NRI OpenStandiaは、企業等の情報システムにおいて、利用者のIDを適切に管理・統制し、認証・認可を正しく行うためのIDガバナンスサービス「OpenStandia KAID」(オープンスタンディア カイド)の提供を開始しました。
OpenStandia KAIDは、これまで培ってきたNRIのノウハウとオープンソースを活用した「開」かれた技術を駆使してお客様の課題を「解」決し、新しい時代の「快」適なオフィス環境の実現を支援する、3つのKAIを提供する次世代のIDaaSです。
テレワーク推進で加速する脱VPN・脱ファイアウォールと新たなセキュリティモデル
新型コロナウイルスの感染拡大防止のため、企業はテレワークの導入を強く推し進めることになりました。
アフターコロナ、ウィズコロナという言葉も登場し、今後、コロナ以前の働き方に戻ることなく、企業は新しい働き方を提供していく必要があると言われています。
テレワーク、リモートワークを実現するにあたり、従来よりVPNやファイアウォールといった技術が利用されていますが、
今回のテレワーク一斉導入による利用者の急増の結果、回線が混雑し利用できないといった問題が発生しました。
数年前よりVPNやファイアウォールといった境界ベースのセキュリティモデルに頼らない新しい仕組みである「ゼロトラストネットワーク」という考え方がGoogle、Microsoftなどより提供されていますが、
今後、このゼロトラストネットワークの企業導入が加速することは間違いないでしょう。
また、Gartnerは2019年にデジタルトランスフォーメーション(DX)を推進する企業にとって必須となる技術として「Secure Access Service Edge(SASE:サシー)」を提唱しました。
これはネットワークとセキュリティの機能を包括的にクラウドから提供する新しいセキュリティモデルで、今後SASEの需要が急増すると予想されています。
重要性を増すID管理と効率的な運用
ゼロトラストネットワークやSASEを実現するにあたり、必須となるのがID管理です。これまで境界ベースのセキュリティモデルに頼りID管理を中途半端に行ってきた企業は、IDベースのセキュリティモデルであるゼロトラストネットワークやSASEに移行するにあたり、自社のID管理を見直す必要があります。
入社時のID発行、昇進などによる役職変更に伴う権限変更、さらに退社時のID削除、定期的な棚卸など、すべてのIDとそのIDに紐づく権限を統制が取れた状態で管理できなければ、
企業は自社の資産をインターネットからの脅威にさらすことになります。また、組織改編や人事異動などに追従することも必要で、企業の情報システム担当者は頭を悩ますことが多いでしょう。
これまで日本では終身雇用を前提とした雇用形態であるメンバーシップ型雇用が主流でした。
しかし、欧米の雇用形態として主流である、専門性を重視し職務に対して人を雇用するジョブ型雇用のほうがメリットが大きいと考える企業が増えています。
今後、雇用形態の側面からもID管理の側面からもジョブ型雇用を選択する企業が増えてくる可能性は大いにあるでしょう。
IDaaSの分野においては認証・認可機能に重点を置いたサービスが多数を占めますが、「OpenStandia KAID」は従来のIDaaSに不足するIDガバナンス機能を提供する次世代型IDaaSです。
「OpenStandia KAID」はゼロトラストネットワークやSASEに必要とされる機能を提供し、メンバーシップ型雇用を継続する企業・ジョブ型雇用に転換する企業の双方に対応します。
「OpenStandia KAID」の全体イメージ
ビジネス環境の変化に伴い、企業におけるID管理の重要性は増しています。多種多様な人材・ITリソースを活用し生産性を高めていく必要がある一方、セキュリティを確保した上で適切な人に適切な権限を与え、サービス・アプリケーションの利用を許可する必要があります。ただし、その実現は簡単ではありません。例えば、以下のようなことに頭を悩ませたことはないでしょうか?
