COLUMN誰でもわかる!お役立ちコラム

ゼロトラスト支援コラム

IDaaSって何ができるの?主な機能とそのメリットを知る

本コラムでは、クラウドの課題を解決するIDaaSサービスについて説明していきます。なお、IDaaSサービスは、ゼロトラストの第一歩となるユーザ認証や認可機能を備えています。

IDaaSとは

Identity as a Serviceの略称で、読み方としては「アイダース」「アイディアース」などと呼ばれるクラウドサービスです。
主な機能としては各種クラウドサービス等への認証(多要素認証,シングルサインオン)・認可(アクセスコントロール)・ID 管理・ID 連携などがあります。

複雑化・多様化するクラウドサービスなどのID認証やアクセス権限の管理などを一元化して行っているのがIDaaSです。現在利用しているADと連携ができる機能があるIDaaSもあり、これまでのID基盤と連携させて使用することも可能です。

主なIDaaSとしてはMicrosoft Entra IDやOkta、Oneloginなどが挙げられます。国産のIDaaSとしてはトラスト・ログインやIIJIDなどがあります。

Microsoft Entra ID(旧AzureAD)でIDaaSを実現するスタイルズのID管理サービスはこちら→

IDaaSが求められるようになった背景

従来ID管理はオンプレミスのActiveDirectoryなどの機能でした。サービスやシステムなども社内から使用することが前提とされていたので、社内の内側を主に管理する方式でした。
昨今はこれまでのクラウドサービスの普及やテレワークの推進などにより利用状況が大きく変わってきました。それに伴いさまざまな課題が新たに生じました。主な課題としては以下が挙げられます。

  • クラウドサービス使用数に伴う管理作業の増大
  • 社外からのクラウドサービス利用によるVPN回線のひっ迫
  • サービスへの不正アクセスリスク

一つ目の課題はクラウドサービスの使用数増加に伴う管理作業の増大です。現在組織で使っているクラウドサービス数は非常に多くなっています。日本情報経済社会推進協会の調査でも約8割ほどの企業が何らかのクラウドサービスを使用しており、その利便性の高さから今後さらに利用数は増えるものと思われます。

ただ、利用するIDが増えるたびに管理するIDも増えていきます。その度に新しいIDを発行したり、パスワードを作成したりと管理が必要になります。さらには異動や入退社がある際にはクラウドサービスごとにIDの作成・変更・削除などをする必要があり、管理者の負担はクラウドサービスの利用数に比例して増大していきました。

二つ目はテレワークなどの社外からのクラウドサービス利用によるセキュリティリスクです。コロナ禍以降多くの企業ではテレワークを推進し、それに伴い社外から業務を行うことも多くなりました。これまでは社内からのサービス利用が前提でしたので、ファイヤーウォールなどでアクセス制御を行えばよかったのですが、社外から同じように利用するにはいったん社内環境にVPN接続したうえで利用するなどアクセス制御をしなければならず、VPN回線がひっ迫する原因にもなっていました。

3つ目はサービスへの不正アクセスのリスクです。パスワード認証のみしているクラウドサービスはIDとパスワードさえ分かれば誰でもどこからでもサインインが可能です。仮にアクセス制御を設定していないサービスであれば、パスワードなどが漏洩した場合は不正アクセスの危険性があります。

こうした中で注目されるようになったのがIDaaSです。IDaaSを利用すると、クラウドサービスは通常のID・パスワードの認証以外にも生体認証やモバイルデバイスのアプリ認証などの認証方式と併せたサインインができたり(多要素認証)、あらかじめ設定したデバイスでないとサインインできないよう制御することができます(アクセス認可)。こうした機能を使うことでよりセキュリティを強化することもでき、安心してクラウドサービスを利用することができます。さらには一度サインインすればほかのサービスを利用する際にID・パスワードを入力しなくてもよい機能もある(シングルサインオン)ので、管理する必要があるパスワードも減らすことができます。

IDaaS主な機能

ID管理や認証・認可機能を備えたサービスであるIDaaSですが、具体的にどのような機能があるのでしょうか。主な機能内容について簡単に説明いたします。

シングルサインオン

一度メインの IDaaSへサインインすれば、他の複数のクラウドサービスへ のサインインを自動で行ってくれる機能のこと。設定することでサインイン時の効率化を図ることができるとともに、パスワードの漏洩リスクも減らすことができます。

多要素認証

クラウドサービスへのサインイン時に、2つ以上の要素によって行う認証のこと。設定することで不正アクセスへのセキュリティを強化することができます。

アクセス認可

クラウドサービスにアクセスが可能な利用者や端末、場所等に制限をかけて、管理者の許可を得た利用者のみがサービスを利用できるようにする機能。必要な人に必要な権限だけ割り当てることができます。端末や場所で制限を設定することができるので、これまでの社内環境にVPN接続するような利用方法の代替機能として使うことができます。

ID管理

IDaaSで管理しているIDの作成/変更/削除などを行う機能。

ユーザプロビジョニング

ID管理などで変更したユーザ情報をほかのクラウドサービスにも同期させることができる機能。この機能を使うことで、サービスごとに行っていたID管理作業を効率的に行うことができ、ID管理の負荷を減らすことができます。

ログ管理

ユーザがどのサービスをどれくらい利用しているのかといった利用履歴やアクセス状況などを確認する機能。仮に不正アクセスなどがあった場合に、この機能を使うことでアクセスログなどを確認することができます。
※IDaaSによっては上記機能を有していないものもあります。

Microsoft Entra IDでIDaaSを実現するスタイルズのID管理サービスはこちら→

IDaaSのメリット

では実際にIDaaSを導入するとどのようなメリットがあるのでしょうか。

不正アクセス

従来のID・パスワード認証に加えてモバイルデバイスを利用したアプリでの認証や、顔認証・虹彩認証などの生体認証の多要素認証を導入することで、たとえパスワードが漏洩したとしても不正にアクセスされることを防ぐことができます。また、利用できる利用者や端末などをアクセス認可により制限をかけることで、必要な人だけに権限を割り当てることもできます。

パスワード管理

これまでユーザは数多あるクラウドサービスのIDやパスワードの管理を行っていました。IDaaSのシングルサインオン機能などを利用することによって、管理するパスワードの数は激減します。使用するパスワードも減るので、定期的なパスワード変更やそれに伴って新しくパスワードを覚える必要もなくなります。ユーザだけでなく管理する側もこれまで対応してきたパスワード関連の問い合わせや対応も減り負担が減ります。

ID管理

これまでは入社・異動・退社などがあった場合はサービスごとにIDの追加・削除を行っていたと思います。IDaaSのプロビジョニング機能を使えば、管理するサービスは一つだけで自動的に各サービスへ情報が同期されます。これにより管理者の管理作業の負担も減りますし、退社したユーザのIDが残り続けるといったセキュリティリスクも減らすことができます。

VPN回線

従来のクラウドサービスの利用方法として、社内環境からのアクセスが前提となっている場合、社外からサービスにアクセスする場合は社内環境へのVPN接続が必要になり、テレワークが普及した昨今ではVPN回線のひっ迫も課題になっているケースが多くみられます。IDaaSの場合はVPN接続をするかわりにアクセス認可や多要素認証などの機能で認証・認可を行っているのでVPN接続を使うことはありません。

サーバメンテナンス

IDaaSはクラウドサービスのため、使用者側でOSアップデートやパッチ適用などの運用メンテナンスは必要ありません。