IDaaSとは? ゼロトラストの考え方と共に概要や導入メリットを解説
業務システムのクラウド化が進むと、数多くあるサービスの認証管理が煩雑化する問題が生じます。そこでIDaaSを利用すれば、これらの認証情報を一括管理できます。
本記事では、IDaaSの概要や、導入するメリット・デメリットについて紹介します。
また、IDaaSを導入することで、可能になることや特徴的な機能もあわせて説明していきます。
IDaaSとは?
テレワークが認知され、人々の働き方が変わりつつある昨今、社内のシステムを自社サーバーから社外のクラウドサービスに移行する企業が増えています。
そのような状況で、社員が利用するサービスの数が増加するにつれ、煩雑化していくIDの管理に、頭を痛めている担当者は多いことでしょう。
そこで、IDaaSを導入することにより、この問題の解決が見込めます。ここでは、IDaaSの概要と、その基本的なセキュリティの概念であるゼロトラストについて紹介します。
SaaSとの違いは? IDaaSの概要
IDaaSとは、「Identity as a Service」の略語で、「アイディーアーズ」または「アイダーズ」と読みます。
IDaaSは多種多様なクラウドサービスのIDを連携して、管理を一元化するクラウドサービスであり、認証基盤の構築を目的とします。
認証基盤を構築するにあたり、セキュリティ上の問題は無視できません。認証情報を一元管理していると、管理データベースへの不正アクセスから、サービスを通して企業が利用する情報を全て抜き取られるリスクがあります。
IDaaSでは、基本的にゼロトラストの概念によるセキュリティ管理で情報漏えいのリスクを低減させます。なお、ゼロトラストについては、次項で解説します。
クラウドサービスには、SaaS(Software as a Service)というシステムも存在します。
SaaSとは、クラウドを経由してシステムを必要な分だけ利用できるようにした仕組みのことで、クラウドサーバー上のソフトウェアをインターネット経由で利用者に提供するサービスを指します。
IDaaSはSaaSの一種であり、IDの管理機能に特化させたものがIDaaSと言えます。逆説的に言えば、SaaSはIDaaSを含む、より広い範囲のサービスを示すため、両者は対応するサービス・機能の範囲に違いがあります。
IDaaSは、IT技術の進歩や働き方改革などによる業務効率化という世の中の流れによって、近年その需要が高まっています。
従来のネットワークと異なる「ゼロトラスト」とは
従来型のセキュリティは、基本的に社内のみで扱われるネットワークは安全(信頼できる)という前提に基づいています。
しかし、近年浸透しつつあるクラウドサーバーを利用した社内システムにおいては、公共のインターネット回線を用いて他社のサーバーを利用するため、従来型のセキュリティ対策では不十分です。
ゼロトラストネットワークは、過去に接続したことのあるデバイスや回線を含む全てのアクセスを信頼できないという前提に基づき、アクセスの度に対策を講じる方式を取ります。
具体的には、多要素認証や通信の暗号化を行うとともに、使用中の全デバイスを対象にトラフィックを検査し、ログを取得するといった対策を講じます。
IDaaSは認証を一元化する都合、十分なセキュリティ対策がなければ管理を属人化させる以上のリスクを抱えかねません。
ゼロトラストによる強固な対策を行うことで、一元化を実現させたのがIDaaSのクラウドサービスなのです。
IDaaS導入のメリット、デメリットとは
IDaaSの導入により、管理業務の効率化といったメリットが得られる一方で、いくつかのデメリットもあります。両面からIDaaSの特徴を把握したうえで、導入を検討しましょう。
IDaaS導入のメリット
IDaaS導入の主なメリットとしては、次の3つがあります。
1つ目のメリットは、IDの一元管理やシングルサインオン(SSO)によって、サービスの利便性が向上することです。なお、SSOの概要については後述します。
2つ目のメリットは、システム管理者の負担が軽減されることです。IDの連携や一元管理が可能になると、これまでシステムやサービスごとに行っていた管理作業が、全てを網羅して一括して行えるようになります。
