クラウド全盛時代のID管理はどうあるべきか
ID管理を軸に考える「ゼロトラスト」、日本企業の事情も踏まえた最適な導入法は

働き方が多様化する中、いつ、どこで、誰がなどの要素に基づくセキュリティ対策が重要になっている。そこで注目すべきがID管理を中心とした「ゼロトラスト」だ。ただし部署の兼任や異動が頻繁な日本企業の導入時には、注意点が多いという。

新型コロナウイルス（COVID-19）の感染防止策としてテレワークが広がった。クラウドサービスの活用が当たり前となり、オフィスにいるときと同等の業務をオフィス外で実施できるようになったことも大きな後押しとなっている。これを機に働き方を問い直し、居住地を特定の地域に限定しない動きも生じている。

働きやすいだけではなく暮らしやすい場所に住むことで、従業員は自身のポテンシャルをフルに発揮して仕事ができるようになる。子育てのしやすさや、自然とともに生きる人間らしさを追求する上でも、住みやすい場所で働くことは重要だ。ただしテレワークを含めた多様な働き方を推進するには、セキュリティの課題を乗り越えなければならない。

働き方が大きく変わる中で必要性が高まっているのが、ID管理を中心としたゼロトラストだ。「いつ」「どこで」「誰が」などの要素に基づいてセキュリティを確保し、快適に仕事をするためには何が必要なのか。本稿は日本企業特有の事情も踏まえて、ゼロトラストを実現し、多様な働き方を実現するためのヒントを取り上げる。

ゼロトラストの根本は
「いつ、どこで、誰が何をしたか」の制御から

テレワークが広がりセキュリティ強化の必要性が高まる中で、ゼロトラストに関連する幅広い手法が注目されている。セキュリティのフレームワークであるSASE（Secure Access Service Edge）や、EDR（Endpoint Detection and Response）などのエンドポイントセキュリティツール、クラウドサービス利用のセキュリティを確保するCASB（Cloud Access Security Broker）などがその一例だ。本稿はゼロトラストを支える富士通とGMOグローバルサイン、かもめエンジニアリングの有識者から、必要な対策について聞く。

富士通株式会社
サービス企画開発部
部長小林伸隆

ゼロトラストにおける最も重要なポイントは「いつ、どこで、誰が何をしたかの証跡を取り、アクセスを適切に管理することです」と、富士通の小林伸隆氏（サービス企画開発部　部長）は指摘する。これまでのセキュリティ対策は、アクセス元やアクセス先のIPアドレス、あるいはURLに基づいて制御することが基本だった。ゼロトラストはそうではなく、「人と、人の行動をいかにひも付けて制御するかが大きなポイントになると考えています」と小林氏は話す。

これはクラウドサービスのセキュリティを考える上でも欠かせないポイントだ。企業のITシステムやデータはオンプレミスのデータセンターだけではなく、「Amazon Web Service」（AWS）や「Microsoft Azure」など、さまざまなクラウドサービスに広がっている。「誰が、どのクラウドサービスに、何のためにアクセスしたいのか。そしてそのアクセスは適切か、不適切かを判断し、不適切なアクセスは拒否するという処理を迅速に実施することが必要です」と小林氏は説明する。

こうした仕組みを支える基盤として不可欠なのが、ID管理だ。ID管理の領域では昔から、Microsoftの「Active Directory」などのツールを使い、組織などの属性情報に基づいて権限を制御してきた。ただし業務にさまざまなクラウドサービスを利用するようになり、働き方も多様化する今、強固なセキュリティを維持するためにIDやそのアクセスを一元管理する必要性はより増している。こうした変化を踏まえて富士通が提供するのが「FENICS CloudProtect IDプロバイダー・IDマネージャー」だ。

国産クラウドサービスも含め
6000個以上のサービスで利用可能な
「トラスト・ログイン byGMO」

FENICS CloudProtect IDプロバイダー・IDマネージャーは、GMOグローバルサインが提供するIDaaS（Identity as a Service）の「トラスト・ログイン」と、かもめエンジニアリングのID管理サービス「Keyspider」を組み合わせたサービスとなっている。富士通はこれらのサービスの導入を支援するテンプレートや、運用サポートを組み合わせて提供する。

トラスト・ログインは複数のクラウドサービスやオンプレミスのシステムへのユーザー認証をSSO（シングルサインオン）によって統合する。IDとパスワードだけでなく、ワンタイムパスワードなど複数の手段を組み合わせて強固な認証を実現する多要素認証（MFA）に加え、利用を許可するデバイスを制限することもできる。加えて、いつ、誰が、どのサービスにアクセスしたかのログを記録する機能も備える。

国産クラウドサービスも含め、6000個以上の多様なクラウドサービスに認証手段を実装できることがトラスト・ログインの特徴だ。海外製IDaaSは海外の主要なクラウドサービスをカバーするものの、国内のサービスで利用可能になるまでに時間がかかりがちだ。これに対しトラスト・ログインは、国内のクラウドサービスはもちろん、社内システムやActive Directory、Microsoftのクラウド認証サービス「Azure Active Directory」をはじめとする既存システムにMFAやSSOを組み込むことも可能だ（図1）。

図1：トラスト・ログインは企業の認証基盤としてさまざまなIT資産と連携する

セキュリティだけではなく、トラスト・ログインは利便性も両立させている。GMOグローバルサインの沼尻孝信氏（トラスト・ログイン事業部）は、「サイバー攻撃が悪質化するのにつれ、Salesforce.comのクラウドサービスのようにMFAの必須化が標準になると考えています。こうしたサービスごとに異なる認証方式に対応するのでは、管理者による運用管理が難しくなることに加え、従業員の利便性が低下することやコストがかさんでしまうことも問題になります」と指摘する。トラスト・ログインを利用すれば、サービスごとにMFAを設定する必要がなく、認証の管理を一元化できる。さらに企業それぞれのポリシーに応じて、「営業で外出する機会が多い従業員は、より簡単に使えるプッシュ認証とクライアント証明書によるデバイス制限機能を使う」「内勤の従業員は、アクセス元のIPアドレスで制限をかけることで簡易な認証にする」といった具合に、リスクに基づいて認証方法を使い分けることも可能だ。

