クラウドサービスの活用が一般化している背景で、企業におけるID管理はより複雑なものとなっています。実際に、SaaSごとのログイン情報の管理、退職者アカウントの放置、権限の過不足など、運用上のリスクが顕在化しつつあります。

こうした課題に対応する手段として注目されているのが、IDaaS（Identity as a Service）です。ID・パスワード管理、SSO、多要素認証に加え、IDライフサイクルの管理やガバナンス強化を支援する製品も登場しています。中でも、OpenStandia KAIDは、IGA（Identity Governance & Administration）の考え方を取り入れ、IDの統制や棚卸し、監査機能まで網羅した国産IDaaSとして高い評価を得ています。

本記事では、IDaaSの基礎から、導入メリット、製品選定の観点までを解説します。

企業が業務で利用する社内システムやクラウドサービスでは、それぞれ利用するためのIDとパスワードが必要ですが、利用するシステムが増えるにつれて、さまざまな課題が生じます。例えば、IDの作成や削除といった運用負荷や、各システムに個別にログインしなければならないことによる利便性とセキュリティの低下、さらには権限設定やID管理の不透明さなどが挙げられます。
ここではまずIDaaSの基本について解説します。

IDaaSとは？

IDaaS（Identity as a Service）は、クラウドサービスやシステムにおけるID・パスワード管理や、認証、アクセス制御を行うクラウドサービスのことで、「アイダース」と呼ばれます。名称にあるID（Identity）とは、人や物などの身分、固有性を表す言葉で、サービスへのログインに利用するIDを示しています。

さまざまな機能を備えていることが特徴で、サービスによって異なるものの、SSOやID管理、アクセス制御やIDガバナンス機能などがそろっています。これらを利用することで、企業が抱えるIDに関する多くの課題を解決できるようになっています。

IDaaSが注目されている背景

これまで企業のID管理は、オンプレミス環境で行うことが一般的であり、Active Directoryなどが利用されていました。しかし、こうした環境でのID管理には、いくつかの課題があります。

まず、初期投資が大きいという点です。ID管理システムを構築するには、人事や組織、利用しているサービスやシステム、ネットワーク構成といった社内の状況を確認し、それらに合わせたシステム開発と社内への展開を行うため、多くのコストが発生します。さらに、システムそのものの運用・保守などにかかるコストも必要です。

こうした背景に加え、多くの企業がSaaSを業務に取り入れることも、より注目されるようになった理由の一つといえます。特に、インターネット経由で利用するSaaSにも社内システムと同様にID管理をしたいという声にもIDaaSで対応することが可能です。

さらに、複数のSaaSを利用することで、従業員が持つIDが増え、ID管理がより難しくなっていることも、注目されている理由の一つといえます。

IDaaSの大きな特徴のひとつが、SSO（シングルサインオン）機能を実現できる点です。そのため、IDaaSとともにSSOがよく取り上げられています。この２つの用語は混同されがちですが、どのような関係なのでしょうか。ここではSSOの概要と役割、そして関係性について解説します。

SSO（シングルサインオン）の概要と役割

SSOとは、複数のクラウドサービスやオンプレミスを含むシステムなどに対し、一度のログイン（サインオン）で利用できる仕組みです。

例えば、企業内で利用しているクラウドサービスや社内システムを従業員が使用する場合、サービスごとに異なるIDとパスワードでログインしなければなりません。一方、SSOを導入すると、一度のログインのみで、対応する全てのサービスやシステムを利用することができます。

また、セキュリティ向上にも役立ちます。パスワードを使い回しによる情報漏洩を防止できるだけでなく、パスワード設定を一元管理でき、ポリシーに合わせたパスワード作成も容易になります。

そのため、SSOを利用することで、業務効率の向上など、さまざまなメリットが期待できます。

SSOとIDaaSの関係性

次にSSOとIDaaSの関係性について見てみましょう。まず、IDaaSと混同されることの多いSSOは、実はIDaaSの一つの機能であると言えます。IDaaSでは、SSO以外にもID管理やガバナンス向上のための機能など、企業におけるIDに関係するさまざまな役割を担っています。

