ブログ

     

近年普及を見せるIDaaSとは

近年普及を見せるIDaaSとは

IDaaSとは

IDaaS(読み方:アイダース)とはIdentity as a serviceの略で、フェデレーション/シングルサインオンやID管理の機能をクラウドサービスとして提供するものです。多数のクラウド・オンプレミス上のシステムに対するID情報やアクセス権限などをクラウドにて一元管理し、さらに多要素認証などでセキュリティを強化します。近年、「クラウドファースト」の方針の下、認証基盤もクラウドで実装したいという企業が増えており、IDaaSが注目されています。IDaaSとしては、グローバルではOkta、OneLoginなどのシェア高く、国産のIDaaSとしては、トラスト・ログインや、IIJ IDがあります。また、AzureADもIDaaSとしての機能を一部備えています。

IDaaS製品「 トラスト・ログイン

SSOについて詳しくはこちらの記事をご参照ください。
「シングルサインオンとは何か?」今さら訊けないSSOの解説

ID管理について詳しくはこちらの記事をご参照ください。
あなたの会社は大丈夫?ID管理の重要性とは

IDaaS登場の背景

従来、ID管理やSSOをActive Directory(AD)で行っているところが多くありました。しかしながら、近年のクラウドサービスの普及や働き方改革によるテレワーク、リモートワークの推奨などにより、社外から社内のシステムにアクセスすることや、社外のネットワーク上にあるシステムを使用する機会が増えていることから、自社ドメイン内のシステムを管理するADだけではカバーしきれなくなり、IDaaSが注目されるようになりました。また、近年言及されているゼロトラストに関しても認証は大事な要素の一つで、境界線防御から外れた認証基盤として注目されているため、IDaaSは今後も市場を拡大させるとみられています。

IDaaSで解決できる課題

システム管理者の手間が多い

今まではシステム管理者はパスワードがリセットされるときの問い合わせ先として時間を取られることや、新入社員の入社の際のアカウント作成や権限付与をシステムごとに行っていたことで手間となってしまっていましたが、IDaaSを導入することで、複数のIDやパスワードを覚える必要がなくなることによるヘルプデスクへの問い合わせ減少、システム間でのID情報を連携させることによる、システムごとの作業の工数削減が見込めます。

システム利用者がID/パスワードを覚えられない

最近ではクラウドサービスの利用を第一に考えることが多くなっていることから、利用するシステム数も増加しています。このような状況において、利用者はIDやパスワードを覚えられずにログインに時間がかかってしまう場合があります。例えば、従業員1000人の企業で1日10回ログイン、1回のログインに10秒かかっていたとすると、一年間で約7400時間をログインのみに充てていることになります。IDaaSを導入することでこの時間を大幅に削減することができます。

セキュリティリスクが心配

現在、IDやパスワードをメモやExcel上で管理しているなどの方がまだ多くいらっしゃいます。SSOを活用できれば、そもそも社員の方にIDaaS以外のID/パスワードを知らせずにシステムを利用してもらうこともできます。また、IDaaSがFido2などの生体認証規格に合致していれば、利用者にすべてのID/パスワードを知らせずにシステムを利用してもらうことができます。このようにIDaaSの運用によってセキュリティを改善させることができます。

ID/パスワード管理がばらばら

前述のとおり、IDやパスワードの管理をADで行っていた場合、クラウドサービスのID/パスワードはそれぞれで管理しなければなりませんでした。IDaaSを活用することでこれらを統合して管理をすることができます。

※上記の解決できる課題は、利用するIDaaSによっては満たせない場合があります。

IDaaSの機能

フェデレーション認証(SSO)

フェデレーション認証とは異なるドメイン間におけるSSOを実現するための認証方式です。IDaaSではクラウドサービスとの連携を重視し、toB向けの製品が多いためSAMLによってフェデレーション認証を実現している場合がほとんどです。代理認証などのその他の認証方式に対応しているかはIDaaSによって異なります。

SAMLについて詳しくは以下の記事をご参照ください
SSOの実現に必要な「SAML」とは?

