シリーズ『IDaaSの教科書』2)IDaaSに必要な5つの機能を理解する
シリーズ『IDaaSの教科書』では、ID管理の“As a Servise”であるIDaaSについて理解を深めていただくとともに、情シスの方々のシステム導入のヒントにしていただければと思っております。
前回(第1回「IDaaSって何ですか」)では、IDaaSとは何か、どの程度利用されているか、比較するうえで注意すべき点は何か、などについてお伝えしました。
第二回は、IDaaSの5つの機能と呼ばれる「各種アプリ・システムへの認証」「IDの管理」「ID・ディレクトリの連携」「アクセス権管理」「ログ取得」について解説します。
この記事の目次
IDaaSを構成する機能について理解する
IDaaSは、クラウド上でID連携を安全かつ効率的に行うためのSaaSです。例えば、「SaaSへのシングルサインオンを実現する」「ログイン時のセキュリティを強化する」といった機能があります。
IDaaSによって実現できる機能は多岐に渡るため、同じIDaaSと思っても「A社のサービスで実現できる機能」と「B社のサービスで実現できる機能」は異る場合があります。またSSO一つとっても、日本国内の企業が多く利用しているサービスに対応しているなど、連携可能なSaaS/クラウドサービスの種類などもそのサービスの特徴の一つと言えるでしょう。
なぜこのようなことになるのかといえば、サービスを開発する会社の開発フィロソフィーにより、製品の特性が存在するからです。このため、自社に合ったIDaaSを選ぶことが非常に重要となります。
IDaaSの機能を大きく分けると以下の5項目になります。
- 各種アプリ・システムへの認証
- IDの管理
- ID・ディレクトリの連携
- アクセス権管理
- ログ取得
ここで、「IDaaSの機能は、オンプレミス型のActive Directory (AD)に似ている」と思われる方もいらっしゃるかもしれませんが、IDaaSとADで大きく異なる点が2点あります。
1点目は、「クラウド前提のID連携・管理」を実現できるか否かという点です。ADは、オンプレミス環境での利用を前提としており、社内ネットワークや信頼関係を結んだ連携先(フェデレーション)のID連携・管理しか実現できません。
これに対して、IDaaSはクラウド上の多種多様なサービスとID連携・管理が可能です。
(なお現在では、ADのクラウド対応版である「Azure Active Directory (Azure AD)」を使用することで、クラウド上でディレクトリを構築できます)
2点目は、IDaaSではADのグループポリシーのような「詳細なユーザー管理・端末管理」は実現できない点です。IDaaSはADと異なり、あくまで認証に特化したサービスとなります。
それでは各機能ごとの内容を見ていくことにしましょう。
(1)各種アプリ・システムへの認証:SSO(シングルサインオン)
IDaaSと聞いて、最初に思い浮かぶのがSSOという方は多いかと思います。そしてSSOは、IDaaSに求められる機能要件の一つなのです。
IDaaSが提供するSSOは、Office 365 (Microsoft 365)、G Suite (Google Workplace), Chatwork, Slack, サイボウズなど、SaaSとして提供されているアプリに対して、一元的なログインを提供するというものです。
具体的には、各SaaSにログインする際に使用する、各ユーザーの認証情報 (ID, パスワード) をIDaaS上に保存します。そして、各SaaSにログインする際には、必ずIDaaSを経由してログインを実施します。
IDaaSログイン後は、各種サービスに対してワンクリックでログインできるため、シングルサインオンの機能を提供していると言えます。
また、通常の「ID・パスワード」以外の認証を提供しているのも、IDaaSの特徴の一つです。例えば、ID・パスワードを利用せずに認証を行うことができる「SAML認証」、「ID・パスワード」に加えて、別な認証要素を必要とする「多要素認証」などです。これらの認証を利用することで、よりハッキングされにくい、強度の高い認証を実現できます。
