理を簡素化できる
これは主にシステム管理者にとってのメリットですが、従業員が利用するシステムやアプリケーションが増えるほど、そして従業員数が増えるほど、煩雑になりがちなID管理を、IDaaSの活用で簡素化することができます。
特に、IDの「登録・変更・抹消・休止/有効化」といったライフサイクル管理が楽に行えるようになります。
セキュリティ強化が可能
「IDaaSの重要性」でお伝えした内容とも重複しますが、以前はオフィスへ出勤してオンプレミスのシステムを中心とし、社内ネットワークのみにアクセスして業務を行っていたところから、現在では、これに加え、SaaSを活用したり、モバイル端末を活用して社外で業務を行ったり、自宅などからテレワークで業務を行ったりと、利用端末もネットワークも拡大しました。
こうした変化に対し、従来の境界型モデルではカバーし切れません。
一方、IDaaSは、社内ネットワークの外からのアクセスを前提として設計されているため、このような業務スタイルの変化にマッチします。
また、IDaaSには、アクセスコントロール機能や多要素認証、コンテキストベース認証といった高度な認証機能が搭載されており、機能をオンにするだけで手軽に実現できます。
IDaaSのデメリット
メリットの多いIDaaSですが、万能ではありません。
以下で、IDaaSのデメリットについて、ご紹介いたします。
利用サービスのすべてと連携できるとは限らない
シングルサインオンやプロビジョニングなどは利便性の高いものですが、IDaaS側に機能を有していても、連携できるサービスでないと有効ではありません。たとえば、オンプレミスの自社システムが古いものだったりすると、連携できない可能性が高いです。随時アップデートされているSaaSであっても、仕様によっては連携できないケースもあります。
このように連携できないシステムやサービスを利用している場合、享受できるIDaaSのメリットも限定的になってしまいます。
不具合が起きると、連携サービスがすべて利用できなくなる
もしIDaaSにシステム障害が起きた場合、利用しているサービスへのシングルサインオンができなくなってしまいます。
たとえば、基幹システムなど重要なシステムへのアクセスは、IDaaS を経由しなくても可能にしておくなど、IDaaSにシステム障害が起きた際の対処をあらかじめ講じておく必要があります。
IDaaSで解決できること
「IDaaSの主な機能」「IDaaSのメリット」でもIDaaSで実現可能なことをご紹介してきましたが、ここでは、課題解決に焦点を当てて捉え直してみましょう。IDaaSを導入・活用することで、以下のような課題を解決できます。
ID/パスワードの管理の煩雑化
システム管理者が抱える悩みの一つとして、増え続けるシステムやサービスへの対応が挙げられるでしょう。特にID/パスワードの管理は、利用システムやサービスの数、従業員数が増えるほど、管理が煩雑化し、漏えいリスクも高まります。
IDaaSを活用することで、従業員が利用するID/パスワードを権限とともに一元管理でき、また、各システムやSaaSなどでのパスワード変更などの情報も自動で同期され、管理作業の手間を削減できます。手作業によるミスの低減にもつながります。
また、IDaaSのベンダー側でサーバーを管理してくれるため、データのバックアップ作業なども不要になります。
認証ポリシーが不揃い
もともと別の企業だったものがM&Aなどにより統合されたり、海外に子会社を作ったりした場合、それぞれ異なるセキュリティポリシーを持つケースが出てきます。経緯を考えると仕方のないことですが、グループ内でセキュリティポリシーが統一されていないのは、情報ガバナンスやコンプライアンス対応を考えると好ましくありません。
そのような時、IDaaSを導入・活用すれば、IDaaS製品のセキュリティポリシーに統一できるため、解決できます。
また、IDaaSはもともと、社内ネットワークの外からのアクセスを前提としているため、海外からのアクセスでも問題なく利用できます。
IDaaSの導入に適した企業の特徴
以上を踏まえて、IDaaSを導入に適した企業の特徴をご紹介します。
テレワークの導入を進めている企業
一つ目は、テレワークの導入を進めている企業です。新型コロナウイルスの感染拡大もあり、一時的にでもテレワークを導入した企業は少なくありません。パンデミックや大規模災害時の事業継続など、メリットの多いテレワークですが、コミュニケーションやサイバーセキュリティ上の問題などがネックになって本格導入に踏み切れていない企業もあるでしょう。
