ITセキュリティ女子のブログ

  • 認証
  • ID管理
2021.01.05

IDaaSとは?(2)IDaaSで何ができるの?

IDaaSとは?(2)IDaaSで何ができるの?

みなさんこんにちは、長谷川まりです。

SaaS、PaaS、IaaSなどのサービス化が進む中、最近最も注目されているのが、IDの管理をサービス化してくれるIDaaSです。前回の記事 では、このIDaaSがなぜ注目されてきたかをご紹介しました。今回は、IDaaSでは何ができるのか、IDaaSで実現できる主な機能とメリットをお伝えします。

IDaaSのメリット

IDaaSが注目されている背景には、社外ネットワークやモバイル機器からのクラウド利用が増えることによる管理負荷の上昇と、都度ログインパスワードが求められることによるユーザビリティの低下、パスワードの使い回しによる不正アクセスリスクの上昇があるとお伝えしました。多くの企業がオンプレミスを縮小しつつクラウドシフトを進め、モバイル&テレワークでよりクラウドをダイレクトに利用することが増えている中、IDaaSには何が期待できるのでしょうか。以下にIDaaSで実現できることを並べてみました。



1.シングルサインオン(SSO)によるユーザー利便性向上

IDaaSで一度ユーザ認証を行えば、IDaaSに登録したアプリケーションは全てSSOが可能になります。また、IDaaSにログインすると、利用できるアプリケーションの一覧が表示されるため、アプリケーションポータルとしても利用できます。

2.SSOの設定が簡単

SSOはIdP(Identity Provider)であるIDaaSと、SP(Service Provider)であるクラウドアプリケーションが事前に信頼関係を結び、SPはIdP側に認証を任せ、ユーザーはIdPから認証済みであることを示すトークンを手に入れてSPに渡すことで認証の代わりとします。法人向けのクラウドアプリケーションの場合、このID連携(フェデレーション)にはSAMLが使われます。SPによってユーザーのどのような属性情報を利用するかが異なるため、SAMLでIdPとやり取りする情報も様々です。多くのクラウドアプリケーションがメジャーなIDaaSとのSAMLでの接続検証を済ませているため、簡単な設定を行うだけでSSOを利用開始できます。これがメジャーなIDaaSを選ぶ大きなメリットの一つです。

3.SAMLに非対応のアプリケーションにもSSO可能

SAML非対応のWebアプリケーションには、ログインページでユーザーの代わりにIDaaSがパスワードを代理で渡す機能があります。ユーザーはパスワードを覚える必要がないため、大文字小文字や記号を駆使した複雑なパスワードを設定できます。そして、パスワードは堅牢なセキュリティ対策が行われているIDaaS側に保存されるため、ユーザー自身のブラウザに記憶させるよりも遥かに安全です。

4.多要素認証とリスクベース認証で不正アクセス防止

前回の記事 でもご紹介したように、ユーザー名とパスワードを使い回していると、どこかのサービスから漏洩したIDとパスワードを主要なクラウドサービスに対するリスト型攻撃に使われてしまうことがあります。

IDaaSの大きなメリットの一つが、ログインする際に多要素認証を有効にできることです。クラウドアプリケーションごとに多要素認証を有効化するのはユーザーや管理者にとって負荷が高く、多要素認証が利用できないサービスも存在するため、IDaaS側で一元的に多要素認証を管理・有効化することで、全体の認証強度を向上させ、管理負荷を削減することが可能です。

IDaaSは様々な認証方式に対応しており、スマホアプリのプッシュ認証や、メールやSMSを利用したワンタイムパスワード、FIDO2を利用した生体認証など多岐に渡ります。また、社外や海外からのアクセス、BYOD端末からのアクセス、漏洩したことが確認されているアカウントからのアクセスなどのリスクが高い認証要求に対しては、ブロックしたり、追加の認証要素を求める、といったリスクベース認証が可能です。

5.不正アクセスの検知と遮断

主要なIDaaSであれば、全世界のユーザーや協力先から入手した脅威情報を元に、不正アクセス、ブルートフォース、DDoSなどのサイバー攻撃を検知して、認証要求をブロックすることができます。

6.クラウドアプリケーションのアクセスログ分析

どのユーザーがどのアプリケーションをいつ利用したかのログを集めることができ、クラウドサービスの利用状況を見える化できます。認証失敗のログからサイバー攻撃の有無、投資に見合った活用がされているのか、不正利用をしているユーザーがいないかといった情報分析に役立ちます。

7.アカウントプロビジョニング

社員の入社、転属、役職変更、退職といった人事イベントごとに、アプリケーション側のアカウントにも作成、変更、削除が発生します。利用しているアプリケーションが多いほど、この作業の負担は大きく、手作業でやることでミスも発生しやすくなります。
主要なIDaaSではMicrosoft 365、Google Workspace(G Suite)、Salesforceなどのメジャーなアプリケーションに対してIDaaS側のアカウントの作成、変更、削除といったイベントに合わせてアカウントを同期するアカウントプロビジョニングの機能を持っています。これによってアカウントの作成担当者の業務負担を大きく下げ、退職社員のアカウント消し忘れによるセキュリティインシデントの発生を防止できます。

8.クラウドサービスならではの高可用性

アプリケーションが稼働していても認証基盤がダウンしてしまってはアプリケーションを利用することができません。そのため、世界中のユーザーのアプリケーション利用の生命線であるIDaaSは非常に高い可用性を実現しています。この可用性の水準を自社の統合ID認証基盤で実現するのは相当なコストを掛けなければ実現不可能でしょう。

まりから一言

このようにIDaaSは、管理者にとても利用者にとってもメリットがたくさんあります。多くの企業がオンプレミスを縮小しつつクラウドシフトを進め、モバイル&テレワークでよりクラウドをダイレクトに利用することが増えている中、IDaaSは正しいユーザーが必要なクラウドアプリケーションに快適にアクセスするために欠かせない基盤になりそうです。では今すぐActive DirectoryをやめてIDaaSに移行できるものなのでしょうか?次回はIDaaS移行のロードマップをお伝えします。

なおアシストではIDaaS製品として、Okta社の「Okta Identity Cloud 」を取り扱っています。IDaaS導入についてのご相談も承ります。こちらのお問い合わせフォーム よりご連絡ください。


長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • 認証
  • ID管理
2021.02.09

IDaaSとは?(3)Active Directoryからの移行ロードマップ

さてIDaaSへ移行するとして、既存のActive Direcoryの扱いはどうしたら良いのでしょう?IDaaSへの移行ロードマップについて、押さえておきたいポイントを踏まえながらご紹介します。

  • 認証
  • ID管理
2021.01.20

SAMLとは?SAML認証の流れをRPG風に解説

シングルサインオンを実装する仕組みの1つであるSAML(サムル)。このSAMLを使った基本的なシングルサインオンの流れが楽しくイメージできるよう、RPG風のストーリーに仕立ててみました。

  • エンドポイントセキュリティ
  • サイバー攻撃
  • 認証
2020.12.11

ゼロトラスト基準の権限管理とは?ファイル保護にゼロトラストを採り入れたい理由

企業のサーバには、重要なシステムファイルや機密情報を含むファイルが数多く存在します。今回は、ファイル保護と言う観点にゼロトラスト基準を採り入れた、アクセス権限管理の考え方をご紹介します。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

ページの先頭へ戻る