第1回 もはや企業のID管理で避けては通れない「IDaaS」とは?:企業のID管理/シングルサインオンの新しい選択肢「IDaaS」の活用
これまで社内設置が当たり前だったアイデンティティ(ID)管理/認証システム。でも「クラウド」「モバイル」に代表される激烈な変化に対応できる、と本当に思っていますか? ID管理/シングルサインオンの新たな選択肢「IDaaS」について解説する連載開始!
クラウド/モバイルの活用やグループ&グローバルでの働き方の変革が進む中、企業のID管理についても変化への柔軟な対応が求められている。そのような変革に関する厳しい要求(スピードやコストなど)に対応する解の新しい選択肢として、ID管理/シングルサインオンをサービスとして提供する「IDaaS(Identity as a Service)」に注目が集まり始めている。
本連載では、マイクロソフトのIDaaSである「Azure Active Directory(Azure AD)」を題材として、今後のIDaaS活用の方向性と企業の情報システムに与える影響について解説する。第1回となる今回は、現在の企業の情報システムを取り巻く環境を考察し、何が課題なのか、どうしてIDaaSが必要とされるのか、そもそもIDaaSの特徴やメリットとは何か、といったことに焦点を当てる。
企業を取り巻く環境の変化と情報システムに求められる対応
ここ数年、企業の情報システム部門の主要な関心事として、「クラウド」「モバイル」「グループ&グローバル」という3つのキーワードが挙げられることが多い。経済産業省の各種統計調査結果を見るとそれらのキーワードへの関心が高まり、投資が年々拡大してきていることが分かる。
●キーワードその1――クラウドコンピューティング
クラウドコンピューティングの利用状況平成22年に比べると、わずか3年で2倍以上の企業がクラウドコンピューティングに対して実際に投資を行ったことが分かる。
*出展:経済産業省/平成26年度情報処理実態調査
また、同じく、平成25年度の調査においては今後のクラウドコンピューティングの利用について「具体的に導入する予定である」または「具体的な導入計画はないが、関心はある」と回答した企業の割合が65.2%となるなど、今後もクラウドコンピューティングの活用は進むと考えられる。
●キーワードその2――モバイル
また同調査によるとクラウドコンピューティングと同様、スマートフォンおよびタブレット端末の業務利用の状況についても堅調に拡大しており、平成25年度の調査では50.0%の企業が業務にスマートフォン、タブレットを利用している状況となっている。
スマートフォンおよびタブレット端末の業務での利用率と推移平成25年にはスマートフォン/タブレットを実際に利用している企業の合計が50%を占める状況になっており、ここ2年間で利用企業の数が1.5倍以上に伸びていることが分かる。
*出展:経済産業省/平成26年度情報処理実態調査
●キーワードその3――グループ&グローバル
また、経済産業省の別の統計調査である海外事業活動調査によると、産業のグローバル化についても拡大しており、特に製造業については現地法人の従業員数が堅調に増えている。このことによりグループ&グローバル全体でのコミュニケーションの重要性がさらに増していくことは想像に難くない。
先に挙げたクラウドコンピューティングの活用調査の中でクラウド活用分野として「グループウェア、文書管理」のように情報共有基盤が上位に挙げられていることからも、クラウド利用の拡大を押し上げているのはこのようなグローバル化も一因となっているとも考えられる。
現地法人従業員数ニーズの変化による課題
ここまでに述べたように「クラウド」「モバイル」「グループ&グローバル」というニーズが拡大しているが、それに伴い企業の情報部門は新たな課題に悩まされているようだ。
例えば、先の統計調査によるとクラウドコンピューティングの利用における課題として「信頼性・安全性」に対する不安や「既存システムとの連携」に関する課題など、企業が安全かつ利便性高くシステムを利用するための根本的な部分の課題がいまだに上位に挙げられている。
同様にスマートフォンおよびタブレット端末の業務利用上の課題として「セキュリティ上の課題」を挙げる企業が60.3%に上っている。やはり安全性の面で管理者の多くが不安を抱えていることも明らかである。
スマートフォンおよびタブレット端末の業務利用上の課題スマートフォン、タブレットの利用については60%を超える企業がセキュリティへの不安を課題として挙げている。
*出展:経済産業省/平成26年度情報処理実態調査
このように、現在企業を取り巻く環境は変化し続けており、管理者はその変化および変化による各種課題への対応に奔走しているようだ。
本質的に「何が変わった」のか?
