近年、「クラウドファースト」の方針の下、認証基盤もクラウドで実装したいという企業が増えており、IDaaS（読み方：アイダース）が注目されています。しかし、導入する前に、IDaaSにどのような機能があるか、どんなメリット・デメリットがあるかについてしっかりとした認識を持っておく必要があります。そこで、本記事では、IDaaSの概要やメリット、デメリットを解説いたします。

※2020年12月25日に投稿した記事を再編集しております。

IDaaSとは

IDaaS（読み方：アイダース）はIdentity as a Serviceの略で、シングルサインオンやID管理の機能をクラウドサービスとして提供するものです。多数のクラウド・オンプレミス上のシステムに対するID情報やアクセス権限などをクラウドにて一元管理し、さらに多要素認証などでセキュリティを強化しています。有名なIDaaSとしては、グローバルではOkta、OneLoginなどが大きなシェアを占めています。国産のIDaaSとしては、トラスト・ログインやIIJ ID、HENNGE Oneなどがあります。また、Microsoft Entra ID（旧Azure AD）もIDaaSとしての機能を備えています。

SSOについて詳しくはこちらの記事をご覧ください。
「シングルサインオン(SSO)とは何か？」今さら訊けないSSOの解説

Microsoft Entra ID（旧Azure AD）でのSSOについてはこちらの記事をご覧ください。
「Microsoft Entra ID（旧Azure AD）でSSOを実現するメリットや課題とは」

IDaaS登場の背景

従来、ID管理やSSOをActive Directory（AD）で行っているところが多くありました。しかし、近年のクラウドサービスの普及や働き方改革によるテレワーク、リモートワークの推奨などにより、社外から社内のシステムにアクセスすることや、社外のネットワーク上にあるシステムを使用する機会が増えました。その結果、自社ドメイン内のシステムだけを管理するADではカバーしきれなくなり、IDaaSが注目されるようになりました。
また、近年言及されているゼロトラストに関しても認証は大事な要素の一つで、境界線防御から外れた認証基盤として注目されているため、IDaaSは今後も市場を拡大していくと見られています。

ゼロトラストについて詳しくはこちらの記事をご覧ください。
「ゼロトラストモデルとは」

IDaaSで解決できる課題

IDaaSを導入することによって解決できる課題を解説いたします。ただし、利用するIDaaSによっては、下記課題全てを満たせない場合があります。

システム管理者の手間が多い

従来、システム管理者はパスワードがリセットされるときの問い合わせ先として時間を取られることや、社員の入退社時のアカウント作成/削除や権限付与をシステムごとに行っていたことで手間となってしまっていました。
IDaaSを導入することで、複数のIDやパスワードを覚える必要がなくなることによるヘルプデスクへの問い合わせ減少、システム間でのID情報を連携させることによる、システムごとの作業工数削減が見込めます。

システム利用者がID/パスワードを覚えられない

最近ではクラウドサービスの利用を第一に考えることが多くなっており、利用するシステム数も増加しています。このような状況において、利用者はIDやパスワードを覚えられず、ログインに時間がかかってしまう場合があります。例えば、従業員1000人の企業で1日10回ログイン、1回のログインに10秒かかっていたとすると、1年間で約7400時間をログインのみに充てていることになります。IDaaSを導入することでこの時間を大幅に削減することができます。

セキュリティリスクが心配

現在、IDやパスワードを手書きのメモやExcel上で管理しているなどの方がまだ多くいらっしゃいます。SSOを活用できれば、そもそも従業員にIDaaS以外のID/パスワードを知らせずにシステムを利用してもらうこともできます。また、IDaaSがFIDO2などの生体認証規格に合致していれば、利用者にすべてのID/パスワードを知らせずにシステムを利用してもらうことができます。このようにIDaaSの運用によってセキュリティを改善させることができます。

FIDO2についてはこちらの記事をご覧ください。
FIDOとは？従来の認証手法との違いを解説

ID/パスワード管理がばらばら

前述のとおり、IDやパスワードの管理をADで行っていた場合、クラウドサービスのID/パスワードはそれぞれで管理しなければなりませんでした。IDaaSを活用することでこれらを統合して管理をすることができます。

ID管理の重要性についてはこちらの記事をご覧ください。
「ID管理とは？メリットやシステム選定ポイントをわかりやすく解説」

IDaaSの機能

それでは、実際の機能について詳しく解説します。ただし、利用するIDaaSによっては下記機能が備わっていない場合があります。

フェデレーション認証（SSO)

フェデレーション認証とは異なるドメイン間におけるSSOを実現するための認証方式です。IDaaSでは企業向けクラウドサービスとの連携を重視しているため、SAMLによるフェデレーション認証を実現している場合がほとんどです。代理認証など、その他の認証方式に対応しているかはIDaaSによって異なります。

SAMLについて詳しくは以下の記事をご覧ください。
SSOの実現に必要な「SAML」とは？

多要素認証

IDaaSにログインできれば、他システムにもログインできるようになるというメリットは一方で、不正アクセス者にIDaaSにログインされてしまったらすべてのシステムにも不正にアクセスができることになります。この事態を避けるために、「クライアント証明書を持っていないデバイスからはアクセスできない」などの多要素認証をIDaaSのログインに要求することでセキュリティの向上を図ることができます。

