トップ ブログ ID管理のクラウドサービスIDaaS(Identity as a Service)とは

ID管理のクラウドサービスIDaaS(Identity as a Service)とは

「SaaS」などに代表される「XaaS」は、頭文字となっている「X」をクラウド化したサービスという意味です。
昨今注目されているIDaaSの「ID」部分である「Identity」とは、人やものなどの身元や固有性を示す言葉で、身近なものではサービスにログインする際に利用するIDなどがこれにあたります。
つまりIDaaSとは、ID管理やそれに紐づくアクセス管理を提供するクラウドサービスとなります。

IDaaSには、企業など組織のメンバーが使用するエンタープライズ向けIDaaSと、一般利用者が利用するコンシューマ向けIDaaSがあります。本記事では、エンタープライズ向けIDaaSの成り立ちや、利用するメリット、主な機能、代表的なサービスについて説明します。

IDaaSとは

IDaaS(Identity as a Service)とは、オンラインサービスやコンピュータシステムで利用するユーザーID認証やパスワード管理、アクセス制御などを提供するクラウドサービスです。「アイディアース」や「アイダース」と呼ばれます。
ここでは、IDaaSの登場の背景や、IDaaSでできることの概要、エンタープライズ向けのIDaaSに求められる機能について説明します。

IDaaSの誕生

企業におけるIDやアクセスの管理は、IDM(Identity Management = ID管理)やAM(Access Management = アクセス管理)の集合である、IAMまたはIdAM(Identity and Access Management = IDおよびアクセス管理)と呼ばれます。従来はIDやアクセスを管理する対象のシステムがオンプレミスだったため、IAMまたはIdAMを実現するシステムもオンプレミスで構築することが主流でした。

従来型のIAM、特にアクセス管理においては、社内サービスや端末の管理を行っていれば十分でした。しかし、クラウドサービスやスマートデバイス、リモートワークの普及に伴い、社外にあるスマートフォンやタブレットなどの端末から、社外のサービスへアクセスするケースが増えてきました。
この結果、社内向けの管理を前提としたオンプレミスIAMでは、クラウドサービスとの連携やアクセス制御が難しくなり、これらに対応するためにクラウドサービス向けのIDaaSが誕生しました。

「ゼロトラスト」でさらに注目されるIDaaS

セキュリティの分野でも、大きな転換がおこっています。従来、企業は社内システムの内部と外部の境界にファイアウォールなどを設置し、主に内部へのアクセスを監視する「境界型防御」が主流でした。しかし、クラウドサービス、スマートデバイス、リモートワークの普及により、保護すべきデータは内部と外部に分散し、従業員もまた、さまざまなデバイスで外部からアクセスするようになりました。もはや、「内/外」という境界での防御は限界を迎えているのです。

「ネットワークの内側であれば安全」という旧来の対策を継続する企業でも、組織内の従業員を標的とした電子メールによるマルウェア感染、電話での内部情報漏洩、退職予定の社員によるデータの持ち出しなどのリスクが顕在化しており、内部統制の重要性が高まっています。

そこで登場したのが、「ゼロトラスト」という新しい情報セキュリティの概念です。このアプローチでは、性悪説を前提とし、すべてのアプリケーションやサービスへのトラフィックを信用せずにログを記録して監査することや、各アプリケーションやサービス単位での高度なセキュリティが求められます。そのため、情報セキュリティの境界線が曖昧になった現代において、内部の統制も強化するための手段として注目されているのです。

ゼロトラストセキュリティを実現するためには、場所に関係なく常に安全な方法でアクセスし、すべてのトラフィックを記録して検証することが不可欠です。このため、ユーザーの認証とアクセス制御を一元管理するIAMが非常に重要です。具体的には、IAMはユーザーの認証と権限の管理を行い、誰がどのリソースにアクセスできるかを厳密に制御します。これにより、不正アクセスのリスクが大幅に低減し、セキュリティが強化されます。

結果として、ゼロトラストの実現にはIDaaSの利用が重要であることが明らかになっています。IDaaSはクラウドベースで提供されるため、企業はスケーラビリティと柔軟性を享受しながら、常に最新のセキュリティ対策を適用できます。

IDaaSの機能

IDaaSにはどのような機能が求められて、どのようなことができるのでしょうか。
大きな機能としてはAM(アクセス管理)とIDM(ID管理)の2つに大別できます。

AM(アクセス管理)の機能

アクセス管理は、組織内の従業員がさまざまなサービスを利用する際のアクセスを管理する機能です。認証・認可・シングルサインオンなどの機能があります。

認証

ユーザーの認証機能です。アクセスしてきたユーザーが正しいユーザーかを確認しアクセスを許可します。厳格な認証を実現するため、SMS認証や生体認証など、多要素認証のサポートが行われます。

認可

同じサービスでも、社員の役割に応じて利用できる機能やアクセスできるデータの制限をします。

アクセス制御

社内ネットワーク以外や登録されていない端末からのアクセスを制限する機能です。

シングルサインオン

特定のクラウドサービスやWindows OSにログインするなど、1つの認証に成功することで、他の利用可能な全サービスにアクセスできる機能です。複数のパスワードを管理する必要がなく入力作業も軽減され、業務効率化が図られます。

IDM(ID管理)の機能

ID管理は、組織内の従業員のIDをマスタ管理する機能です。IDの作成や編集・削除ができることはもちろん、他サービスとの関連付けやワークフローなどの機能があります。

