特集
» 2021年02月22日 08時00分 公開

クラウド時代の認証基盤「IDaaS」導入のススメ

企業の業務システムがクラウドへ移行するなか、各クラウドへ柔軟にアクセスするための認証基盤としてIDaaS導入が企業で検討されている。そんなIDaaS活用のメリットなどについて詳しく見ていきたい。

[酒井洋和,てんとまる社]

多くの企業で利用されている認証基盤「Active Directory」

 さまざまな業務システムに安全にアクセスするためには、何らかの認証基盤を経由するのが一般的だ。社内の各種業務アプリケーションを利用するためには、IDとパスワードによる認証が必要になる。誰でもアクセスできないよう認証基盤を厳格に管理することはセキュリティ上のメリットが得られるだけでなく、認証基盤を統合することで利用者はアプリケーションごとにIDやパスワードを覚えておかなくてもアクセスできるシングルサインオン(以下、SSO)環境を実現できる。

 企業における認証基盤の中心にあるのは、「Windows Server」に搭載されたディレクトリサービス「Active Directory」(以下、AD)だろう。もともとはオンプレミス環境に構築されたWindowsアプリケーションに対する認証基盤として採用されていたが、最近ではSaaS(Software as a Service)などのクラウドアプリケーションへのSSOが実現できるよう、ADに備わっているADFS(Active Directory Federation Service)機能を利用するケースもあれば、「Microsoft Azure」の認証サービス「Azure AD」と連携するための「Azure AD Connectサーバ」をオンプレミスに設置し、「Microsoft 365」やその他のSaaSと連携させるケースもある。

IDaaSが注目されるワケ

 すでにADを中心に認証基盤が整備されているなか、なぜIDaaS(IDentity as a Service)が今注目されているのだろうか。

認証基盤のクラウド移行が自然の流れ

 IDaaSが注目される背景には、業務アプリケーションのクラウド化が大きく進んだことが要因の一つとしてある。利用するアプリケーションがクラウドに展開されている中で、認証基盤だけがオンプレミスに設置されていては運用の面で煩雑になりやすい。通常のADサーバはオンプレミスに展開されるため、ハードウェアとしてのサーバ管理などが別途必要となる。可能であればクラウドに展開できた方が自然だろう。

 管理面からも、各種クラウドアプリケーションの管理コンソールへアクセスする際、サービスごとにIDとパスワードを個別に管理するのは運用上の負担が大きい。また、契約するSaaSテナントのログインページへのセキュアなアクセスを実現するために多要素認証(MFA)を活用する際にも、豊富なMFAに対応したIDaaSを利用するメリットは大きい。

 クラウドアプリケーションへのSSOによって利便性を向上させるためにも、管理負担が軽減できるIDaaSへのニーズが高まるのは当然だ。

ゼロトラストセキュリティの要となるIDaaS

 クラウドアプリケーション活用が進むことで重要な情報資産が社外にあるケースも増えていることから、ファイアウォールをはじめとした境界防御が限界を迎えつつある。そこで、企業ネットワークの内部・外部問わず、企業が持つ情報やデバイスなどへのアクセス全てを検証した上で、自社のポリシーに応じて許可する考え方、いわゆる何も信頼しないことを前提とした「ゼロトラスト」という考え方が広まりつつある。

 このゼロトラストの中核ソリューションとなるのが、アクセス制御の要となるIDaaSだ。IDaaSを中心にエンドポイント対策のソリューションなどと連携を深めることで、ゼロトラストと呼ばれるコンセプトに近づくことができる。今後のセキュリティを考える上でもIDaaSは重要なコンポーネントとなるはずだ。

IDaaS導入のメリット

 IDaaSを実際に導入することで、どんなメリットが得られるのだろうか。管理者や利用者目線双方からそのメリットを考えてみたい。

運用管理者のメリット

 パスワードを忘れた場合、通常であれば管理者側でユーザーの認証情報をリセットした上で本人に再設定してもらうという作業が必要だ。IDaaSを利用すれば、パスワードのリセットや回復処理などはユーザー自ら実施できるセルフサービス化が可能となり、管理者の負担を大きく軽減できる。

 また、入社退職に伴って発生するクラウドアプリケーションのアカウント作成や削除も、IDaaSを活用することで契約しているSaaSに対して自動的にアカウント作成および削除が可能になる。アカウントの生成から破棄までのライフサイクル管理が自動化されることで、管理者の工数が削減できる。

 セキュリティリスクの軽減という意味でも、管理者の負担軽減につながるはずだ。IDaaSによってSSOが可能になれば、メモ書きされたパスワードなどが不要になるなど情報漏えいリスクを低減でき、セキュリティ環境の維持工数を減らすことができる。IDaaSが持つ多要素認証を駆使すれば、ユーザー情報だけでなく、アクセスしてきた位置情報やデバイスそのものの情報なども認証条件に加えることで、たとえフィッシングサイトを経由してIDやパスワードが漏えいしたとしても、侵入されるリスクが軽減できる。

利用者のメリット

 IDaaSによってSSOが可能になれば、システムごとにパスワードを記憶せずに済むだけでなく、1つのポータル画面から各SaaSに容易にアクセスできるなど、ユーザビリティの向上にも寄与する。もしパスワードを忘れた場合でも、ユーザー自身でパスワードをリセットでき、回復処理もできるため、都度管理者とやりとりする必要がない。

 また、新たなメンバーが入社してきた場合、通常であればシステム部門に業務アプリケーションにアクセスするためのアカウント作成を申請する必要があるが、IDaaSであれば属性に応じて自動的にSaaSのアカウントが生成されるため、入社してすぐにSaaSを利用できる。契約しているSaaSによっては管理部門や申請方法が異なっていることもあるが、IDaaSにログインするだけで利用可能なSaaSが自動的に使える状態になるのは利用者にとってメリットが大きいはずだ。

IDaaSの基本機能

 ここで、グローバルでシェアを持つIDaaS「Okta」のソリューションをベースに、IDaaSが持つ基本的な機能を見ていこう。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。