平川陽大 
Contents
ID管理とは
ID管理とは、システムを利用する適切な人にIDを発行して利用者の職務や職権に応じたシステム権限を付与し、現実とシステム内の情報に誤りがないように保つことです。システム権限を適切に付与するというのは、例えば営業部門の人にシステムを使える権限を割り当て、営業部の部長だけには営業部門に所属している人のデータを見られるようにすることです。情報に誤りがないように保つというのは、人事異動などに応じてIDや権限を変更・削除し適切な人に適切なIDが割り当てられている状態を維持することです。
ID管理についてより詳しくはこちらの記事をご覧ください。
「ID管理とは?メリットやシステム選定ポイントをわかりやすく解説」
ID管理の問題点
ID情報の増加・管理の煩雑化
近年クラウドサービスの使用増加や企業のDXによるシステム更改、刷新など新しい業務システムを利用する機会が増えています。このことは総務省のレポートではクラウドサービスを利用している企業は2019年に前年から6.0ポイント上昇して64.7%に増加していることからもわかります。これに伴いIDやパスワードも増加し、その管理が煩雑になっているという課題を持っている企業も多くなっています。
出典:『総務省|令和2年版 情報通信白書|企業におけるクラウドサービスの利用動向』
人事異動、新卒社員入社等の際の工数
上述の通り利用するシステムが増加すると面倒になるのはIDの管理だけではなくその運用も工数がかかります。特に新入社員が入社する季節や人事異動の際には社員のID情報の変更、追加が必要になります。ここに手間がかかってしまっているため自動化したいという企業からもよくお問い合わせがあります。
退職者のIDが残っている
企業は重要な情報を扱っているためその取り扱いには慎重になる必要があります。IPAが行った調査によると、情報漏洩のルートは退職者による情報漏洩が最多になっています。ここからもわかるように退職者が現在の情報にアクセスできないようにすることは情報漏洩リスクを減らすための大事な対策です。
出典:IPA「企業における営業秘密管理に関する実態調査2020」報告書について
ID管理システムを選ぶ際のポイント
ID管理システムクラウドサービスとしてOktaやOneLoginという海外製品が、オンプレミスの製品としてLDAPManagerが有名です。そしてID管理機能を国産のクラウドサービスで提供するKeyspiderなど多くのベンダーが提供しています。それぞれに特徴があるので、現在の課題に合わせてどの製品を導入するかを決めることをお勧めします。
対応できるシステム
ID管理は一元で管理できることにメリットがあるので、システムの中で対応ができていないものがあると最大限にID管理システムを生かすことができません。対応できるシステムにはクラウドに対応できるか、オンプレに対応できるかだけではなく、LDAP、CSVなど幅広い方法でユーザフェデレーションを実現できるかを考慮に入れるべきです。
属性の柔軟性
ID管理システムは特にクラウドサービスとして提供されているものの場合海外製が多いです。海外と日本では組織体制が違うことからユーザのグループや属性が日本のものと合わない場合があります。どのようにIDを管理したいのかを明確にしてからその運用を実現できるサービスかが選ぶ際の重要な点になります。
内部監査への対応
退職者のIDが残っていないかなどID情報が正しく付与されているか確認することが手順に落ちていることが内部監査へ大事なポイントになります。まず、課題としてID管理システムで内部監査への対応をする必要があるのか、あった場合には導入を検討する際に実現できる機能があるかを確認するべきです。
提供形態
システムの提供形態は基本的にオンプレミスとクラウドサービスに分けられます。ID管理システムも同様にこの2パターンが考えられます。基本的にはサーバの管理、運用の負担があるが自社でもカスタマイズの柔軟性がきくオンプレミスか、運用上の負荷が少ないクラウドサービスにするかのどちらかになります。
コストパフォーマンス
かかる費用には主にライセンス料+保守費用と1ID/x円の場合があります。利用IDが多い場合にはライセンス費用+保守費用かID数無制限の製品のほうがコストパフォーマンスは高くなると考えられます。一方でそこまで多くないID数ですと1ID/x円といった費用形態のほうがより好ましいです。費用に関してはID数によってはベンダーが公開しているものよりも安くなる場合もあるのでとりあえず問い合わせてみることをお勧めします。
ID管理製品とその特長
LDAP Manager