アクセス要求

ユーザー自身が連携先システムへのアクセス権を要求する。

IDプロビジョニング(フルフィルメント)

複数のシステムやサービス内でのID同期がおこなわれる機能です。例えばIDの登録や編集をおこなった際に、他のサービス内のIDにも自動的に同じ内容の更新が加えられます。

ワークフロー

承認経路を設定し、IDの登録時に承認を求める機能です。

パスワード管理

システム管理者が設定したパスワードポリシーに基づき、ユーザー自身でパスワードリセットやパスワード変更を行う機能。

今後求められるIGA(Identity Governance & Administration)

昨今ではID管理だけでなく、IDを適切に統制するためのIGA = IDガバナンス管理という概念が提唱されています。従来のIDMに加え、企業におけるIDを適正に監視・規律することによりIDガバナンスが強化されます。
IGAの機能は、メンバーの入社、昇進、降格、異動、退社などの人事イベントと、各システムのアクセス権限を連携するIDライフサイクル管理のほか、資格管理や棚卸、監査やレポーティング機能など多岐に渡ります。

IDaaSのメリット

これまでに記載したエンタープライズ向けIDaaSの機能を活用するメリットを、利用者別に考えてみましょう。

組織のメンバー

組織のメンバーは、シングルサインオンによって、あらゆるサービスが利用できるため、サービスごとのパスワードを覚えておく必要はありません。全てのメンバーのIDとパスワード入力の手間を大きく削減できます。結果として、デスクまわりの付箋やメモ帖にパスワードを記すなどの、機密情報を安易にさらすような事象も防げます。

IT担当者や管理者

IT担当者や管理職、経営陣などは、厳格な認証とアクセス制御、ログ管理によってITシステムが適切に利用されているかを管理できます。また、関係者のIDの追加と削除を一元管理できます。新しいメンバーには適切な権限を持つIDを付与してすぐに仕事ができます。退職予定者が機密データを持ち出さないよう監視をしたり、退職者の利用制限をしたりもできるでしょう。更に、ワークフロー機能により、アクセス要求の申請・承認・付与・管理をIGA内で完結できるため、アクセス権限管理の手間を減らすことも可能です。

IDaaS導入時の注意点

シングルサインオンやシステム担当者の負担軽減、セキュリティやガバナンスの強化をもたらすIDaaSは、ゼロトラストセキュリティの重要な要素として注目されています。また、IDaaSはゼロトラスト以外の用途でも、組織の認証基盤を一元管理するために採用されることもあります。いずれの目的で導入するにしても、組織の重要な認証基盤を預けることになるため、信頼できる提供事業者を選ぶことが大切です。また、導入にあたっては、メリットだけでなくリスクも十分に考慮する必要があります。以下に、IDaaS導入時に注意すべきポイントをまとめました。

提供される機能が自社にマッチしているか

企業によって管理するIDの種別や権限、そのライフサイクルは異なり、多様化しています。単にID管理をするだけでなく、適切な統制・ガバナンスを保ちながらこれらを運用・維持する必要があります。また、海外のIDaaSでは日本企業特有のID管理機能(出向や兼務の管理、先日付でのID情報登録など)が存在しない場合もあります。そのため、提供されるサービスが自社に合っているかを確認しましょう。

利用サービスへの対応など、互換性はあるか?

魅力的なIDaaSであっても、オンプレミス環境や、既に利用している、あるいはこれから利用を考えているクラウドサービスに対応していなければ導入は難しいです。自社の状況を満たすものであるかを確認しましょう。

十分なサポート体制が整っているか

IDaaSの利用中に問題が生じた場合のサポート体制も確認しておく必要があります。問い合わせ窓口の種類やサポートの時間帯、対応言語、サポート内容など、組織のニーズにマッチしているかどうかを確認しましょう。

事業者自体のセキュリティ基盤は盤石か

IDaaS提供事業者自身が高いセキュリティで守られていることは重要です。サイバー攻撃や内部犯行によって情報が漏れてしまった場合、被害は甚大となります。どのようなセキュリティ対策をおこなっているか、またデータの保全や管理体制はどうなっているかを確認しておく必要があります。

期待する費用対効果が得られるか

IDaaSによって組織にもたらされる経済的な効果と、利用料金を見極めて導入しましょう。クラウドサービスは一般的に従量課金モデルですが、基本料金に含まれるもの、従量課金の金額、オプション料金、今後の利用ユーザー増加、また期待される利益などをシミュレーションして検討します。

日本企業に最適なID統制を提供できるIDaaS「OpenStandia KAID」

NRI OpenStandiaが提供する「OpenStandia KAID」(オープンスタンディア カイド)は、これまでのIDaaSに不足していたIDガバナンス機能を提供する次世代型IDaaSです。
認証認可の機能はもちろん、プロビジョニングやワークフローなどID管理の機能に加えて、IDライフサイクル管理、IDや権限の棚卸、監査、レポーティング機能など、IDガバナンスの機能を有した、エンタープライズ向けIDaaSです。OpenStandia KAIDをIDリポジトリとして、Azure ADやOktaなど他のIDaaSを連携先とすることも可能です。

お気軽にお問い合わせください
オープンソースに関するさまざまな課題、OpenStandiaがまるごと解決します。
下記コンテンツも
あわせてご確認ください。