ID管理・IDガバナンスソリューション「OpenStandia KAID」

「OpenStandia KAID」とは

NRI OpenStandiaは、企業等の情報システムにおいて、利用者のIDを適切に管理・統制し、認証・認可を正しく行うためのIDガバナンスサービス「OpenStandia KAID」（オープンスタンディアカイド）の提供を開始しました。 OpenStandia KAIDは、これまで培ってきたNRIのノウハウとオープンソースを活用した「開」かれた技術を駆使してお客様の課題を「解」決し、新しい時代の「快」適なオフィス環境の実現を支援する、3つのKAIを提供する次世代のIDaaSです。

「OpenStandia KAID」が生まれた背景

テレワーク推進で加速する脱VPN・脱ファイアウォールと新たなセキュリティモデル

新型コロナウイルスの感染拡大防止のため、企業はテレワークの導入を強く推し進めることになりました。アフターコロナ、ウィズコロナという言葉も登場し、今後、コロナ以前の働き方に戻ることなく、企業は新しい働き方を提供していく必要があると言われています。

テレワーク、リモートワークを実現するにあたり、従来よりVPNやファイアウォールといった技術が利用されていますが、今回のテレワーク一斉導入による利用者の急増の結果、回線が混雑し利用できないといった問題が発生しました。

数年前よりVPNやファイアウォールといった境界ベースのセキュリティモデルに頼らない新しい仕組みである「ゼロトラストネットワーク」という考え方がGoogle、Microsoftなどより提供されていますが、今後、このゼロトラストネットワークの企業導入が加速することは間違いないでしょう。また、Gartnerは2019年にデジタルトランスフォーメーション（DX）を推進する企業にとって必須となる技術として「Secure Access Service Edge（SASE：サシー）」を提唱しました。これはネットワークとセキュリティの機能を包括的にクラウドから提供する新しいセキュリティモデルで、今後SASEの需要が急増すると予想されています。

重要性を増すID管理と効率的な運用

ゼロトラストネットワークやSASEを実現するにあたり、必須となるのがID管理です。これまで境界ベースのセキュリティモデルに頼りID管理を中途半端に行ってきた企業は、IDベースのセキュリティモデルであるゼロトラストネットワークやSASEに移行するにあたり、自社のID管理を見直す必要があります。

入社時のID発行、昇進などによる役職変更に伴う権限変更、さらに退社時のID削除、定期的な棚卸など、すべてのIDとそのIDに紐づく権限を統制が取れた状態で管理できなければ、企業は自社の資産をインターネットからの脅威にさらすことになります。また、組織改編や人事異動などに追従することも必要で、企業の情報システム担当者は頭を悩ますことが多いでしょう。

これまで日本では終身雇用を前提とした雇用形態であるメンバーシップ型雇用が主流でした。しかし、欧米の雇用形態として主流である、専門性を重視し職務に対して人を雇用するジョブ型雇用のほうがメリットが大きいと考える企業が増えています。今後、雇用形態の側面からもID管理の側面からもジョブ型雇用を選択する企業が増えてくる可能性は大いにあるでしょう。

次世代のIDaaS、「OpenStandia KAID」

IDaaSの分野においては認証・認可機能に重点を置いたサービスが多数を占めますが、「OpenStandia KAID」は従来のIDaaSに不足するIDガバナンス機能を提供する次世代型IDaaSです。「OpenStandia KAID」はゼロトラストネットワークやSASEに必要とされる機能を提供し、メンバーシップ型雇用を継続する企業・ジョブ型雇用に転換する企業の双方に対応します。

「OpenStandia KAID」の全体イメージ

「OpenStandia KAID」の特徴

IDガバナンスの確保
NRIにおいて蓄積した10年を超える経験とノウハウをテンプレート化し、IGA（Identity Governance & Administration）のベストプラクティスをご提供します。

多様な提供形態
「OpenStandia KAID」はSaaS型で提供されるIDガバナンス機能をもつ次世代型IDaaSです。お客様は自社のリソースを準備することなく利用することが可能です。また、お客様のご要件に応じてプライベートクラウドやオンプレミス環境で動作させることもできます。

他社サービスとの連携
「OpenStandia KAID」は他社サービスとの連携も可能です。例えば、お客様が既にご利用されているIDaaSに連携する形でIDガバナンス機能を付加・強化することができます。

「OpenStandia KAID」が解決する課題

ビジネス環境の変化に伴い、企業におけるID管理の重要性は増しています。多種多様な人材・ITリソースを活用し生産性を高めていく必要がある一方、セキュリティを確保した上で適切な人に適切な権限を与え、サービス・アプリケーションの利用を許可する必要があります。ただし、その実現は簡単ではありません。例えば、以下のようなことに頭を悩ませたことはないでしょうか？

✔　どのユーザーがどのリソースにアクセスできるか ”who has access to what” をきちんと管理できているか ✔　異動したユーザーの旧部署、新部署へのアクセス権管理が適切に実施できているか ✔　退職したユーザーのアカウントが適切に無効化されているか ✔　棚卸がなされていることを第三者が確認できるか