• SSO（シングルサインオン）の導入メリットとデメリット｜企業のセキュリティ強化と業務効率化を実現する方法

ここでは、企業がIDaaSを導入するメリットを3つ紹介します。

セキュリティの向上

IDaaSを導入することで、セキュリティ向上が実現できます。前にも触れましたが、SSOによりパスワードの設定を一元管理できるため、パスワードポリシーに合わせたパスワード設定や、パスワードの使い回しに起因する情報漏洩を防止できます。

また、不要なIDの棚卸しや権限管理や、IDや権限管理の監査といったガバナンスを強化する機能も備えているため、ID管理全体のセキュリティを向上が期待できます。

業務効率の向上

前述のとおり、SSOを導入することで、従業員は個別に各サービスやシステムにログインする必要がなくなります。これにより、従業員のログイン回数が減り、煩雑なパスワードの管理の手間から解放されるとともに、パスワード忘れといった対応などの管理者の負担も軽減されます。

また、入社から退職といったIDのライフサイクルに沿って、各システム複数のサービスのIDを適切に反映できるIDaaSも存在します。多数のシステムのIDを管理することは煩雑になりがちですが、退職者の棚卸しなどをIDaaSで自動化し、効率的に対応できる点は大きなメリットです。

さらに、 IDaaSを利用すると、自社でサーバー機器の更新やソフトウェアのアップデートを行う必要がなくなります。このため、IT資産管理が簡単になり、常にプロバイダーが提供する最新の技術を安心して利用できる環境が整います。

法令遵守の対応のしやすさ

また、IDaaSは法令遵守の側面でも非常に有用です。アクセスログやユーザーアクティビティの追跡機能を活用することで、データ保護に関する規制（例：GDPR、HIPAAなど）に対応するための詳細な監査機能を備えたIDaaSもあります。

• 導入目的に合っているか
  IDaaSが導入目的に合っているかを確認します。SSOだけ実現できれば良いのか、ID管理までしっかり行いたいのかなど、導入後に「機能が足りない」とならないよう注意が必要です。
• ユーザIDの管理手段
  ID管理をどのように行うか確認します。例えば、すでにActive DirectoryやLDAPでID管理を行っている場合、連携可能なIDaaSを選ぶ、またはIDaaSに全て移行するといった判断をします。
• 既存システムとの連携可否
  IDaaSが既存システムや利用中のクラウドサービスに対応しているか調査します。場合によっては、クラウドサービスの変更といった判断も行います。
• セキュリティ機能
  セキュリティ対策で必要な機能を明確にします。例えば、多要素認証（MFA）の対応可否や、ログ監視などが検討する項目として含まれます。
• 管理画面の使いやすさ
  管理画面の使いやすさも、IDaaSを選ぶうえで重要な要素です。正式に導入する前に一定期間のトライアルが可能なIDaaSであれば、実際の管理・運用をシミュレーションすることができます。
• コスト構造
  初期費用や月額費用が、予算内に収まっているかを確認します。特に注意したいのが、管理可能なID数に応じたコストを確認することが重要です。また、連携可能なサービス件数とそれに伴うコストを確認することも重要です。
• サポート体制
  実際に導入・運用する際には、サポート体制の充実も重要なポイントです。例えば、電話などでの問い合わせが可能か、チャットだけなのか、またマニュアルは充実しているかといったポイントを事前に確認しましょう。

現在、数多くのIDaaSが提供されており、導入を検討している企業の中には、どれを選んだら良いか迷われることもあるでしょう。ここでは、５つのIDaaSの特徴と、そのサービスについて紹介します。

OpenStandia KAID

OpenStandia KAID は、IDの管理や統制、SSOを実現するIDaaSです。最も大きな特徴は、IDの管理だけでなく、統制：ガバナンスまでを適切に行うという考え方IGA（ Identity Governance & Administration ）に基づいて設計されたサービスであることです。
単にID管理を行うだけでなく、セキュリティ・ガバナンスを強化することを主軸にしたサービスとなっています。すでに利用しているSaaSや、オンプレミスのIDなどを連携することで、強力なIDの管理と統制を実現できます。

• OpenStandia KAID

Okta Platform

Okta Platform は、ID管理とSSOを含むアクセス管理を実現する統合プラットフォームです。ID管理において、ユーザ登録や削除などに関してワークフローが設定できるため、誤ったIDに権限の付与してしまう、または必要なIDを削除するといったいったミスを防げます。また、多要素認証の選択肢が豊富であり、ICカードや指紋、声紋などにも対応しているのが特徴です。

出典： Okta, Inc.