では、企業の情報部門の目線でこれらの状況を俯瞰(ふかん)すると、本質的に「変わった」のは何なのだろうか?
先の調査の結果より、「クラウド」「モバイル」「グループ&グローバル」により企業の情報システムが置かれた状況を見ると、企業の内部と外部を「ネットワーク」という境界で分けることがもはや不可能になってきていることが浮かび上がる。
企業の内部と外部の境界≠ネットワークの境界(ファイアウオール/WAN)- クラウド:企業資産をインターネットなど、企業が直接管理していないネットワーク上に配置している
- モバイル:自宅やモバイル網など、企業が直接管理していないネットワークからアクセスされる
- グループ&グローバル:関係会社の増減や各国のネットワーク事情の差などは、情報部門では管理しきれない
●境界線の変化:ネットワークからアイデンティティへ
従来は企業の内部と外部の境界線、つまりセキュリティの境界線はネットワークで区切られている(ファイアウオールの中は安全)という考え方が主流だった。また、基本的にデータやアプリケーションはLAN/WAN内部に配置され、「社内ネットワークにアクセスできるユーザー」=「正規のユーザー」である、と見なされてきた。
しかし、クラウドコンピューティングを活用する、ということはデータやアプリケーションなどの企業資産をインターネット上に配置することである。モバイルデバイスの活用については、モバイル通信網を経由して企業資産を利用することになる。
また、グローバル化が進む中で通信事情の異なる各地域のオフィスを都度社内ネットワークへ接続するためのインフラ整備はコスト面でもスケジュール面でも大きな課題となっている。こうしたことから、もはやネットワークの境界だけで企業資産を保護することは難しくなってきている。
このような状況において近年、新たなセキュリティ境界線の一翼を担うものとして考えられているのが「アイデンティティ」だ。Cloud Identity Summitのように毎年グローバルで開催されるセキュリティやアイデンティティに関連するカンファレンスでは、「Identity is the new perimeter(アイデンティティが新たな境界線である)」というキーワードが毎回のように取り上げられている。
●境界線としてのアイデンティティとは
「アイデンティティが新たな境界線である」という言葉はどのような意味なのだろうか。もちろんアイデンティティ自体が境界線として企業の内部と外部を分離してくれるわけではない。根本的には次のような考え方である。
クラウドやモバイルなどのツール群によってボーダーレス化するITネットワークは、ファイアウオールだけでは防御しきれなくなってきている。そのため、ファイアウオールの外側にある資源をどのように守るのかを考えなければならない。その一つの重要な選択肢がアイデンティティの管理、特にアクセス制御をいかにして確実に行うか、である。
アクセス制御、つまり「許可されたユーザーのみが組織のアプリケーション/情報にアクセスできることを担保」するために必要なアイデンティティ管理の主要な要素は、以下の5つに分類できる。
(1)強固な認証
- パスワードに加えて他要素による認証(ソフトウエアトークン、SMSなど)
- リスクベース認証(社外からのアクセス時/普段と異なるネットワークからのアクセス時の追加認証)
(2)IDライフサイクル管理
- 人事プロセス(採用/異動/退職)に合わせたIDの作成/更新/削除
(3)アクセス権管理
- ワークフローシステムと連携したアクセス権の付与/剥奪
(4)定期的な監査
- アイデンティティに関するイベントの記録と管理者向けの利用リポートの生成
(5)統一された管理ポリシー/ルール
- グローバル/グループ全体に適用されるアイデンティティに関する統一ポリシー/ルールの定義
確実にアクセス制御を行うために必要なアイデンティティ管理の主要な要素IDaaS(Identity as a Service)の登場によるシステム化手法の変化
もちろん、これらの要素を従来通りオンプレミスのID管理システムを使って実装することも可能である。しかし、オンプレミスのシステムを更改するサイクルは速くても3年、通常は5年程度であり、変化し続けるニーズへの対応がどうしても後手にまわりがちだ。特にクラウドについては3〜5年前と現在の状況は激変しており、今後もしばらくはこのペースで変化が続くと思われる。