また、システムのメンテナンスはIDaaSサービスの提供会社が行うため、自社で認証基盤を構築する場合と比較して、システム管理者が行う管理・運用業務を大幅に削減できます。
担当者の負担が軽減することで、そのぶんリソースの削減や、コア業務へ集中できることによる生産性の向上が見込めるでしょう。
3つ目のメリットは、IDaaSのゼロトラストセキュリティにより、従業員の自宅や外出先といった多様な社外環境による業務で、セキュリティリスクが回避されることです。
高度な認証方式を利用し、不正アクセスからシステムが守れるため、リモートワークを導入する際にIDaaSを活用することで、安全かつ円滑にリモート化を進められます。
IDaaS導入のデメリット
以上のように、メリットの大きなIDaaSですが、その一方でデメリットも存在します。主なデメリットとして考えられるのは次の3つです。
1つ目のデメリットは、想定以上のコストがかかる可能性があることです。
IDaaSサービスの価格設定は、製品によって異なるので、導入前に検討中の製品について比較表などをよく調べて、費用が予算内におさまることを確認しましょう。サービスによっては、維持費用だけでなく、多額の初期投資を必要とするものもあります。
また、サブスクリプションのサービスについては、利用者数に対して定額で課金される料金プランを取るサービスが多いので、従業員数が多い企業では相応の費用がかかることになるでしょう。
さらに、IDaaSサービスは、利用する機能によっても価格が大きく変わってきます。予算に対して導入・維持コストがかかりすぎる場合には、最低限の機能に絞って費用を抑えることも考えなければなりません。
IDaaSを検討する際には、無料トライアルに対応したIDaaSのサービスもあるので、試用して使い勝手を確認してみるとよいでしょう。機能面で過不足のないサービスであれば、相応のコストがかかっても高いパフォーマンスの向上が見込めるため、費用対効果を見据えて選ぶことが重要です。
2つ目のデメリットは、相性次第によって現在社内で利用している既存システムとの連携ができない場合があることです。IDaaSは、必ずしも全てのシステム・サービスとの連携に対応しているとは限りません。
もし、導入後に連携できないサービスが見つかれば、管理コストの効果的な削減は見込めないでしょう。そのような事態に陥らないために、導入前に、利用している全サービスが連携できるかどうかを調査し、確認しておく必要があります。
3つ目のデメリットは、システム障害などのトラブルが発生した場合に、トラブル対応をサービス提供企業へ依存することです。障害が起こった際には解消までどの程度の時間がかかるかといった見通しを立てにくく、その間の業務がストップすることで、自社が大きな損失を被ることもあるでしょう。
したがって、IDaaSを導入するのであれば、システムが長時間利用できなくなる、万が一の事態を想定して、事前に対策を考えておく必要があります。
サービスを利用することは、自社の重要な認証情報を他社に委託することであり、問い合わせに迅速に対応できるかといった面から信頼性をはかることも重要です。
IDaaS導入でできることとは
IDaaS導入で可能なことは、主に3つあります。以下で、1つずつ説明していきます。
シングルサインオン(SSO)
IDaaSの機能の1つとして、SSOを行えるようになります。
SSOとは、一回の認証で連携済みのシステム全てを使える仕組みを指します。したがって、1度ユーザー認証をすれば、次回以降は認証なしで、あらゆる連携済みのサービスにログインできるようになります。
IDaaSは、クラウドサービスに限らず、オンプレミス環境下のシステムにおいても、SSOに対応しています。つまり、その企業が保有する設備で運用する社内業務システムについても、IDaaSのIDパスワードを覚えるだけで、各アプリケーションにログインできる認証機能を実現できます。
SSO機能が優れている点は、利用しているシステムやサービスの数だけ存在するIDとパスワードをその都度入力する手間が省けることです。さらに、サービスごとに要する担当者のサポート作業が軽減され、社内全体の業務効率化にもつながるでしょう。
