IDaaSとは
IDaaS(アイディーアース、アイダース)とは「Identity as a Service」の略称であり、様々なサービスのログインを集約管理するクラウドサービスです。ユーザーID管理、多要素認証、シングルサインオン (SSO)、アクセスコントロールなどが主要機能として提供されます。
IDaaSが必要になった背景
テレワークが急速に広がりを見せる中で、業務システムとして複数のクラウドサービスを使用することが一般的になりました。グループウェアやチャット、ERP、SFA、契約書、見積書、会計業務の管理など、様々な業務システムのクラウドシフトが着実に進んでいます。
複数のクラウドサービスを使用する場合は、サービス毎にアカウントが作られ、それぞれのサービスに対するログイン作業が必要です。このような状況は、単純に「面倒」ということだけではなく、セキュリティの観点からもパスワードの使いまわしを誘発してしまう懸念があり推奨できるものではありません。また、サービス毎にセキュリティポリシーがバラバラで、一貫したITセキュリティを適用して運用するのが難しくなってしまうのも問題です。
このような背景があり、複数の業務システムの入口を統合管理する仕組みが求められるようになりました。この役目を担うのがまさにIDaaSです。
ゼロトラストセキュリティとの関係
IDaaSの説明にはゼロトラストセキュリティの考え方が必要です。ゼロトラストセキュリティは、リモートアクセスやテレワークシステムの本格導入に伴って露呈したセキュリティの課題に対して提唱された新たなセキュリティモデルです。
従来であれば「社内ネットワークからのアクセスであれば信用する」というセキュリティ対策が一般的でしたが、クラウドサービスの利用に伴い、これまでの対策だけではセキュリティの担保が困難になりました。ゼロトラストセキュリティは社内、社外どちらのネットワークからのアクセスも等しく「信用しない、常に検証を行う」という特徴を持ちます。
このゼロトラストセキュリティを導入するにあたり、その根幹となる対策が認証管理・ID管理・アクセス制御・ログ管理であり、これらを一元管理するのが「IDaaS」という位置づけです。
IDaaSの認証方法について
IDaaSにおけるシングルサインオンは、主にSAMLと呼ばれる技術仕様が使われます。次の図のようにクラウドサービスと連動してログインを自動化しています。
IDaaSのメリット、デメリット
IDaaSのメリット
1. シングルサインオンによる業務効率UP
ユーザーはIDaaSにユーザーID、パスワードを入力してログインするだけで他の業務サービスへもそのままログインした状態で使えるようになります。何度もパスワード入力をせずともよくなるうえ、サービス毎にパスワード変更をしたり、パスワードを覚え直したりする必要もなくなります。これにより、パスワード忘れやそのサポートなど、ログインに関連して費やしていた時間を本来の業務に回すことができ業務効率が上がります。
2. システム運用管理部門の負担軽減
システム運用管理者は、IDaaS上で各業務システムを利用するユーザーを作成、編集、削除することができるようになります。従業員の入社、退社、異動時に行う各業務システムのユーザー管理作業が必要なくなるため業務効率が上がります。
3. サーバーの運用管理の負担軽減
サービス提供会社がサーバーの管理を行うため、システム運用管理者はサーバーの設計や構築、ハードウェアの定期的な更改、IPアドレスやサーバー証明書の管理、OSやソフトウェアのパッチ更新やアップデート作業、障害が発生した場合の緊急対応などが一切なくなります。浮いた時間を攻めのIT施策や新たな取り組みに使うことができます。
4. セキュリティの管理・強化が簡単
IDaaSでは、ワンタイムパスワード、多要素認証、IPアドレス制限、端末認証といった強固な認証を簡単に導入することができます。
また、ログインに使用する認証方式や、何回間違えたらロックアウトするかなど、セキュリティポリシーを統合的に管理することが可能です。
IDaaSのデメリット
1. 連携できる業務システムは限られている
IDaaSは、全てのクラウドサービスと連携できるわけではありません。基本的にはSaaS型のクラウドサービスが対象になります。しかし、IDaaSの中にはVPNやVDIと連携するためのプロトコル(RADIUS)に対応していたり、Windowsログイン時の認証強化に使えたりするものもあります。自社が使っているシステムと相性が良いIDaaSを見極めることが重要です。
2. コストが発生する
サービス提供会社がサーバーの管理を行うため、利用企業は利用料金を支払ってIDaaSを利用することになります。サーバーやOSなどの調達、設計、構築、定期的なメンテナンス、サーバー更改の準備、障害対応、サポート対応など、オンプレミスのシステムではシステム運用管理者の膨大な工数が発生していましたが、それらの費用と比較しても導入するに値するサービスになっています。浮いた時間は、新たな取り組みに使うことができますので、デメリットよりもメリットの方が大きく上回ると感じていただけるのではないでしょうか。
3. プライベートクラウドが選べない
IDaaSはSaaSの一種となるので、通常はひとつの環境を不特定多数のユーザーでシェアすることになります。企業によっては、ログインのための認証サーバーに自社のデータと他社のデータが混在する形をNGとする場合があります。IDaaSの中には複数の企業を収容するサービスとは別に、各企業が契約しているAWSやAzure上に展開して自社専用のサービスとして利用できる製品もあります。
守るべきセキュリティガイドラインと照らし合わせながらサービスを選定されることをお勧めします。
最後に
導入メリットが多いIDaaSですが、IDaaS自体のアカウントに不正アクセスされた場合、シングルサインオンによってその先にあるシステムに不正アクセスができてしまうため、IDaaSの認証はワンタイムパスワードなどの強固なログイン方式で保護しておかなければなりません。また、パソコンやスマートフォンなど多様なOS(Windows、MacOS、Linux)やデバイス(USB端子が無い、UCB-Cのみ)から利用するケースも今後さらに増えてきます。テレワーク中にはデバイスの配布が必要なく、サポートも極力ネットワーク経由で実現できるものが良いですよね。
導入の際には、テレワーク中の運用負荷のシミュレーションや適用範囲の広さ、マルチデバイス対応なども考慮し、検討を進めてみてはいかがでしょうか。
●ワンタイムパスワードや二要素認証が利用できるIDaaSサービスはこちら
https://passlogic.jp/cloud/