そうした企業を含め、現在、テレワークを進めている企業にIDaaSの導入はおすすめです。
理由は、IDaaSの活用で社内からでも社外からでも同一の認証ポリシーで連携システムやアプリケーションなどにアクセスできるためです。
多要素認証やコンテキストベース認証、リスクベース認証などの高度な認証の活用でセキュリティを強化することができます。
拡大成長している企業
成長・拡大している企業では、従業員の人数も増え、国内外に新たな拠点を構えることもあるでしょう。
IDaaSには、ID・ユーザー管理機能があるため、従業員数や利用するシステム、アプリケーション、SaaSの数が増えると煩雑化しがちなID・ユーザー管理を効率化・簡素化できます。
また、従業員は、国内外の複数拠点、さらにはテレワーク時に自宅などからもIDaaSにアクセスでき、シングルサインオンなどの便利なサービスを利用できます。
システム管理者にも、本社以外からのさまざまな場所・デバイスからのセキュアなアクセスを担保できるというメリットがあるため、拡大成長している企業にもIDaaSはおすすめです。
IDaaSの製品比較
数あるIDaaS製品の中から代表的なものをピックアップしてご紹介いたします。
Okta | Microsoft Azure Active Directory (Azure AD) | AWS Single Sign-On | Google Cloud Identity | Oracle Identity Cloud Service | |
---|---|---|---|---|---|
月額料金 | 2~3ドル | 無料~1,008円 | 無料 ※AWSの契約が必要 |
645円 | 要見積 |
管理画面の言語 | 英語 | 日本語 | 日本語 | 日本語 | 日本語 |
日本法人の有無 | 無 | 有 | 有 | 有 | 有 |
特徴 | IDaaS分野で世界最大手。 導入数は世界で1万3,000社以上。 連携できるクラウドサービスは7,000以上。 |
低価格で利用可能。 対応アプリケーション数は2,800以上。 |
AWSユーザーは無料で利用可能。AWSをマルチアカウントで使っている企業に最適。 | ID管理だけでなく、モバイル端末の管理も可能。 Free EditionとPremium Editionがある。 |
OracleCloudをマルチアカウントマルチアカウントで使っている企業に最適。 |
※2021年12月時点
Okta
Oktaは、米国で2009年に設立されたOkta,Inc.が提供するIDaaSです。同社は、IDaaS分野では世界最大手。導入数も世界で1万3,000社以上(2021年12月時点)の実績を誇っています。
次項以降でご紹介するような、ほかに母体となるようなサービスを持つ企業とは異なり、ID管理サービス会社として独立している、中立的な立場の企業です。
シングルサインオンと多要素認証が強みで、シングルサインオンで連携できるクラウドサービスは7,000以上(2021年12月時点)もあり、ワンタイムパスワードや生体認証など複数の認証の組み合わせで認証のセキュリティを強化できます。また、ログインパターンから「リスクが高い」と判断されたケースのみ認証を要求する「アダプティブ多要素認証」といった機能なども搭載されています。
日本語のWebサイトはありますが、日本法人がなく、管理画面なども英語表記となっています。導入は、日本の代理店を経由することで、代理店のサポートサービスを受けることもができ、おすすめです。
Microsoft Azure Active Directory (Azure AD)
Microsoft Azure Active Directory (Azure AD)は、Microsoftが提供するIDaaSです。
公式サイトによれば、シングル サインオンと多要素認証を提供することにより、99.9 パーセントのサイバーセキュリティ攻撃から保護できるとしています。
低価格である点が大きな強みで、Office 365などのサブスクリプションサービスを利用しているユーザーには基本機能が無料で提供されており、有料でも数百円の月額料金から利用可能です。
対応アプリケーション数は、2,800以上(2021年12月時点)。シングルサインオンと多要素認証のほか、条件付きアクセスポリシーの適用などが可能です。
AWS Single Sign-On
