IDaaS(Identity as a Service)とは
IDaaSが求められている背景、主な機能や導入時の注意点などをわかりやすく解説します。
IDaaS(Identity as a Service)とは
IDaaSとは、クラウド経由でID管理・ID認証/認可・シングルサインオン(SSO:Single Sign On)・多要素認証・ログ管理などの機能を提供し、さまざまなサービスのログインを集約管理するソリューションです。
SSOでは、各種クラウドサービスや社内システムごとの認証を1回で済ませることができるため、ユーザーによる都度IDとパスワードを入力するという煩雑なログイン操作から解放され、利便性向上や業務効率の改善が期待できます。また、複数システムのユーザーや属性情報を一元的に管理しサービスや業務システムに対して自動的に同期することで、ID維持管理にかかる管理者の負荷を軽減できます。さらにクラウドサービスとして提供される機能・メンテナンスにより、より安全な環境、ワンタイムパスワードや生体認証といった仕組みを併用する多要素認証などの強固なセキュリティを容易に導入することもできます。
IDaaSの主な機能
- ID管理
- ID情報の追加・変更・削除など、IDに関する情報を一元管理することができます。
- ID認証/認可(アクセス制御)
- ユーザーごとにIDを発行・管理するだけでなくそれぞれのIDごとにアクセス制限を設け、条件を満たす場合に限りリソースへの必要なアクセスを許可し、不要な情報やサービスへのアクセスを制限することでセキュリティをより高めることができます。
- シングルサインオン(SSO:Single Sign On)
- 独立した複数のシステム・サービスを、一度のユーザー認証(ログイン)だけで利用可能にする仕組みをシングルサインオン(SSO)と呼びます。SSOを活用することで、ユーザーはサービスごとに異なるユーザーIDとパスワードの管理や利用する際にサービス単位で都度ログインするという煩雑な作業から開放されます。
- 多要素認証
- ユーザーの認証には多くの場合、IDとパスワードが利用されています。しかしパスワードは盗み見て記憶することでも簡単に利用できてしまいます。またでたらめな文字列を入力し続けることで、偶然突破できてしまう可能性もあります。
そこで昨今システムの不正な利用を防止するために、パスワードの他にもワンタイムパスワードを生成するトークンや静脈や光彩などの生体情報を組み合わせて、セキュリティ強度を上げることが求められています。この様に端末やサーバー、インターネットサービスへのログイン時などに、2つ以上の方式を組み合わせて認証することを「多要素認証」と呼びます。IDaaSでは、ユーザーの認証にこの多要素認証を容易に採用することができます。 - ログ管理
- ログ管理とはユーザーの利用履歴やアクセス状況などを逐一記録し、確認できるようにする機能です。ユーザーの認証を司るサービスはその性質上、不正アクセスの対象とされやすいサービスでもあります。万が一不正アクセスや情報の流出が発生してしまった際には、原因究明や被害状況の調査を迅速に行わなければなりません。その手がかりとしてログは非常に重要となります。
IDaaSが求められている背景
企業におけるID管理やSSOは、企業のネットワーク内に設けられたActive Directory(AD)などのディレクトリサービスを用いて行うのが一般的でした。従来業務はオフィスの中でのみ行うことが前提でしたから、これは至極当然のことだと言えるでしょう。しかしテレワークの浸透やクラウドサービスの普及によって、社外からインターネットを経由した社内システムへのアクセスや、システムの一部としてクラウドサービスを利用するケースが増えてきました。
クラウドサービスでは当然それぞれのサービスに個別のIDが必要であり、利用する際はサービスごとにログインが求められます。こうしたサービスでこそ、IDの一括管理やSSOが効果的なことは言うまでもありません。ですがオンプレミスのADは社内に閉じたネットワーク上で、社内にあるシステムを利用することを前提に設計されているため、外部のクラウドサービスのIDを一括管理するということができません。そのためID自体はADとクラウドサービスで二重に管理しつつ、アカウント情報を定期的に同期することで認証をADに委任することで回避するのが一般的となっています。とは言えこうした方法は対処療法に過ぎず、本当の意味でIDを一括管理できているとは言えません。またシステムの構成が複雑になるなど、管理側の運用負荷も大きくなってしまいます。
IDやパスワードは使用するサービスの数だけ記憶しておく必要があるため、サービスが増えれば増えるほどユーザーの負担は大きくなります。そして、こうした負担は少しでも楽をしたいユーザーによる「覚えやすいパスワードの利用」「パスワードのメモ書き」「パスワードの使いまわし」を招き、結果としてセキュリティリスクの増加に繋がってしまいます。またユーザーが管理しなければならないパスワードの数が増えると、パスワードをうっかり失念してしまう事態も増加するでしょう。これはすなわちパスワード再発行の増加につながり、特にユーザー数の多いシステムであれば管理者にとっても無視できない負担となってしまいます。
そこでオンプレミスとクラウドサービスにまたがるシングルサインオンを実現することで、オンプレミスとクラウドサービスのIDを統合して管理可能な「IDaaS」が注目されるようになりました。
IDaaS導入時の注意点
IDaaSには多くのメリットがありますが既存のADを完全に置き換えるというものではなく、すべてのケースで移行を推奨するものでもありません。
例えばオンプレミス環境が主体であり、クラウドサービスは部分的な利用に留まるようなケースでは必ずしもIDaaSへの移行が最適解とは言い切れません。場合によっては、既存のADの利用を継続した方がよいことも考えられるでしょう。
またIDaaSではADとのアカウント連携機能が用意されていることも多いため、ADとIDaaSを共存させ、並行稼動させるという選択肢もあります。システムの利用形態を考慮しつつ、適材適所での導入の検討が重要です。
富士通でのIDaaSの取り組み
富士通ではお客様のIDaaS導入に向けお客様にとって何が最適であるかを共に考え、実現いたします。富士通がご提供するIDaaSについて詳しくは、「FENICS CloudProtect IDプロバイダー・IDマネージャー」をご覧ください。
ID管理を軸に「ゼロトラスト」実現したい方へ
お問い合わせ・ご相談
当社はセキュリティ保護の観点からSSL技術を使用しております。