GMOグローバルサイン
トラスト・ログイン事業部
沼尻孝信氏

ユーザーインタフェースは日本語と英語を用意しており、「iPhone」のように直感的に利用できるため、ITに詳しくない担当者でも簡単に使うことができ、サポート体制が整っていることも日本のユーザー企業にとって心強い。「トラスト・ログインは日本で開発された国産サービスです。GMOグローバルサインは電子証明書認証局のため、セキュリティ知識が豊富な人員によるテクニカルセンターが用意されている上に、富士通とのアライアンスによってしっかりしたサポート体制が整っています。認証基盤に何か問題が起きたり、分からないことが生じたりした際、素早く解決できる点がポイントになります」。沼尻氏はこう説明する。

日本企業の慣行に合わせた機能を搭載する「Keyspider」

FENICS CloudProtect IDプロバイダー・IDマネージャーのもう一つの軸が、かもめエンジニアリングが提供するID管理サービスのKeyspiderだ。

かもめエンジニアリング
代表取締役
潮村剛氏

どのユーザーがどのサービスにアクセスできるかを詳細に設定してアクセス制御することも、認証システムでしっかりと本人確認を実施することもゼロトラストの基本となる。ただし昔のようにオンプレミスのシステム向けにIDを発行し、静的に管理する時代とは異なり、現在は利用するクラウドサービスが増え続ける中で、動的にIDを管理する必要が生じている。かもめエンジニアリングの代表取締役、潮村剛氏は、「『この人はどのシステムを使うのか』『この人のアクセス権限は適切か』といった情報が十分でなければ、ID管理は意味を成しません。組織の人事や運用に沿った形でログイン情報の鮮度が常に保たれていることが重要な鍵となります」と説明する。

今でも企業は概して従業員のアクセス権限の変更を手作業に頼っている。企業の担当者が人事データベースなどのソースから情報を受け取り、クラウドサービスごとにIDの登録や削除をするのは、数人分ならばともかく、数十人や数百人単位となると膨大な負荷となる。それがミスや漏れが生じる要因になる。さらに4月1日の人事異動に合わせてアカウント情報を更新する必要がある場合、前日の夜に残業して入力するといった事態に陥ることもあるだろう。

Keyspiderはこうした作業を自動化するクラウドサービスだ。組織の人事情報と連携し、アカウント情報を管理する。そして連携する各サービスに、それぞれが受け取りやすい形で必要な情報だけを自動的に配布する。クラウドサービスとして提供されるため、この作業のためだけに情報システム担当者がデータセンターやサーバ室に出向く必要もない（図2）。

図2：Keyspiderの利用イメージ

トラスト・ログイン同様にKeyspiderも国産のサービスだ。それだけに、日本の組織独自の慣習や人事制度に合わせた機能を備えていることが大きな特徴だ。日本企業は部署を兼任したり、異動になった後もしばらく後任への引き継ぎ処理をしたりする文化がある。Keyspiderはこうした運用に合わせたID管理が可能で、例えば一定の引き継ぎ期間は新部署だけでなく前の部署の権限を保持できる。人事発令日に合わせてアカウント情報を配信するよう予約する「未来発令」機能も備えており、人事発令前日にIDの更新作業が集中することを防げる。

かもめエンジニアリングと富士通、GMOグローバルサインに共通する姿勢として、潮村氏は顧客から寄せられるさまざまな要望や意見を取り入れ、改善につなげる点を挙げる。「自社のロードマップにないからといってお客さまの声を却下せず、真摯（しんし）に改善要望や機能の追加要望に応えます。これは国産サービスならではの特徴と言えるでしょう」（潮村氏）

知見を生かしたテンプレートとともに
迅速な導入を支援し、顧客のDXを支援

富士通はトラスト・ログインとKeyspiderをただ連携させるだけでなく、これまでに蓄積してきた認証システム構築に関する知見と経験を基に、テンプレートを組み合わせて提供する。このためActive Directoryをはじめとする既存の資産との連携が容易で、すぐに導入が可能だ。「富士通に求められるのは、ID管理業務の工数の削減や効率化につながるインテグレーションです。われわれはベストプラクティスに基づいたテンプレート化を実施し、その要望に応えていきます」（小林氏）

認証システムには高い信頼性と可用性が求められる。「何か起きたときにはすぐ対処できるバックアップ体制を整え、お客さまの日々の業務を支えるとともに、従業員の情報やアクセスポリシーの鮮度を保つための運用サービスも含めて提供し、安全性を継続して提供します」と小林氏は述べる。

富士通が展開している幅広いゼロトラストソリューション（製品／サービス群）と組み合わせることももちろん可能だ。同社はゼロトラストを実現するために、SASEやSOC（セキュリティオペレーションセンター）／NOC（ネットワークオペレーションセンター）の運用サービスなどを提供する。「こうした幅広い方法をまとめて提供できることが富士通の強みです」（小林氏）

富士通とGMOグローバルサイン、かもめエンジニアリングは、2022年1月に設立された「ゼロトラスト・アライアンス」に参画している。これは日本企業のゼロトラストに対する理解を促進するために設立された協力体制だ。今後登場するであろう新たな技術も取り入れながら、3社は顧客と共に進み、多様な働き方の社会を支える方針だ。