Microsoft Entra ID (旧Azure Active Directory)

Microsoft Entra ID はID管理とSSOが実現できる、Azure Active Directory（Azure AD）の後継サービスであるIDaaSです。オンプレミスのActive Directoryと統合できることや、多要素認証の実現、セキュリティレポートの提供といった、機能が豊富です。WindowsやOfficeを提供している、Microsoftのサービスであるというのも特徴の一つです。

出典： Microsoft Corporation

HENNGE One

HENNGE One はアクセス管理やID管理を行えるIDaaSであり、セキュリティ対策サービスを統合しているのが特徴です。例えば、標的型攻撃への対策として、不審なメールを発見、隔離するといったメールセキュリティ機能や、データの紛失・漏洩を防ぐ情報漏洩防止機能などが網羅されています。さらに、標的型攻撃を想定した訓練用のメールとして自動送信し、実際の報告フローを従業員に体験させるといった機能も備えています。

出典： HENNGE株式会社

OneLogin

OneLogin はID管理や豊富な多要素認証を実現できるSSOを提供している点が特徴です。あらかじめデバイスに対して証明書を発行することで、一度のログインで、連携済みの全てのSaaSやアプリケーションにアクセスできます。万が一、デバイスを紛失した場合でも、リモートで権限を無効化できる安全な機能も備えています。

出典： OneLogin, Inc.

IDaaSをしっかりと調査せずに導入してしまうと、思いがけない問題に陥るおそれがあります。前述のIDaaSの選び方でも触れましたが、ここでは知っておくべき落とし穴について改めてご紹介します。

• 接続トラブル
  既存システムとの接続トラブルは、注意すべき点の一つです。利用中のクラウドサービスや、社内システムがIDaaSと接続できない場合、該当のID管理やSSOだけが個別対応となってしまいます。こうした事態を避けるためにも、導入前の入念な事前調査が不可欠です。
• 社内浸透と教育
  導入後、IDaaSを従業員に正しく利用してもらうためには、社内への周知や導入時の教育が必要です。IDaaSの導入前から準備を行い、社内で情報共有を行っておきましょう。
• 運用体制の確保
  導入や運用に対して、運用体制を確保することも大切です。特に、IDaaSへのID移行や、運用後の社内問い合わせへの対応、実際のID管理に対する運用負荷などを、導入前に考える必要があります。
• 障害時の影響範囲
  IDaaSに障害が発生すると、IDaaS経由で利用しているサービス・システム全てに影響があるとともに、業務が停止してしまう恐れがあることを念頭に置きましょう。障害発生時に備え、DR手段や代替手段を整備しておくことも重要です。

業種：金融、保険業界など 　ユーザー数：数百～数千人

• SaaS利用が増えていたがセキュリティリスクの懸念あり。SaaSの認証機能が不足していたため、IP制限機能を提供し、顧客拠点からのみのログインを実現。
• ID管理業務の複雑さに課題があった。グループ会社をまたいだ兼務といった、複雑な組織構造の会社様向けのID管理業務の効率化を実施。

IDaaSは、ID管理の複雑化やセキュリティリスクへの対応に有効な手段の一つです。中でもOpenStandia KAIDは、IGAの考え方を取り入れた国産IDaaSとして、IDの統制・棚卸し・監査といったガバナンス機能を強化できる点が特徴といえるでしょう。

また、多様なSaaSや既存システムとの柔軟な連携も可能です。属人化しやすいIDの管理業務を標準化しつつ、運用負荷を軽減しながらセキュリティレベルを高めることができます。導入目的や体制に応じた適切なサービスを選ぶことが、長期的な運用の安定と成果につながります。

NRI OpenStandiaが提供する「OpenStandia KAID」（オープンスタンディア カイド）は、これまでのIDaaSに不足していたIDガバナンス機能を提供する次世代型IDaaSです。
認証認可の機能はもちろん、プロビジョニングやワークフローなどID管理の機能に加えて、IDライフサイクル管理、IDや権限の棚卸、監査、レポーティング機能など、IDガバナンスの機能を有した、エンタープライズ向けIDaaSです。OpenStandia KAIDをIDリポジトリとして、Azure ADやOktaなど他のIDaaSを連携先とすることも可能です。