また、一部のIDaaS製品では、オンプレミス環境のサーバーに対する認証も実施可能です。よって、製品と使用環境が対応していれば「IDaaS製品を利用して、SaaSとオンプレミス両方の認証を一元化する」ことも可能と言えます。
<実現できること>
シングルサインオンや強度の高い認証を用いることで、利便性の向上と不正アクセス対策強化を同時に実現できます。
(2)IDの管理
IDの管理は、通常管理者のみが行い、ユーザーが利用することはありません。しかしながら、ここでいう「管理」には、2種類の意味合いがありますので、覚えておいてください。
1つ目は、「IDaaSに認証を行うユーザーIDの管理」です。
一般的には以下のような情報が管理されます。
- ログインID
- ログインパスワード
- 従業員番号
- 従業員氏名
- 部署
- 職位
- 権限
- 利用できるSaaSやオンプレミス環境のサーバー
- 各SaaS, オンプレミスサーバーへのログインID・パスワード。またはその他の認証情報
- 住所
- 電話番号
2つ目は、「IDaaSから認証を行うSaaSやオンプレミスサーバーのID管理」です。
IDaaSのID管理機能を利用すると、各SaaSやオンプレミス特有のID情報を、各個別のサービスからではなく、IDaaSの管理画面上から編集できるため、統合的で効率的なID管理を実現できます。
<実現できること>
IDaaS上から各種SaaS・オンプレミスのID管理を行うことで、統合的で簡潔なID管理を実現できます。
(3)ID・ディレクトリの連携
上記 (2) のIDをさらに高度に行うのが、「IDの連携」です。「IDプロビジョニング」や「ユーザープロビジョニング」と呼ばれる場合もあります。
例えば、「従業員氏名」「部署名」「電話番号」といった、どのSaaSやシステムであっても同じデータが入る項目を編集する際、毎度個別に同じ情報を登録または編集するのは、非常に工数がかかるだけでなく、登録漏れ・編集漏れが生じるリスクがあります。
また、企業によっては「Active Directory」や「G Suite (Google Workplace)」を既にマスターのディレクトリとして利用しているので、ディレクトリに登録されている情報はできるだけ多くのシステムで使わせたい、というニーズがある場合もあります。
ここで、ID連携の出番です。IDaaSのID連携を使い情報を同期させることで、登録漏れ・編集漏れといったリスクを防ぎつつ、個別情報を管理する工数を削減できます。例えば「Active Directory」に既に登録されている「氏名」「部署名」「電話番号」が更新された場合、同じデータ項目があるSaaSやオンプレミスのサーバーに対して、IDaaSを経由してデータの連携が行えるようになります。
<実現できること>
ID連携を行うことで、複数のサービス・システム・ディレクトリ間にまたがるID情報を同期させ、データの正確性を高めつつ、情報システム部門の負荷を軽減できます。
(4)アクセス権制御
上記(1)にある「IDaaSを経由したID・パスワード、または他の認証要素を利用した認証」に加え、よりきめ細かいアクセス権管理が実現可能となります。以下にその一例を紹介します。
(a)IPアドレス制御
IDaaSへの接続元IPアドレスにより、「特定のIPアドレスの接続を許可する(ホワイトリスト)」「特定のIPアドレスの接続を許可しない(ブラックリスト)」を設定できます。
例えば、「会社と、登録されている自宅のIPアドレスからの接続は許可するが、それ以外からのアクセスは許可しない(ブラックリスト)」や、「頻繁に攻撃を繰り返しているとみられる特定のIPアドレスからの接続は許可しないが、それ以外のIPアドレスからの接続はすべて許可する(ホワイトリスト)」といった利用法が考えられます。
(b)電子証明書を利用した制御
IDaaSにアクセスする端末、例えばパソコンやスマートフォン、タブレットに「認証局が発効した電子証明書が入っているかどうか」をアクセスの要件とする方法です。
