CYBERNET
  

ユーザーIDは企業システムの新たな防衛ライン
その統合管理を可能にする「IDaaS」とは

お役立ち

ユーザーIDの統合管理機能をクラウドサービスとして提供する「IDaaS(Identity as a Service)」。これに対する注目が、近年急速に高まっています。ここではその背景と、IDaaS活用のメリット、サービス選択のポイントを解説します。

すでに意味を失った従来型の防衛ライン

企業システムの防衛ラインをどこに設定するか。この問に対する答えが、この数年で大きく変わってきています。

以前は内部ネットワークと外部ネットワークの境界線を防衛ラインと位置づけるのが一般的であり、この部分にファイアウォールやDMZ(DeMilitarized Zone)を設置することで、外部からのアクセスを制限していました。しかしクラウドサービスの利用が拡大することで、この方法は通用しなくなっています。クラウドサービスは物理的なネットワークの境界の外側にあるため、ここを防衛ラインとするアプローチでは安全性を確保できないのです。

これに替わるアプローチとして重要性が高まっているのが、ユーザーアイデンティティ(ユーザーID)の活用です。ユーザーIDによってシステムへのアクセス可否を判断すれば、物理的なネットワーク境界に依存することなく、システムの安全性を守れるからです。このような考え方は、2012年にガートナーが「Identity is the new perimeter(アイデンティティが新たな境界線になる)」と提唱したことがきっかけとなり、広まったと言われています。

ユーザーIDをシステムの防衛ラインとして機能させるには、ユーザーIDの統合管理が不可欠です。システム毎にユーザーID管理を行っているようでは管理が不徹底になり、すでに使われていない「休眠アカウント」が残されて不正利用されるといった危険性が高まるからです。すでに多くの社内システムでは、ユーザーIDの統合管理が行われています。特にMicrosoft Windowsをベースにした社内システムでは、Active Directoryによる統合管理が一般的になっています。

しかしクラウドサービスの利用が広がることで、これまでのオンプレミス型のユーザーID管理では、十分な対応が難しくなっています。そこで注目されるようになったのが、クラウドサービスとしてユーザーID管理を行う「IDaaS(Identity as a Service)」です。

IDaaSがもたらす数多くのメリット

IDaaSを活用し、ユーザーID管理をクラウドへと移行することで、クラウドサービスのユーザーIDを統合管理できるようになります。また社内で使用しているActive Directoryと連携させれば、オンプレミスシステムとクラウドシステムを統合したハイブリッド型のID管理も実現できます。これによってシステム管理者の負担は大幅に軽減します。ユーザーIDの管理を1カ所で集中的に行えるようになるからです。

もちろんセキュリティも向上します。ユーザーIDの管理を徹底しやすくなるため、前述した休眠アカウントの不正利用等を回避できるからです。またIDaaSの中には、特定端末での利用のみを許可する、特定の場所からのみアクセスを許可する、といった機能を提供するものも存在します。これらの機能を活用することで、社内ポリシーに合わせたきめ細かい利用制限をかけることも容易になります。

しかしメリットはこれだけではありません。ユーザーの利便性も高まります。IDaaSでシングルサインオン(SSO)を実現することで、ユーザーは1つのIDとパスワードを憶えておくだけで、複数のサービスを利用できるようになるからです。


図: OneLoginによるシングルサインオン

このようなメリットを最大限に活かすには、十分な機能を持ち、幅広いクラウドサービスに対応したIDaaSを選択することが重要です。その代表格として挙げたいのが「OneLogin」です。

OneLoginは、数多くのクラウドサービスが採用するSAML(Security Assertion Markup Language)による認証連携をサポートしており、SAMLの「Identity Porovider(IdP)」として機能します。これに加え、ベーシック認証やフォームベース認証への入力代行機能も装備しています。これによって4,000以上のクラウドサービスやWebアプリケーションへの対応を実現。また社内開発したWebアプリケーション向けのツールキットも用意されており、社内の既存アプリケーションをSSOに組み込むことも可能です。

適切なIDaaSの選択で新たな防衛ライン確保を

前述した機能もすべて揃っています。まずActive Directoryとの連携機能を装備しているため、社内システムと統合したユーザーID管理が可能です。この機能を利用すれば、Windowsにログインするだけで、OneLoginが管理する全てのサービスに、改めてログインすることなくアクセスできます。

また端末証明書を利用した利用端末の制限や、IPアドレスによる利用場所の制限も可能です。さらに、モバイルデバイスを活用した二要素認証もサポートしています。OneLoginの二要素認証は、ログイン画面でワンタイムパスワード(OTP)を入力するといった方法ではなく、OneLoginのログイン画面とは別の通信経路でOTPを送信する方法を採用しています。そのため、攻撃者がユーザーとクラウドサービスの間に介在してパスワード等を不正入手する「中間者攻撃」にも強いという特徴があります。

このように適切なIDaaSを選択することで、オンプレミスシステムとクラウドサービスが混在したハイブリッド型システムでも、防衛ラインを確保しやすくなるのです。