- ID管理
- サイバー攻撃
- ゼロトラスト
ID周りの課題がいっぱい!その背景と課題解決の捉え方
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
|
|
IDaaSが注目されている背景には、社外ネットワークやモバイル機器からのクラウド利用が増えることによる管理負荷の上昇と、都度ログインパスワードが求められることによるユーザビリティの低下、パスワードの使い回しによる不正アクセスリスクの上昇があるとお伝えしました。多くの企業がオンプレミスを縮小しつつクラウドシフトを進め、モバイル&テレワークでよりクラウドをダイレクトに利用することが増えている中、IDaaSには何が期待できるのでしょうか。以下にIDaaSで実現できることを並べてみました。
|
|
IDaaSで一度ユーザ認証を行えば、IDaaSに登録したアプリケーションは全てSSOが可能になります。また、IDaaSにログインすると、利用できるアプリケーションの一覧が表示されるため、アプリケーションポータルとしても利用できます。
SSOはIdP(Identity Provider)であるIDaaSと、SP(Service Provider)であるクラウドアプリケーションが事前に信頼関係を結び、SPはIdP側に認証を任せ、ユーザーはIdPから認証済みであることを示すトークンを手に入れてSPに渡すことで認証の代わりとします。法人向けのクラウドアプリケーションの場合、このID連携(フェデレーション)にはSAMLが使われます。SPによってユーザーのどのような属性情報を利用するかが異なるため、SAMLでIdPとやり取りする情報も様々です。多くのクラウドアプリケーションがメジャーなIDaaSとのSAMLでの接続検証を済ませているため、簡単な設定を行うだけでSSOを利用開始できます。これがメジャーなIDaaSを選ぶ大きなメリットの一つです。
SAML非対応のWebアプリケーションには、ログインページでユーザーの代わりにIDaaSがパスワードを代理で渡す機能があります。ユーザーはパスワードを覚える必要がないため、大文字小文字や記号を駆使した複雑なパスワードを設定できます。そして、パスワードは堅牢なセキュリティ対策が行われているIDaaS側に保存されるため、ユーザー自身のブラウザに記憶させるよりも遥かに安全です。
前回の記事
でもご紹介したように、ユーザー名とパスワードを使い回していると、どこかのサービスから漏洩したIDとパスワードを主要なクラウドサービスに対するリスト型攻撃に使われてしまうことがあります。
IDaaSの大きなメリットの一つが、ログインする際に多要素認証を有効にできることです。クラウドアプリケーションごとに多要素認証を有効化するのはユーザーや管理者にとって負荷が高く、多要素認証が利用できないサービスも存在するため、IDaaS側で一元的に多要素認証を管理・有効化することで、全体の認証強度を向上させ、管理負荷を削減することが可能です。
IDaaSは様々な認証方式に対応しており、スマホアプリのプッシュ認証や、メールやSMSを利用したワンタイムパスワード、FIDO2を利用した生体認証など多岐に渡ります。また、社外や海外からのアクセス、BYOD端末からのアクセス、漏洩したことが確認されているアカウントからのアクセスなどのリスクが高い認証要求に対しては、ブロックしたり、追加の認証要素を求める、といったリスクベース認証が可能です。
主要なIDaaSであれば、全世界のユーザーや協力先から入手した脅威情報を元に、不正アクセス、ブルートフォース、DDoSなどのサイバー攻撃を検知して、認証要求をブロックすることができます。
どのユーザーがどのアプリケーションをいつ利用したかのログを集めることができ、クラウドサービスの利用状況を見える化できます。認証失敗のログからサイバー攻撃の有無、投資に見合った活用がされているのか、不正利用をしているユーザーがいないかといった情報分析に役立ちます。
社員の入社、転属、役職変更、退職といった人事イベントごとに、アプリケーション側のアカウントにも作成、変更、削除が発生します。利用しているアプリケーションが多いほど、この作業の負担は大きく、手作業でやることでミスも発生しやすくなります。
主要なIDaaSではMicrosoft 365、Google Workspace(G Suite)、Salesforceなどのメジャーなアプリケーションに対してIDaaS側のアカウントの作成、変更、削除といったイベントに合わせてアカウントを同期するアカウントプロビジョニングの機能を持っています。これによってアカウントの作成担当者の業務負担を大きく下げ、退職社員のアカウント消し忘れによるセキュリティインシデントの発生を防止できます。
アプリケーションが稼働していても認証基盤がダウンしてしまってはアプリケーションを利用することができません。そのため、世界中のユーザーのアプリケーション利用の生命線であるIDaaSは非常に高い可用性を実現しています。この可用性の水準を自社の統合ID認証基盤で実現するのは相当なコストを掛けなければ実現不可能でしょう。
このようにIDaaSは、管理者にとても利用者にとってもメリットがたくさんあります。多くの企業がオンプレミスを縮小しつつクラウドシフトを進め、モバイル&テレワークでよりクラウドをダイレクトに利用することが増えている中、IDaaSは正しいユーザーが必要なクラウドアプリケーションに快適にアクセスするために欠かせない基盤になりそうです。では今すぐActive DirectoryをやめてIDaaSに移行できるものなのでしょうか?次回はIDaaS移行のロードマップをお伝えします。
なおアシストではIDaaS製品として、Okta社の「Okta
」を取り扱っています。IDaaS導入についてのご相談も承ります。こちらのお問い合わせフォーム
よりご連絡ください。
長谷川 まり
|
|
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
従来のパッケージ版に加え、クラウド版もリリースしたiDoperation。高い可用性が求められるサーバーの特権ID管理もSaaSで利用できるようになったことで、今後ますます需要が増えそうです。
いずれ到来すると考えられるパスワード不要の世界を見据えた、今からできる認証強化の実現方法についてご紹介します。