例えば、「会社が従業員に提供するパソコン、スマートフォンには、電子証明書のインストールを義務付け、これらからのみIDaaSへの接続を許可する。しかし、私物のパソコン、スマホからIDaaSへの接続を許可しない」といった利用が考えられます。
電子証明書を利用した制御は、「機器ごとで接続可能機器かどうかの特定を行い、IPアドレスで特定しない」ため、例えば、「テレワークで自宅外からテザリングで利用する(IPアドレスを特定できない)」といった場合でも接続が可能です。新型コロナウイルス下で、就労環境が多様となった現在においては、効果の高い制御方法です。
(c)リスクベース認証
複数の要素を利用して、その認証が「通常の認証」か、それとも「攻撃者の可能性が高い認証か」を判断するタイプの認証です。
例えば、普段は「東京から、『192.168.1.1』のIPアドレス経由で、日本時間9-17時の間に、Chromeブラウザを利用してアクセスする人」が、ある日「ナイジェリアの首都ラゴスから、『116.100.1.4』のIPアドレス経由で、日本時間1-4時の間に、Safariブラウザを利用したアクセス」があった場合、これは「普段の環境とは異なる場所からのアクセス」であることが分かります。
リスクベース認証を導入すると、こうしたアクセス、つまり「IPアドレス」「利用ブラウザ」「アクセス時刻」「アクセス国や地域」などから総合的に「怪しい」と判断されるアクセスがあった場合に、たとえIDとパスワードが正しかったとしても、追加のアクセス要素を要求する、といった動作を行い、不正アクセスを防ぎます。
<実現できること>
IPアドレス制御、電子証明書制御、リスクベース認証などを用いることで、ネットワークや物理的なデバイスによるアクセス管理、また複合的な要素を用いたアクセス管理が可能となります。
(5)ログ取得
SaaSであっても、オンプレミスであっても、「いつ、だれが、何の操作をし、結果どうなったか」というアクセスや処理をログとして記録しておき、必要なときにいつでも閲覧・エクスポートできるようにすることは、外部からの攻撃を受けた場合や定例のシステム監査を行う上で必須です。
各SaaSやオンプレミスの認証をIDaaS経由で実施することで、各サービスに「いつ、誰が、どのサービスにアクセスしたか」のアクセスログを、IDaaS集中管理できます。
<実現できること>
各種サービス・システムへのアクセスをIDaaS経由に集約させ、ログをより統合的に管理できるようになります。
機能を正しく理解し、最適なIDaaS選択を
現在、各社から多数のIDaaS製品が提供されていますが、「どの製品を選ぶのが最適か」は、「各企業が必要とする機能やコスト感」により異なります。また、機能一覧には出てこない点として、「サポートの品質やレスポンスの早さ」「使い勝手の良さ」「対応するSaaSの多さ」「日本語化・日本語対応」などがあります。
!Tips!
最も注意すべきことは自社で使うSaaS/クラウドサービスに標準で対応していることではないでしょうか?
IDaaSベンダーが頑張ってくれれば、自分たちでカスタマイズする作業が不要になるのです。こんな良いことはありません。
また、社内WEBシステムなどの独自アプリにも対応可能かどうかは、利用の幅が広がるという意味でも確認しておくべきでしょう。
使う機能を明らかにした上で、ニーズに合う製品を複数選択し、そして大抵のサービスはトライアル期間があるので実際に使用して評価することで「自社にとっての最適な製品」を選択してください。
次回はIDaaSと言えば、この機能!とお答えいただけるであろう、SSOについて解説いたします。
中山 ゆか(なかやま ゆか)
GMOグローバルサイン株式会社
トラスト・ログイン事業部 部長
GMOグローバルサイン新規事業部としてサービスの立ち上げを行う。
~全てのログインを簡単でセキュアに~をミッションに日々進化する
「トラスト・ログイン」で企業の成長を止めない環境づくりを目指す。
<バックナンバー>