はじめに
今年の秋ごろくらいから業務でIDaaSについて調べることがあり、自分なりにまとめてみました。IDaasって名前は聞いたことあるけれど、どういうものなの?といった人にとってざっくり理解できるような内容を目指して書きました。
IDaaSとは
Identity as a Serviceの略称で、読み方としては「アイダース」「アイディアース」などと呼ばれるクラウドサービスです。
主な機能としては各種クラウドサービス等への認証(多要素認証、シングルサインオン)・認可(アクセスコントロール)・ID 管理・ID 連携などがあります。
複雑化・多様化するクラウドサービスなどのID認証やアクセス権限の管理などを一元化して行っているのがIDaaSです。現在利用しているADと連携ができる機能があるIDaaSもあり、これまでのID基盤と連携させて使用することも可能です。
主なIDaaSとしてはAzure Active DirectoryやOkta、Oneloginなどが挙げられます。国産のIDaaSとしてはトラスト・ログインやIIJIDなどがあります。
IDaaSが求められるようになった背景
従来ID管理はオンプレミスのActiveDirectoryなどの機能でした。サービスやシステムなども社内から使用することが前提とされていたので、社内の内側を主に管理する方式でした。
昨今はこれまでのクラウドサービスの普及やテレワークの推進などにより利用状況が大きく変わってきました。それに伴いさまざまな課題が新たに生じました。主な課題としては3つほど挙げられます。
クラウドサービス使用数に伴う管理作業の増大
一つ目の課題はクラウドサービスの使用数増加に伴う管理作業の増大です。現在組織で使っているクラウドサービス数は非常に多くなっています。利用するIDが増えるたびに管理するIDも増えていきます。さらには異動や入退社がある際にはクラウドサービスごとにIDの作成・変更・削除などをする必要があり、管理者の負担はクラウドサービスの利用数に比例して増大していきました。
社外からのクラウドサービス利用によるVPN回線のひっ迫
二つ目はテレワークなどの社外からのクラウドサービス利用によるVPN回線のひっ迫です。コロナ禍以降多くの企業ではテレワークを推進し、それに伴い社外から業務を行うことも多くなりました。これまでの利用前提は社内からだったのでファイアウォールなどでアクセス制御を行えばよかったのですが、社外からこれまでと同じように利用するにはいったん社内環境にVPN接続したうえで利用するなどアクセス制御をしなければならず、VPN回線がひっ迫する原因になっていました。
サービスへの不正アクセスリスク
3つ目はサービスへの不正アクセスのリスクです。パスワード認証のみしているクラウドサービスはIDとパスワードさえ分かれば誰でもどこからでもサインインが可能です。仮にアクセス制御を設定していないサービスであれば、パスワードなどが漏洩した場合は不正アクセスの危険性があります。
こうした中で注目されるようになったのがIDaaSです。IDaaSの機能である多要素認証や認可機能を使うことでよりセキュリティを強化することもでき、安心してクラウドサービスを利用することができます。さらにはシングルサインオン機能を使うことで、管理する必要があるパスワードも減らすことができます。
IDaaS主な機能
| 機能名 | 内容 |
|---|---|
| シングルサインオン | 一度メインのIDaaSへサインインすれば、他のクラウドサービスへのサインインを自動で行ってくれる機能。 |
| 多要素認証 | クラウドサービスへのサインイン時に、2つ以上の要素によって行う認証。 |
| 認可 | クラウドサービスにアクセスが可能な利用者や端末、場所等に制限をかけて、管理者の許可を得た条件でサービスを利用できるようにする機能。 |
| ID管理 | IDaaSで管理しているIDの作成/変更/削除などを行う機能。 |
| プロビジョニング | ID管理などで変更したユーザ情報を他のクラウドサービスにも同期させることができる機能。 |
| ログ管理 | ユーザがどのサービスをどれくらい利用しているのかといった利用履歴やアクセス状況などを確認する機能。 |
※IDaaSによっては上記機能を有していないものもあります。
IDaaSのメリット
不正アクセス防止
従来のID・パスワード認証に加えてモバイルデバイスを利用したアプリでの認証や、顔認証・虹彩認証などの生体認証の多要素認証を導入することで、たとえパスワードが漏洩したとしても不正にアクセスされることを防ぐことができます。また、利用できる利用者や端末などを認可機能により制限をかけることで、必要な人だけに権限を割り当てることもできます。
パスワード管理の軽減
これまでユーザは数多あるクラウドサービスのIDやパスワードの管理を行っていました。IDaaSのシングルサインオン機能を利用することによって、管理するパスワードの数は激減します。使用するパスワードも減るので、定期的なパスワード変更やそれに伴って新しくパスワードを覚える必要もなくなります。ユーザだけでなく管理する側もこれまで対応してきたパスワード関連の問い合わせや対応も減り負担が減ります。
ID管理の軽減
これまでは入社・異動・退社などがあった場合はサービスごとにIDの追加・削除を行ってました。IDaaSのプロビジョニング機能を使えば、管理するサービスは一つだけで自動的に各サービスへ情報が同期されます。これにより管理者の管理作業の負担も減ります。また、退社したユーザのIDが残り続けるといったセキュリティリスクも減らすことができます。
VPN回線ひっ迫の解消
従来のクラウドサービスの利用方法として、社内環境からのアクセスが前提となっている場合、社外からサービスにアクセスする場合は社内環境へのVPN接続が必要になり回線ひっ迫も課題の一つでした。IDaaSの場合はVPN接続をするかわりに多要素認証機能や認可機能で認証・認可を行うのでVPN接続を使うことはありません。
IDaaSのデメリット
機能を実装できるサービスが限られている
シングルサインオンやプロビジョニングなどの機能はすべてのサービスに対応できるわけではなく、一部サービスに限られているケースが多いです。とくに国産のクラウドサービスについてはまだ未対応のものも多いのですべてのサービスがIDaaS機能の恩恵を享受できるわけではありません。
主流なサービスが海外製品である
現在IDaaSで主流となっているOktaやOneloginはいずれも海外製品です。もちろん日本語サポートなどもありますが元々が海外のため一部機能やサービスなどが日本語でなかったりサポートに頼らず使おうとしても説明が英語であるといったことはあります。
さいごに
以上がこれまで調べた情報をまとめたものになります。ちなみに私も少しだけAzureADの評価版を触ってみましたが、できることがたくさんあり、上手に使いこなせば効率的でより安全なID管理、サービス利用ができるのではないかと感じました。
ただ、まだ未実装であったりな部分もある発展途上のサービスなので、今後さらに使いやすくなっていくのではないかなと思います。