そのような状況において注目を集めているのが、ID管理や認証システム自体をクラウド上でサービスとして提供する「IDaaS(Identity as a Service)」である。
●IDaaSの特徴とメリット
従来のID管理システムや認証システムは、人事システムや各種アプリケーションとの連携が前提となっており、さらに人事プロセスや組織形態に依存した実装を行うことが多い。そのため、オンプレミスで企業の事情に合わせたシステム化を行うことが主流であった。
現在もそのような状況は変わらず、特にID管理については企業ごとに人事システム連携などの要件整理を行い、必要な機能を実装することが多い。
しかし、一方で企業が利用するアプリケーションはGoogle AppsやOffice 365、salesforce.comなどのキラーサービスの登場によってクラウド化が一気に進み、企業間での利用形態の差が少なくなってきている。
下表は、ID管理の各要素についてIDaaSと従来のID管理/認証システムの対応状況を比較したものだ。特に認証/ID連携の要素については、クラウド利用が進めば進むほど、従来のシステムのように都度設定を行うのに比べてIDaaSを利用することによるメリットを享受できる可能性が高い。
また、同様にビッグデータおよび機械学習との組み合わせによるリスク計算、不正アクセス防止などの機能については、単一企業向けの個別システムでは実装が難しく、サービスを利用することの大きなメリットとなる。
一方で企業ごとの個別の事情を反映したシステム化を行う必要が多いID管理や複雑なアクセス制御などについては、従来通りオンプレミスのID管理システムを使う方がきめ細かい管理を行うことが可能だ。
| 要素 | 機能や特徴 | IDaaS | 従来のID管理/認証システム | |
|---|---|---|---|---|
| 認証/ID連携 | クラウドサービスとのID連携 | 接続検証済みのアプリケーションを選んで利用 | 個別に接続検証、設定 | |
| ID連携プロトコルへの対応 | OpenID Connectなどの最新プロトコルへ早期に対応 | 製品バージョンアップで対応(現状SAMLのみが主流) | ||
| 強固な認証方式への対応 | 多要素認証、リスクベース認証への対応 | 現状ほぼ対応せず | ||
| ID管理 | クラウドサービスのID管理 | 接続検証済みのアプリケーションとのID自動同期 | 個別に接続検証、設定 | |
| 人事システムとの連携 | 決められたデータソース(Active Directoryなど)とのID同期が可能 | 個別にカスタマイズが可能 | ||
| 認可 | アクセス権管理 | 接続元デバイス、ネットワークレンジなどでアプリケーション利用を制限 | 個別にカスタマイズが可能 | |
| ワークフロー連携 | 定型的な簡易承認フロー | 個別にカスタマイズが可能 | ||
| 監査 | 認証ログ | 機械学習と組み合わせた不正アクセス検知など応用が可能 | 成功/失敗の記録のみ | |
| ID管理ログ | ID状態の変化の記録 | ID状態の変化の記録。特定時点のID状態のレポーティングなどカスタマイズが可能 | ||
| IDaaSと従来のID管理/認証システムの特徴 赤字部分が各方式の特色を示している。 | ||||
このように今後のID管理/認証システムでは、
- 企業ごとの機能差が少ない認証/ID連携機能
- クラウドのメリットを享受しやすい不正アクセス検知や機械学習
といった機能はクラウドへ移行していくだろう。その一方で、企業ごとにポリシーや状況が異なるID管理については従来通りオンプレミスで実装、というようにハイブリッド化が進むと考えられる。
次回は、マイクロソフトが提供しているIDaaSであるMicrosoft Azure Active Directoryを例に、これらの要素がクラウド上でどのように実現されているのか順に解説する。
Copyright© Digital Advantage Corp. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。