多要素認証について詳しくはこちらの記事をご覧ください。
「多要素認証（MFA）とは｜メリット、デメリットについて解説」

外部IdP連携

外部IdP連携とはIDaaSとは異なる認証基盤で使用しているID/パスワードでIDaaSにもログインできるように連携させる機能のことです。ソーシャル連携などと呼ばれることもあります。企業で使用する外部IdPとしてはGoogleWorkspaceやMicrosoft365がよく使われます。

AD/LDAP連携

IDaaSでSSOを実現する際にはIdPでID情報を管理する場合がほとんどです。しかしながら、一からIDaaSに社員のID情報を入力していくのは時間と手間がかかります。そこで、ADなどのディレクトリサービスで管理されている社員のID情報をIDaaSに同期させることで簡単にSSOを実現します。また、AD連携といった場合には、ADのID/パスワードでIDaaSにログインできることを指すこともあります。

ID・アクセス管理

ユーザーIDの割り当て、変更、削除などID情報による認可を担う機能です。特に、営業部、総務部などの組織と、役員、部長などの役職によってロール分けをしてデータの閲覧権限やシステムの管理権限などを割り当てることができます。

ID管理については、こちらの記事をご覧ください。
ID管理とは？メリットやシステム選定ポイントをわかりやすく解説

ユーザープロビジョニング

ユーザープロビジョニングは、アクセス管理で変更したID情報をほかのシステムに同期させる機能のことです。この機能がなければ、システムが10個あった場合、10個のシステムそれぞれでID情報を変更しなければいけません。プロビジョニング機能はシステム間のID情報を同期させることができるのでこの作業を大幅に減らすことができます。

ログ機能

各システムへのアクセスログがIDaaSから取得できます。したがって管理者や利用者のアクセス状況や履歴が参照できるようになり、エラーが起きた際などにどこが原因だったのかなどがわかりやすくなります。

IDaaSのメリット

IDaaSの概要や機能などを見てきました。そこで、具体的なメリットについてみていきましょう。

初期費用が安く済む

IDaaSはSaaSの一種なので社内にサーバーを用意する必要がありません。さらに、オンプレのシステムを設置するよりも工数が少なく、導入の際に必要な初期費用はオンプレのSSO製品と比べると抑えることができます。

導入がスムーズ

クラウドサービスとして利用できるので、サーバーにソフトウェアをインストールするなどの手間がなく、利用者の追加や認証の連携の確認が取れたらすぐに使用を開始できます。導入の実例でも2か月程度で実際の運用まで進むケースがあります。

運用が簡単

SaaSとして提供されているため、OSのアップデートやサーバーの保守・点検などが必要ありません。したがって、運用負荷が非常に低い状態で利用できます。

IDaaSの注意点・デメリット

対応していない認証方式

IDaaSではクラウドサービスのSSOに主眼を置いているため、SAMLによるフェデレーション認証にしか対応していないことが多くあります。このようなIDaaSでは、連携するシステムがSAMLに対応していない古いものの場合、そのシステムをSSO環境に組み込めなくなってしまいます。

SSOの認証方式について詳しくは以下の記事をご覧ください。
「SSOの仕組みと認証方式を解説」

プロビジョニング機能が足りない

利用者情報を各システムへ同期させるプロビジョニング機能は、多くのIDaaSにおいてSCIMというプロトコルのみ対応しています。SCIMはクラウドサービスのID情報連携のためのプロトコルとして近年普及し始めたもののため、オンプレシステムのほとんどは対応していません。また、クラウドサービスでもSCIMに対応しているものはごく一部です。したがって、IDaaSのプロビジョニング機能だけでは、全システムのID情報連携を自動化できないと言えるでしょう。

SCIMについて詳しくはこちらの記事をご覧ください。
「ID管理に必要なSCIMとは？」

ライセンス形態

IDaaSではライセンス形態として、月額○○円/1IDというものが一般的です。このような価格体系の場合には利用者数が多くなれば金額が膨れ上がってしまいます。また、オプションで機能を増やすためには、追加で月○○円/1IDという課金制をとっているIDaaSも多いため、自社で必要とする機能を考え、ユーザー数もしっかりと計算した上で、月額・年額でいくらかかるかよく調べることが必要です。

オンプレ基盤のSSOで費用を抑えたい方はこちらをご覧ください。
SSOソリューション「KAMOME SSO」

まとめ

本記事では、IDaaSの概要や機能、メリットやデメリットを解説してきました。IDaaSを導入するには、自社のシステムがどの認証方式ならSSO環境に組み込めるのか、特に社内システムがSAMLに対応していない場合にどのようにすればよいかなど、問題が生じることがあります。予め把握しておく必要があるといえるでしょう。
IDaaSに限らず、SSOを導入するには技術とノウハウを備えたインテグレーターやベンダーを活用することが重要です。かもめエンジニアリングは豊富な実績とノウハウで企業のSSO導入をお手伝いしています。IDaaSとしてGMOトラスト・ログインを取り扱っております。また、IDaaSとの親和性が高いSAML対応化ツールKeygatewayT1やID管理クラウドサービスKeyspiderを提供しており、IDaaSを利用する上での課題を解決することも可能です。ご興味ございましたら、お気軽に下記フォームよりお問い合わせください。