IDaaSの導入を阻む“日本企業特有の壁” 打ち砕く方法は？

ソーシャルエンジニアリングなどの激化によって、企業にはID／パスワードを適切に管理・保護することが求められている。それを支援するツールとして有効なのがIDaaSだが、日本企業特有の課題が、導入の障壁となっている。

[田渕聖人，キーマンズネット]

　企業におけるSaaS利用の拡大に伴い、管理しなければならないID／パスワードの数は急増している。昨今、認証情報を狙ったソーシャルエンジニアリングといったサイバー攻撃が流行している中、IT担当者はID／パスワードを適切に管理・保護する必要があるが、そのポイントはどこにあり、どのようなツールを利用すべきなのか。

　本稿はID／パスワード管理製品のトレンドと製品選定の勘所を解説する。

IDaaSの導入を阻む“日本企業特有の壁”　打ち砕く方法は？

　はじめにID／パスワード管理が注目を集める背景と今後の動向について、SCSKの森下貴文氏（ITインフラサービス事業グループ クラウドサービス事業本部 クラウドサービス第三部 第四課、以下同）は以下のように語る。

　「テレワークの導入や働き方改革の推進に伴ってクラウドサービスの利用が拡大し、管理するアカウントやパスワードの数は急増しています。また、複数のSaaSのID／パスワードをサービスごとに管理するのは運用コストやセキュリティリスクの観点からも負担が大きいので、全てのサービスのID／パスワードを一括で管理できる認証基盤を組みたいというニーズが中堅・中小企業で拡大しています。最近はオンプレミスからSaaSへの移行も進んでいるため、この動きは今後も続く見込みです」（森下氏）

　サイバー攻撃の激化もID／パスワード管理の需要拡大を後押ししている。生成AIの普及によってサイバー攻撃の質と量は大きく変化しており、攻撃者はより自然な日本語で大量のフィッシングメールを作成できるようになった。国内では最近、証券会社を装ってユーザーの認証情報を窃取するフィッシングも流行しており、企業だけでなく個人でもセキュリティ対策強化の機運は高まっている。

　しかし、脅威が目前に迫っていても依然として従来型の対策にとどまっている企業があるのも事実だ。特にID／パスワード管理においては、複数のサービスでパスワードを使い回していたり、付箋（ふせん）に書いて誰にでも見える状態で管理しているなどずさんな運用も目立つ。早急に改善しないことには近い将来、サイバー攻撃被害に遭う可能性も捨てきれない。これを解消するのがIDaaSをはじめとしたID／パスワード管理製品だ。

　森下氏は、今後、包括的なID／パスワード管理を実現したいのであれば、IDaaSを活用した認証基盤の構築が最も一般的なアプローチだと話す。ただし、一口にIDaaS製品といっても自社のシステム状況によって求められる要件は変わってくるので注意が必要だ。

　「比較的多く見られるのが、オンプレミスからSaaSへの移行がまだ完了しておらず、両環境のID／パスワードを並行して管理する必要があるケースです。このような場合には、特に慎重な対応が求められます。IDaaSの中でもオンプレミスに対応している製品は限られてくるので、オンプレミスをしばらく生かしながら認証を統合したいという場合は、IDaaSの導入に加えてカスタマイズが発生します」（森下氏）

　また、ここ数年、脱オンプレミスがトレンドとなりSaaSへの移行が急速に進んだものの、カスタマイズのコストやSaaSとレガシーシステムとの連携・権限管理、既存業務・運用との兼ね合いから認証基盤をSaaSに一本化するのは現実的にはなかなか厳しいのが実態だ。

　SCSKの邉見洸太朗氏は「認証基盤をSaaSに一本化する際のハードルとしてよく挙がるのが、日本企業ならではの人事異動制度や出向制度です。特にグループ間での転籍や部署兼務がある企業では特に問題になりやすいです」と語る。

　邉見氏によると、SaaSはデータベースの構造上、1人で複数レコード持てないケースが多くある。そのため兼務が発生する場合は、SaaSに加えて自由に利用できるデータベースを用意する必要があるという。こうなると認証基盤が分けられてしまうのでSaaSのメリットを享受しにくく、導入してみたものの、期待とのギャップに失望するケースもある。

　例えば、出向時に「元の所属会社と新しい所属会社で利用するメールアドレスを暫定利用期間を定めずに即時切り替えなければならない」といった厳密なルールを設けているとSaaSだけでの運用は困難だ。国内では認証基盤の構築と人事業務フローは密接に結び付いている。

