アイデンティティー管理(ID管理)とは、組織のセキュリティポリシーに従って、業務システムを利用する時に必要となるユーザー情報や利用者を識別するIDを一元的に管理することを指す。これを統合管理するものがID管理システムだ(続きはページの末尾へ)。
業務システムやクラウドサービスを利用する時に必要となるログイン情報や、属性、アクセス権限など、ユーザー情報(ID)を統合的に管理するのがID管理システムだ。
業務で利用するシステムやクラウドサービスは年々増加傾向にあり、IT部門で管理するユーザーIDは膨大な量になる。これら全てを人の手で管理するのは困難だ。また、入退社や人事異動が発生すれば、その都度ユーザー情報を更新する手間がかかる。こうしたID管理作業の省力化を目的として、ID管理システムが求められる。
長らく「Microsoft Active Directory」(以下、AD)に代表されるディレクトリサービスを用いたID管理が一般的だった。だが、ADはオンプレミスの運用を必要とし、サーバなどのハードウェア投資が必要となる。さらに、バックアップなどの運用設計も自社で検討しなければならない。また、ID基盤を狙うサイバー攻撃が増えていることから、脆弱(ぜいじゃく)性情報を収集して、必要に応じてパッチを充てるなど、セキュリティ面も考慮する必要がある。
近ごろは、ID管理機能をクラウドサービスとして提供するIDaaS(Identity as a Service)への移行が進んでいる。IDaaSが注目される背景として、業務アプリケーションのクラウドシフトが進んだことが一因として考えられる。アプリケーションはクラウドで、認証基盤はオンプレミスでとなると運用面において効率的ではない。また、クラウドアプリケーションの管理コンソールにアクセスする際、サービスごとにIDとパスワードを個別に管理するのは運用面での負担が大きい。
IDaaSの利用が進む背景には「ゼロトラスト」のセキュリティモデルが関係している。
クラウドシフトによって情報資産が社外に置かれるケースが増えたことから、ファイアウォールをはじめとした境界型防御が限界を迎えつつある。そこで、アクセスを全て検証した上で、自社のポリシーに応じて認証、認可する「ゼロトラスト」の考え方が広がりつつある。
ゼロトラストの中核ソリューションとなるのが、アクセス制御の要となるIDaaSだ。IDaaSを中心にエンドポイント対策ソリューションなどと連携させることで、ゼロトラストに基づくセキュリティ対策が可能となる。今後のセキュリティ対策においても、IDaaSは重要なコンポーネントになるだろう。
IDaaSによって、どのようなメリットが得られるのだろうか。管理者と利用者目線の双方から導入メリットを考える。
パスワードを忘れた場合、管理者側でユーザーの認証情報をリセットした上で、ユーザー本人が再設定しなければならない。IDaaSを利用すれば、ユーザー自身がパスワードのリセットや回復処理をできるセルフサービス化が可能となり、管理者の負担を軽減できる。
また、従業員の入退社に伴って発生するアカウントの作成、削除作業も、IDaaSによって自動化できる。アカウントの生成から削除までのライフサイクル管理が自動化されることで、管理者の工数を削減できる。
セキュリティリスクの軽減においても役立つ。IDaaSによってSSOが可能になれば、従業員がパスワードを忘れないように付箋(ふせん)やメモ帳に書くなど、社内のセキュリティリスクも軽減できるだろう。また、多要素認証によって、ユーザー情報だけでなく位置情報やデバイス情報なども認証条件に加えることで、フィッシングサイトを経由してIDやパスワードが漏えいしたとしても、侵入されるリスクを軽減できる。
IDaaSによってSSOが可能になれば、システムごとにパスワードを記憶せずに済むだけでなく、ポータル画面から各クラウドサービスにアクセス可能になるなど、ユーザビリティの向上にも寄与する。パスワードを忘れた場合でも、ユーザー自身でパスワードをリセットできるため、管理者とその都度やりとりする必要がない。
また、新たなメンバーが入社した場合、通常であればIT部門にアカウント作成を申請する必要があるが、IDaaSであれば属性に応じて自動的にアカウントが生成される。業務で利用しているクラウドサービスによっては、管理部門や申請方法が異なる場合もあるが、IDaaSにログインするだけですぐに利用可能な状態になるのは、利用者にとっても大きなメリットだろう。
製品名 | ベンダー名 | 特徴 |
---|---|---|
Microsoft Entra ID(旧Azure Active Directory) | 日本マイクロソフト | Microsoftが提供するIDaaS。Microsoft製品との連携に強み。特権ID管理機能は上位のプランにのみ付帯(2024年3月時点) |
Okta Workforce Identity Cloud | Okta Japan | Oktaが提供するIDaaS。Microsoft製品以外のクラウドサービスとも広く連携が可能。特権ID管理機能もオプションとして提供 |
HENNGE One | HENNGE | HENNGEが提供する国産IDaaS。SSOやMFAを提供するとともに、プランによっては電子メールセキュリティの機能も付帯 |
GMOトラスト・ログイン | GMOグローバルサイン | GMOグローバルサインが提供する国産IDaaS。全機能を低価格で利用でき、無料プランも提供 |
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。