AWS Single Sign-Onは、Amazonが提供するIDaaSです。
特に、複数のAWSアカウントとビジネスアプリケーションへのアクセスを一元管理できるようになるため、AWSをマルチアカウントで使っている企業で利便性の向上が期待できます。
Salesforce、Box、Microsoft365などとの連携も可能で、AWSユーザーなら無料で利用できます。
公開されているAPIが少ない点がデメリットです。
Google Cloud Identity
Google Cloud Identityは、Googleが提供するIDaaSです。
シングルサインオンに加え、自動プロビジョニング機能が搭載されており、提携のシステムやアプリケーションでID情報を同期できます。
特徴は、ID管理だけでなく、企業がビジネスに利用するモバイル端末の管理も行える点。ユーザー情報とID情報に加え、デバイス情報も含めて一元管理できます。
Free EditionとPremium Editionが用意されており、Free Editionは中核となる ID サービスとエンドポイント管理サービスが、Premium EditionはFree Editionの全機能に加えて企業向けセキュリティ、アプリケーション管理、デバイス管理サービスが利用できます。
Oracle Identity Cloud Service
Oracle Identity Cloud Serviceは、Oracleが提供するIDaaSです。OracleCloudのアカウント全般について、ユーザーグループやユーザー、利用アプリケーション、セキュリティなどを管理できます(OracleCloudで利用している複数のアカウント(マルチアカウント)を管理できます)。
似た物に「OCI-IAM」がありますが、こちらではOCI内のユーザーとグループについての設定しかできません。
Oracleのシステムを中心に利用している企業におすすめです。
IDaaS製品を選ぶ際の3つのポイント
最後に、IDaaS製品を選ぶ際に、導入を失敗させないための3つのポイントをご紹介いたします。
安全性・安定性
導入後は、自社のセキュリティの一部を担うことになるIDaaSですから、IDaaS製品そのものの安全性は重要です。IDaaS製品のセキュリティの仕組みやメーカー企業のセキュリティ体制などを確認し、安全性が高いものを選びましょう。たとえば、第三者機関による監査やセキュリティ認証のあることは一つの目安になります。
また、「IDaaSのデメリット」でもお伝えしたように、IDaaSに障害が起きてしまうと、連携しているアプリケーションやSaaSなどへのシングルサインオンが使えなくなり、最悪の場合、それらのシステムへアクセスできなくなってしまいます。そうなれば業務に大きな悪影響が出かねませんので、安定性も重要です。稼働の安定性を担保するような機能が付いているなど、安定性を示す要素を確認しておきましょう。
拡張性
IDaaS製品の導入後も、業務のために新たにシステムやアプリケーション、SaaSが導入される機会がくるでしょう。将来にわたって中長期的にIDaaSを活用していけるよう、さまざまなアプリケーションなどを対象に幅広い接続方法があることや、開発体制など、拡張性があることを確かめておきましょう。
モダンな接続方法・認証方法だけでなく、従来の方式にも対応していることも一つのポイントです。
サポート体制
IDaaSを導入・運用する際に出てくる不明点を解消するため、また、トラブルや不具合を解消するためにも、サポート窓口は大切です。
サポート対応の方法(対面・電話・メール・チャットなど)、対応言語(英語のみ・日本語)など、自社が求めるサポート体制があるところを選びましょう。
また、利用したいサポート内容が無償で提供されるものなのか、それとも別途、有償で契約する必要があるでしょう。
まとめ
IDaaSは、ビジネス利用されるシステムやアプリケーション、SaaSなどの数が増加しており、また、テレワークやモバイル端末の導入が進む現代において、ID・ユーザー管理の効率化、情報セキュリティ強化の両面で、重要な役割を果たします。
増え続ける社内のID管理に課題をお感じの企業様は、この機会にぜひ、導入を検討されてみてはいかがでしょうか?
伊藤忠テクノソリューションズでは、IDaaS製品の代表格ともいえる「Okta IDaaS」を提供しております。ご興味をお持ちの企業様は、お気軽にお問い合わせください。