ITセキュリティ女子のブログ

  • エンドポイントセキュリティ
  • サイバー攻撃
  • ID管理
  • 認証
2020.11.27

IDaaSとは?(1)IDaaSが必要になった背景

IDaaSとは?(1)IDaaSが必要になった背景

みなさんこんにちは。長谷川まりです。

SaaS、IaaS、PaaSなど、製品機能のサービス化が進んでいます。もはや「なんでも・アズ・ア・サービス」の様相を呈していますが、最近最も注目されているのがIDaaSです。これから3回シリーズでIDaaSについて書いていきますが、今回はなぜ、IDaaSが必要になったのか、その背景についておさらいしてみましょう。

IDaaSが必要となった背景

最近注目されているアズ・ア・サービスといえば、IDaaS(読み方は「アイダース」)です。IDaaSはIDをサービスしてくれるということですが、LDAPサーバのクラウドサービスのような単純なものではありません。クラウド活用、モビリティ、テレワーク、サイバーセキュリティ、ゼロトラスト、IoTといった現在の重要なITのテーマの中心的な存在を果たすのがIDaaSです。

クラウド利用の拡大

クラウドサービスは今、工場や重要インフラなど、閉じたネットワークの中でITを活用する場合以外は、ほとんどの組織で利用されているかと思います。オフィススイート系、ファイル共有、Web会議やチャット、CRM、経費精算といったところの多くはクラウドに置き変わってきているのではないでしょうか。既に90%の会社がなんらかのクラウドサービスを利用しており、1社平均で1427ものクラウドサービスが利用されているという統計 も出ているようです。「クラウドってそんなに使われているものなの?」と驚かれると思いますが、シャドーIT (IT部門が利用を認識していないクラウド)の数を含むと大きな組織であればこのぐらいは使われています。会社として許可されているクラウドサービスは全体の1割に満たないと思いますが、そうだとしても多いですよね。

しかし個々のクラウドサービスは別々の会社が運営しているものである以上、ユーザー認証は別々に実施する必要があります。今まで社内のアプリケーションやデータを利用する際には、Active DirectoryのKerberos認証等を利用してSSOを行ってきたユーザーにとって、個々のクラウドアプリケーションを利用するたびに認証を求められるのは非効率といえます。

モバイルデバイスからのログイン

またモバイルデバイス、特にスマートフォンは、移動やテレワーク時のサブ端末として利用するシーンが増えていると思います。クラウドサービスへアクセスする際は、送信元が自社のグローバルIPの場合のみ許可するネットワークベースの接続制御が行われていることが多く、一度VPNで社内ネットワークに入る必要があります。ただこの場合、効率とレスポンスが犠牲になり、オンプレミスのVPNサーバやゲートウェイ機器の容量を圧迫することもあるため、スマートフォンは社内ネットワークには接続せず、モバイルキャリアのネットワークからインターネットに直接接続するケースもあり、セキュリティ上の課題が残ります。

パスワードの盗難リスク

2020年版のVerizonのData Breach Investigations Reportによると、ハッキングによるデータ侵害の80%が、ブルートフォースと呼ばれる総当たり攻撃か盗まれたクレデンシャル(IDとパスワードの組み合わせ)を利用しており、盗まれたクレデンシャルが利用されていたケースが全てのデータ侵害のうち37%を占めていたということでした。Have I Been Pwned (HIBP)というWebサイトでは、メールアドレスを入力すればそのメールアドレスを含むアカウント情報が漏洩しているかどうかを確認できます。

ただ、たとえ自分のアカウント情報が漏洩していなくても安心はできません。1万人の従業員がいる組織があったとして、そのうちどこかのWebサイトから一人のアカウントでも漏洩していれば、個人情報や機密情報が保存されたクラウドサービスに不正アクセスされる可能性があります。多くのWebサイトやクラウドサービスで利用されているパスワード認証において、組織のメールアドレスがIDになっている場合が非常に多く、パスワードには様々なサイトで共通のものを設定している場合がほとんどのため、漏洩元のサイトだけではなく、別のクラウドサービスにも同じクレデンシャルで不正アクセスが成功してしまうリスクは非常に高いといえます。つまり、クラウドサービスへの不正アクセスを防ぐには、パスワード以外の他の要素を認証に取り入れ、多要素認証を有効にするのが有効だと言えます。

管理負荷の上昇

クラウドサービスの利用が増えると、ユーザーだけでなく、管理者の負担も増えます。新規ユーザーのためにクラウドサービス側にIDを作り、適切な権限設定を行い、利用停止時にはアカウントを停止させます。社内アプリケーションであれば、Active DirectoryやLDAPサーバからユーザーを消去するだけで良かったものが、クラウドサービスごとに異なる操作手順で実施しなければなりません。インシデントが発生した場合にも、クラウド側で誰がどのような操作を行ったかを個々のクラウドサービス側で確認しなければならないため、利用状況の把握も監査も容易ではありません。

まとめ

以上のように、IDaaSが注目されてきた背景として、クラウドやモバイルデバイス利用の拡大、パスワード盗難リスク、管理負荷の上昇、という点をご紹介しました。ITの利用環境が多様化しIDも増える分リスクも増えています。システム毎に必要となる本人確認をどこまで効率的に安全に管理できるのか、IDaaSに期待できることはたくさんありそうです。次回はIDaaSの主要機能を紹介し、これらの課題をどう解決していけそうかをご紹介したいと思います。

なおアシストでは「Okta Identity Cloud」というIDaaS製品を扱っていますので、お気軽にお問合せください。


長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • エンドポイントセキュリティ
  • テレワーク
2021.04.16

仮想デスクトップで使えるWVD(Windows Virtual Desktop)のメリット

テレワーク実現方法の1つ、仮想デスクトップ構築。中でもAzure上で提供されるWVD(Windows Virtual Desktop)は、Microsoftユーザーにメリットを感じやすいかもしれません。その理由を解説します。

  • エンドポイントセキュリティ
2021.03.08

「まだEDRで消耗してるの?」エンドポイントセキュリティの導入課題を考える

マルウェアによる攻撃が後を絶ちません。今回は、その攻撃の入り口となるエンドポイントのセキュリティ対策に焦点を当て、中でも多くの企業で導入検討が進むEDRの課題と解決策をわかりやすい動画で解説します。

  • 認証
  • ID管理
2021.02.09

IDaaSとは?(3)Active Directoryからの移行ロードマップ

さてIDaaSへ移行するとして、既存のActive Direcoryの扱いはどうしたら良いのでしょう?IDaaSへの移行ロードマップについて、押さえておきたいポイントを踏まえながらご紹介します。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

ページの先頭へ戻る