　一方で欧米ではこのような課題は発生しにくい。欧米では「システムに業務を合わせる」という考え方が浸透している他、ジョブ型雇用が主流となっているため、兼務などの複雑な権限管理の問題が起きずSaaSになじみやすいという。

　「国内特有の人事事情に製品単体で対応できる国内産のIDaaSが登場してくれればいいのですが、残念ながらまだ出てきてはいません。ただし、そういった意味では、まだ人事ルールが明確に定まっていない小規模な組織ほど早い段階でIDaaSを導入することで、製品に適した運用体制を構築しやすく、より多くのメリットを享受できるでしょう」（邉見氏）

　これらの課題を考慮すると、自社のシステム環境や人事制度がどうなっているのかを把握した上で、今後認証基盤を統一してどのようなことを実現したいのかを明確にすることがIDaaS導入後のギャップを最小限に抑える秘訣（ひけつ）となるだろう。

導入時は要注意　IDaaS製品の選定ポイントと経営層説得のコツ

　ID／パスワードを保護するという点でIDaaS以外の製品にも注目してみよう。最近は多要素認証（MFA）やパスワードレス認証を実現する製品も数多く存在している。

　森下氏は「証券会社の事件など、多要素認証を突破される事例が散見される中、パスワードレス認証に注目している企業が増えていますが、MFAと比較すると導入のハードルは高いのが実態です。ユーザーへの教育やセキュリティ運用といった課題をどう解消するかがなかなか見えてこない今、まずはMFAを導入してその後緩やかにパスワードレス認証を進める流れが来ると予測しています」と指摘する。

　パスワードレス認証の普及が足踏みしているのには技術的な課題もある。森下氏によると、MFAは従来の認証基盤に追加実装するだけで済むのに対し、パスワードレス認証は仕組みそのものを変更するので大規模な改修になり、その影響を調査するのにも労力がかかるという。

　この他、パスワードを管理するものとしてはパスワードマネジャーといった製品もあるが、どのようなケースで使用するのが最適なのだろうか。SCSKの椎野朋氏は「パスワードマネジャーはそれ単体で導入するというよりは、オンプレミス製品やレガシーシステム向けにパスワードを管理する際に、IDaaSと組み合わせてより強固なセキュリティの構築を目指すケースをよく見聞きします」と語る。

　では、IDaaS導入時にはどのような点を考慮すればいいのだろうか。スクラッチ開発、オンプレミスのIDaaS製品、SaaSのIDaaS製品といったそれぞれのケースで注意すべきポイントを見ていこう。

　スクラッチ開発では自由に作りこめる一方で、開発や運用・保守のコストは上がり、属人化のリスクも高まる。加えて、ゼロトラストセキュリティの構築や、社内システムのセキュリティ標準化を実施する際など、製品リプレースのタイミングでの難易度が高まる可能性がある。

　対してオンプレミスのIDaaS製品はSaaSに比べてカスタマイズがしやすく、企業独自の要件も実装しやすいというメリットがある。しかしそれ故に追加機能が増えすぎたり、ID／パスワード管理目的外の機能を実装してしまったりするケースもある。これを防ぐためには実装する前に、ソリューションで実現すること／しないことの境界を事前に定めておくことが重要だ。

　SaaSのIDaaS製品は上記2つと比較すると導入が容易である一方で、企業独自の要件には対応できない。また、こちらも先で説明したが連携先のシステムでオンプレミスが稼働していると、製品導入の障壁になりやすい。

　これらを踏まえた上で、製品を選定する際にはどのような点に注意すべきか。邉見氏によると、SaaSのIDaaS製品は、AIやアイデンティティガバナンスなどの高度な機能が付加される一方で、コストも高くなる傾向がある。オンプレミスの製品だと基本的な機能は備わっているものの、連携先のアプリケーションが少なく、比較的安価なケースが多いという。

　最後に製品導入時の経営層への伝え方についても解説しよう。IDaaS製品は費用対効果が見えにくいケースもあり、経営層にその価値を伝えるのに苦労する場面も多くある。そのためこの部分をきちんと説明して説得できるベンダーやコンサルティング会社と手を組んでスケジュールを明確に定めて導入を進めるといいだろう。

　「昨今のサイバー攻撃のリスクを経営層にきちんと説明してお金をかけてでも対策をすべきだと重要性を訴えましょう。また、導入時は担当者レベルで動いてもなかなか話がまとまらないので、経営層の関与を促し、トップダウンで全社的な協力を取り付けることが不可欠です」（椎野氏）