LDAPManagerとはエクスジェン・ネットワークス社が2002年にリリースした統合ID管理システムです。700社以上の導入実績がある日本におけるID管理システムのデファクトスタンダード的立ち位置の製品です。
Okta
Oktaは2009年にアメリカで創業された会社が提供するサービスで2020年に日本法人も設立し、日本進出にも力を入れています。ガートナーが発表する「2020年アクセス管理部門マジック・クアドラント」において、リーダーを獲得し、4年連続リーダーとして選ばれています。
OneLogin
OneLoginもOkta同様にガートナーが発表するアクセス管理部門マジック・クアドラントにおいてリーダーを獲得している世界で実績があるサービスです。先日One Identityによって買収が完了したと発表され、今後さらなる発展が期待されます。
Keyspider
KeyspiderはKeyspiderLLCが提供しているID管理クラウドサービスです。IDaaSと呼ばれる製品とは異なり、ID管理にのみ焦点を当てた国産クラウドサービスは現時点ではKeyspiderのみです。ID管理に関する機能のみを実装したシンプルな機能を備えほかのサービスに比べて安価で提供しています。
詳しい製品紹介は、以下のページをご覧ください。
solution.kamome-e.com各ID管理製品の機能比較
| LDAP Manager | Okta | OneLogin | Keyspider | |
|---|---|---|---|---|
| データ取り込み | ○ | ○ | ○ | ○ |
| 監査証跡 | ○ | ○ | ○ | ○ |
| 属性マッピング | ○ | ○ | ○ | ○ |
| IDプロビジョニング※1 | ○ | △ | △ | ◎ |
| IDライフサイクル管理 | ○ | ○ | × | 開発中 |
| 提供形態 | オンプレ | クラウド | クラウド | クラウド |
※1 IDプロビジョニング機能に関してOktaはSCIMに対応していないオンプレミス製品の場合SDKを用いて開発の必要があるため△としています。OneLoginはSCIMに対応しているものやADなどプロビジョニングに対応しているシステムが限定的であるため△になっています。一方でKeyspiderはSCIMやCSVなど一般的な方法に対応していない場合でも独自のRPAサーバを利用してプロビジョニングが可能なため◎としています。
まとめ
LDAP Manager
LDAP Managerはオンプレミスとして提供されるため導入の際のシステムインテグレーションによるカスタマイズが可能であるという柔軟性がある一方でサーバの運用・保守というコストもついてきます。しかし、機能比較の表からもわかるようにID管理に必要な機能をほとんど持ち合わせているといえます。高機能なID管理製品を自社内で完結させてコストも十二分にかけれるといった企業は検討してみるといいかもしれません。
Okta
Oktaも機能比較からわかるように多くのID管理機能を備えています。さらにOktaはIDaaSと呼ばれ、認証基盤の役割も果たすことができます。認証・認可に関して高機能なクラウドサービスを探しているのであればOktaが適しています。一方でOktaはそれぞれの機能ごとにコストが増えていくという費用形態のためID管理だけをシンプルに行いたいといった場合にはコストパフォーマンスが悪い場合があります。
OneLogin
OneloginはID管理システムとしての機能は他と比べるとそこまで充実しているわけではないです。しかしながら、RADIUSサーバ機能やアクセス制限機能など認証基盤としての機能が充実しています。IDaaSの導入を検討している方でクラウドサービスのID管理がしたいと考えている方には適していると考えられます。
Keyspider
KeyspiderはID管理のみに焦点を当てたサービスのため比較表でも機能が多いことがわかります。加えてお客様の要望を反映して機能開発も行っているためID管理サービスとしての機能はさらに拡充していく予定です。コストも認証基盤としての機能を省いている分OktaやOneloginなどIDaaSと呼ばれるものに比べて安価に提供しています。セキュリティ確保、業務効率化のためにとりあえずID管理をしたいといった方は、Keyspiderから検討することがお勧めです。ぜひお問い合わせください。
また、ID管理に関してどういった点から検討すればいいのかわからないという方も下記フォームからご相談ください。
Keyspiderパンフレットをダウンロードする
事業・商品・サービスに関するお問い合わせ
製品に関するお問い合わせはこちら
※フリーメールでのお問い合わせは受け付けておりません。