このような課題を自社のリソースのみで対応するには限界があるでしょう。「OpenStandia KAID」はこれらの課題を解決します。

「OpenStandia KAID」の機能

IDの管理と統制（Identity Governance & Administration、IGA）

企業活動において発行されるIDは正社員、嘱託社員、派遣社員、社外パートナーなど、その雇用形態に応じて多岐に渡ります。また、企業内で利用されるIDのライフサイクルは、人事イベントに紐づくケース、契約に紐づくケースなど様々なシーンが想定され、また、管理される属性はIDの種類ごとに様々なパターンが発生します。企業にはこのように複雑化するIDの管理を適切に行うことが求められます。さらにただ単にID管理を行うだけでなく、統制・ガバナンスが適切に効いた状態でこれらを運用・維持する必要があります。昨今、この考え方はGartnerなどを中心に、IGA（Identity Governance & Administration）という言葉・概念で提唱されています。「OpenStandia KAID」はIDの管理と統制のベストプラクティスをサービスとして提供します。

「OpenStandia KAID」の提供するIGA関連機能

機能	説明
IDライフサイクル管理	ユーザーの登録（入社）、変更（異動、昇進）、削除（退職）など、一連のID のライフサイクルを管理できます。標準モデルも提供します。
権限管理	組織やロールをユーザーにアサインすることで、連携先システムのアクセス権や利用権限を管理できます。
アクセス要求	ユーザー自身が連携先システムへのアクセス権を要求できます。
ワークフロー	アクセス権やユーザー情報変更の申請・承認が可能です。承認結果は自動でシステムへ反映できます。承認権限の委任やエスカレーション機能も提供します。
ポリシー・ロール管理	ポリシー定義に基づき、自動でユーザーにロールをアサインすることができます。一般的にメンバーシップ型雇用においては人事異動などの影響を受けやすくロールアサイン条件が複雑になりがちですが、ジョブ型雇用においては比較的シンプルにロールアサイン条件を設定することが可能です。
アクセス認定	アクセス権の見直しや不要なID の削除ができる棚卸機能で、システム管理者の負担を軽減します。
フルフィルメント	標準搭載の多彩なコネクタにより、オンプレミス、サービス問わず様々なシステムとID 情報を連携できます。
パスワード管理	システム管理者が設定したパスワードポリシーに基づき、ユーザー自身でパスワードリセットやパスワード変更が可能です。
監査	ID に関する証跡（いつ、誰が、どこから、何を、どうしたか等）を記録します。
レポーティング・分析	ユーザー情報や監査ログをCSV 形式などで出力できます。ダッシュボード機能も提供します。
利用者ポータル	ロール申請やアプリケーション利用などをするための利用者ポータルを利用することができます。

「OpenStandia KAID」は日本の企業が企業活動において通常意識するユーザー種別をデフォルトで備えており、簡単に企業内のIDを管理することが可能です。デフォルトで下記のユーザー種別にて設計・設定されています。

「OpenStandia KAID」利用ガイドより抜粋

ユーザー種別	説明
正社員	正社員のアカウントを判別する。基本的に源泉システムからアカウント情報が連携される。
嘱託社員	嘱託社員のアカウントを判別する。基本的に源泉システムからアカウント情報が連携される。
派遣社員	派遣社員のアカウントを判別する。ワークフローによる申請・承認のプロセスでアカウントを登録する。
パートナー	パートナー（常駐）のアカウントを判別する。ワークフローによる申請・承認のプロセスでアカウントを登録する。
社外パートナー	社外パートナーのアカウントを判別する。ワークフローによる申請・承認のプロセスでアカウントを登録する。
顧客	顧客のアカウントを判別する。ワークフローによる申請・承認のプロセスでアカウントを登録する。

各ユーザー種別、もしくは、申請ベースでユーザーに対して適切なロールが設定されます。上記提供機能を利用するための画面が提供されます。下記に利用画面の例をご紹介します。

申請者が利用するロール要求画面

承認者が利用するロール承認画面

管理者が利用する棚卸画面

認証と認可（Authentication & Authorization）

適切な統制下で管理されたIDにて各アプリケーションを利用させるための認証機能、認可機能を提供します。また、認証連携の標準プロトコルであるOpenID ConnectやSAMLを利用したシングルサインオン機能、多要素認証やパスワードレス認証（FIDO）などの強固な認証機能にも対応しています。

「OpenStandia KAID」の提供する認証関連機能

機能	説明
認証	ID / パスワード認証(FORM)、Windows 統合認証(Kerberos)、ワンタイムパスワード認証(OTP) 、多要素認証、パスワードレス認証（FIDO）による認証方式を提供します。
認可	連携先システムへアクセスする際に、条件に一致したユーザーのみアクセスを許可します。多様な認可ポリシーをサポートしています。
シングルサインオン	一度の認証処理で、複数の連携先システムへアクセスできます。OpenID Connect、SAML 2.0 に対応しています。
ソーシャル・ログイン	Facebook、Google、Twitter などのソーシャルサイトやOpenID Connect、SAML 2.0 に対応したサイトのID を使用してログインできます。
イベントロギング	ログインイベント、アカウントイベント、管理イベントを記録、閲覧します。

「OpenStandia KAID」は利用機能の選択が可能なためコストを最適化できます。また、他社が提供するサービスと柔軟に連携することも可能です。例えば、以下、1と2の組み合わせでご導入いただけます。

1.「IDの管理と統制」機能は、人事システムとの連携が可能でIDガバナンスに強みを持つ「OpenStandia KAID」にて実現。
2.「認証と認可」機能は、多要素認証や条件付きアクセス、モバイルデバイス管理/モバイルアプリケーション管理の機能を提供するMicrosoft Azure AD、Microsoft Intuneを利用。

「OpenStandia KAID」とMicrosoft Azure AD、Microsoft Intuneとの連携イメージ