このような課題を自社のリソースのみで対応するには限界があるでしょう。「OpenStandia KAID」はこれらの課題を解決します。
「OpenStandia KAID」の提供するIGA関連機能
機能 | 説明 |
IDライフサイクル管理 | ユーザーの登録(入社)、変更(異動、昇進)、削除(退職)など、一連のID のライフサイクルを管理できます。標準モデルも提供します。 |
権限管理 | 組織やロールをユーザーにアサインすることで、連携先システムのアクセス権や利用権限を管理できます。 |
アクセス要求 | ユーザー自身が連携先システムへのアクセス権を要求できます。 |
ワークフロー | アクセス権やユーザー情報変更の申請・承認が可能です。承認結果は自動でシステムへ反映できます。承認権限の委任やエスカレーション機能も提供します。 |
ポリシー・ロール管理 | ポリシー定義に基づき、自動でユーザーにロールをアサインすることができます。一般的にメンバーシップ型雇用においては 人事異動などの影響を受けやすくロールアサイン条件が複雑になりがちですが、ジョブ型雇用においては比較的シンプルにロールアサイン条件を設定することが可能です。 |
アクセス認定 | アクセス権の見直しや不要なID の削除ができる棚卸機能で、システム管理者の負担を軽減します。 |
フルフィルメント | 標準搭載の多彩なコネクタにより、オンプレミス、サービス問わず様々なシステムとID 情報を連携できます。 |
パスワード管理 | システム管理者が設定したパスワードポリシーに基づき、ユーザー自身でパスワードリセットやパスワード変更が可能です。 |
監査 | ID に関する証跡(いつ、誰が、どこから、何を、どうしたか等)を記録します。 |
レポーティング・分析 | ユーザー情報や監査ログをCSV 形式などで出力できます。ダッシュボード機能も提供します。 |
利用者ポータル | ロール申請やアプリケーション利用などをするための利用者ポータルを利用することができます。 |
「OpenStandia KAID」は日本の企業が企業活動において通常意識するユーザー種別をデフォルトで備えており、簡単に企業内のIDを管理することが可能です。デフォルトで下記のユーザー種別にて設計・設定されています。
「OpenStandia KAID」利用ガイドより抜粋
ユーザー種別 | 説明 |
正社員 | 正社員のアカウントを判別する。 基本的に源泉システムからアカウント情報が連携される。 |
嘱託社員 | 嘱託社員のアカウントを判別する。 基本的に源泉システムからアカウント情報が連携される。 |
派遣社員 | 派遣社員のアカウントを判別する。 ワークフローによる申請・承認のプロセスでアカウントを登録する。 |
パートナー | パートナー(常駐)のアカウントを判別する。 ワークフローによる申請・承認のプロセスでアカウントを登録する。 |
社外パートナー | 社外パートナーのアカウントを判別する。 ワークフローによる申請・承認のプロセスでアカウントを登録する。 |
顧客 | 顧客のアカウントを判別する。 ワークフローによる申請・承認のプロセスでアカウントを登録する。 |
各ユーザー種別、もしくは、申請ベースでユーザーに対して適切なロールが設定されます。上記提供機能を利用するための画面が提供されます。下記に利用画面の例をご紹介します。
「OpenStandia KAID」の提供する認証関連機能
機能 | 説明 |
認証 | ID / パスワード認証(FORM)、Windows 統合認証(Kerberos)、ワンタイムパスワード認証(OTP) 、多要素認証、パスワードレス認証(FIDO)による認証方式を提供します。 |
認可 | 連携先システムへアクセスする際に、条件に一致したユーザーのみアクセスを許可します。多様な認可ポリシーをサポートしています。 |
シングルサインオン | 一度の認証処理で、複数の連携先システムへアクセスできます。OpenID Connect、SAML 2.0 に対応しています。 |
ソーシャル・ログイン | Facebook、Google、Twitter などのソーシャルサイトやOpenID Connect、SAML 2.0 に対応したサイトのID を使用してログインできます。 |
イベントロギング | ログインイベント、アカウントイベント、管理イベントを記録、閲覧します。 |
「OpenStandia KAID」は利用機能の選択が可能なためコストを最適化できます。また、他社が提供するサービスと柔軟に連携することも可能です。例えば、以下、1と2の組み合わせでご導入いただけます。
「OpenStandia KAID」の導入ステップと各ステップで提供されるサービスを示します。サービス導入の段階からお客様の要件をお聞きし、Fit&Gap・コンサルテーションを行った上で、サービス導入をいたします。
コンサルティング~移行フェーズまではお客様の要件に応じて個別見積もりをいたします。
運用フェーズでは「IDの管理と統制」「認証と認可」の分類で利用ID数に応じて契約・利用頂けます。
詳細はOpenStandiaまでお問い合わせ下さい。
※定期的にメンテナンスを実施しておりますが、一部情報が古い場合がございます。ご了承ください。