多要素認証

IDaaSにログインできればほかのシステムにもログインできるようになるというメリットは一方で、不正アクセス者にIDaaSにログインされてしまったらすべてのシステムにも不正にアクセスができることになります。この事態を避けるために、クライアント証明書を持っていないデバイスからはアクセスできないなどの多要素認証をIDaaSのログインには要求することでセキュリティの向上を図ることができます。

外部IdP連携

外部IdP連携とはIDaaSとは異なる認証基盤で使用しているID/パスワードでIDaaSにもログインできるように連携させる機能のことです。ソーシャル連携などと呼ばれることもあります。企業で使用する外部IdPとしてはGoogleワークプレイス(Gsuite)やMicrosoft365がよく使われます。

AD/LDAP連携

IDaaSでSSOを実現する際にはIdPでID情報を管理する場合がほとんどです。しかしながら、一からIDaaSに社員のID情報を入力していくのは時間と手間がかかります。そこで、ADなどのディレクトリサービスで管理されている社員のID情報をIDaaSに同期させることで簡単にSSOを実現します。また、AD連携といった場合には、ADのID/パスワードでIDaaSにログインできることを指すこともあります。

アクセス管理

ユーザーIDの割り当て、変更、削除などID情報による認可を担う機能です。特に、営業部、総務部などの組織と、役員、部長などの役職によってロール分けをしてデータの閲覧権限やシステムの管理権限などを割り当てることができます。

ユーザープロビジョニング

ユーザープロビジョニングは、アクセス管理で変更したID情報をほかのシステムに同期させる機能のことです。この機能がなければ、システムが10個あった場合、10個のシステムそれぞれでID情報を変更しなければいけません。プロビジョニング機能はシステム間のID情報を同期させることができるのでこの作業を大幅に減らすことができます。

ログ機能

各システムへのアクセスログがIDaaSから取得できます。したがって管理者や利用者のアクセス状況や履歴が参照できるようになり、エラーが起きた際などにどこが原因だったのかなどがわかりやすくなります。

※上記機能はIDaaSによっては備えてない場合があります。

IDaaSのメリット

初期費用が安く済む

IDaaSはSaaSの一種なので社内にサーバーを用意したりする必要がありません。またオンプレのシステムを設置するよりも工数が少なく、導入の際に必要な初期費用はオンプレのSSO製品と比べると抑えることができます。

導入がスムーズ

クラウドサービスとして利用できるので、サーバーにソフトウェアをインストールするなどの手間がなく、利用者の追加や認証の連携の確認が取れたらすぐに使用を開始できます。導入の実例でも2か月程度で実際の運用まで進むケースがあります。

運用が簡単

SaaSとして提供されているため、OSのアップデートやサーバーの保守・点検などが必要ありません。したがって、運用負荷が非常に低い状態で利用できます。

IDaaSの注意点

対応していない認証方式

IDaaSではクラウドサービスのSSOに主眼を置いているため、SAMLによるフェデレーション認証にしか対応していないことが多くあります。このようなIDaaSでは、連携するシステムがSAMLに対応していない古いものの場合、そのシステムをSSO環境に組み込めなくなってしまいます。

プロビジョニング機能が足りない

利用者情報を各システムへ同期させるプロビジョニング機能は、多くのIDaaSにおいてSCIMというプロトコルのみ対応しています。SCIMはクラウドサービスのID情報連携のためのプロトコルとして近年普及し始めたもののため、オンプレのシステムのほとんどは対応していません。したがって、IDaaSのプロビジョニング機能だけではすべてのシステムにおいてのID情報の連携が自動化できないケースが多いです。

➤ 多様なシステムに対応したID管理システム「Keyspider」についてはこちら … 「KAMOME SSO

ライセンス形態

IDaaSではライセンス形態として、○○円/1IDというものが一般的です。このような価格体系の場合には利用者数が多くなれば金額が膨れ上がってしまいます。また、オプションで機能を増やすためにはプラスで○○円/1IDという課金制をとっているIDaaSも多いため、自社で満たしたい機能を含んだ場合にはいくらになるのかよく調べることが必要です。

 

IDaaSを導入するには、自社のシステムがどの認証方式ならSSO環境に組み込めるのか、特に社内システムがSAMLに対応していない場合にどのようにすればよいかなど、問題が生じることがあります。SAMLに限らず、SSOを導入するには技術とノウハウを備えたインテグレーターやベンダーを活用することが重要です。かもめエンジニアリングは豊富な実績とノウハウで企業のSSO導入をお手伝いしています。

関連記事

ご相談・お問い合わせはこちらから

ご相談、資料のご請求など、お気軽にお問い合わせください。