また、管理者が各従業員にSSOの認証情報だけを伝え、個々のシステムやサービスについての認証情報は、管理者以外に漏れないように運用することが可能です。
SSO機能を活用すれば、従業員が認証のためにIDとパスワードの入力に手間取ったり、それを解消するためにあらゆるサービスで同じパスワードを設定したりといったことで起きるセキュリティリスクを抱えることがありません。
ID、パスワードの一元管理
IDaaSの導入により、ID、パスワードの一元管理が実現します。
従来は、従業員一人ひとりに任せていたIDやパスワードの管理を、従業員全員分の膨大なIDやパスワードをまとめて一元管理できるようにしたのが、IDaaSにおけるIDの管理、連携機能です。
認証情報の管理者は、従業員の退職や人事異動の度に、全ての業務システムに対して、アクセス権限の設定を変更したり、アカウントを削除する必要があります。そこで、IDaaSを導入すれば、それらの工数が削減され、管理者はもっと有効に時間を使えるようになるでしょう。
セキュリティの強化
3つ目は、セキュリティの強化です。
ゼロトラストを採用しているIDaaSの中には、多要素認証のような高度な認証方法を用いることによって、セキュリティを強化したサービスがあります。
多要素認証とは、複数の認証情報を組み合わせた認証方法で、例えば、知識情報であるパスワードに、スマートフォンなどの所持情報や指紋などの生体情報をプラスして認証する方法です。
多要素認証の一種である二要素認証とよく混同される認証方法に、二段階認証というものがありますが、これは2種類の知識情報、例えば、パスワードと秘密の質問への答えを組み合わせて認証する方法であり、わずかに意味が異なります。
基本的には二段階認証よりも二要素認証の方が安全性が高いと考えられており、IDaaSに用いられている多要素認証は、優れたセキュリティ対策であると言えるでしょう。
また、IDaaSのSSO機能を用いて、ID、パスワードの管理を個々の従業員任せにせず、管理者が集中管理することで、セキュリティリスクを減らすことが可能となります。
さらに、管理者は、認証・認可の機能で使用している端末や場所など、管理者が設定した条件でアクセスに制限をかけるアクセスコントロール機能を利用でき、監査の機能で、ログを取得することもできます。
管理者は取得したログから、各従業員についてサービスの利用状況やパスワードの変更履歴を確認し、それをシステムの運用が適切かどうかの判断材料に用いることができるでしょう。
IDaaSの特徴的な機能2点
IDaaSには、IDフェデレーションとIDプロビジョニングという2つの特徴的な機能があります。以下に、各々について簡単に説明します。
IDフェデレーション
IDフェデレーションは、ID連携とも呼ばれ、各システム間でIDを連携させる機能を指します。利用者は、IDaaSのIDフェデレーション機能を用いて、一度認証をしてしまえば、連携がとれているシステム間であれば、再度認証画面を表示する必要がなく、どのシステムでもシームレスに利用することができるようになります。
IDプロビジョニング
IDプロビジョニングは、複数のIDの間で整合性を取り、自動管理する機能です。IDを追加することで、自動的に連携サービスが使用できるようになります。
また、従業員の入れ替えなどが起こる状況では、一つのIDを削除するだけで全ての連携サービスが使用できない状態にできるため、管理の手間がほとんどかからず、セキュリティリスクが大幅に低減されます。
IDaaSを導入することで、ID連携済みのシステムやサービスを一括して管理できます。
従業員はIDとパスワードの組を1つ覚えるだけで、再認証せずにそれら全てを利用できる機能もあります。また、サービス認証のための管理業務が大幅に削減できるため、システムの管理に割いていたリソースをコア業務に集中できるようになるといったメリットがあります。
ただし、サービスによってはIDaaSの連携が対応できない場合があるので、事前に必要な機能を備えているかどうかを確認してから、導入を決めましょう。