- ID管理
- サイバー攻撃
- ゼロトラスト
ID周りの課題がいっぱい!その背景と課題解決の捉え方
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
|
|
様々な環境変化を背景に、ADからIDaaSへの移行を検討されるケースが増えています(参考:IDaaSが必要となった背景 )。IDaaSは、コスト、利便性、セキュリティのいずれの観点でも、理に叶っている仕組みと言えるからです。ただ運用によっては、移行をお奨めしないケースもあります。もし、以下に1つも該当しなければ、今後の新たな選択肢として、IDaaSへの移行を視野に入れていただくことをお奨めします。
<移行をお奨めしないケース>
では実際に、どのように移行を進めると良いでしょう?
スムーズな移行のためにはまず、全体の方針を箇条書きでも決めておくと良いでしょう。多くの組織では、オンプレミス(閉域網でオンプレミスに接続しているIaaSも含む)のリソースを利用していますが、この場合、いきなりIDaaSへ移行するのはリスクも工数も高くなりがちです。そこで、しばらくはADとIDaaSを並行利用しながら徐々にオンプレミスのリソースを減らし、この間、セキュリティ強度もしっかり担保する、しっかりとした移行戦略を立てておくことをお奨めします。
ちなみにADとIDaaSは、並行利用が可能です。一般的なIDaaSのID管理基盤と、ADのIDとパスワードは連携できることが多いためです。例えば「ID同期方式」を採用するIDaaSでは、Azure ADの場合はAzure AD Connect、Oktaの場合はOkta ADエージェントいった同期ツールが提供されていますので、ADで管理している様々な属性値を含むIDとパスワードを、インターネット経由でIDaaS側に同期できる仕組みになっています。オンプレミス側にこれらの同期ツールをインストールすれば、ドメイン認証を受けたユーザーはクラウドアプリケーションをシングルサインオンで利用でき、たとえADやオンプレミスサイト全てがダウンしてもクラウドは継続して利用できます。
Microsoft社の提供するクラウドサービスを利用している場合、Azure ADにテナントが作成され、Microsoft 365やAzureの認証はAzure AD側で行われます。ただし、Microsoft社以外のアプリケーションに対してAzure ADでSSOを提供したり、多要素認証や様々なセキュリティ強化機能を利用するには、有償のサブスクリプションであるAzure AD Premium(P1/P2)を購入する必要があります。これは、様々な機能がバンドルされているライセンスなので、一部の機能しか利用しない場合には割高になる点に注意が必要です。シンプルにADとの連携、SSO、多要素認証が目的であれば、Azure ADと他のクラウドアプリケーションへの認証を、OktaなどのIDaaSで代替することで、コストを下げることができます。
ADFSを利用することで、クラウドアプリケーションの認証をADが担う連携(フェデレーション)が可能になります。しかしこの構成は、クラウド側からの認証要求の入り口となるWeb Applicationプロキシ、ロードバランサをオンプレミスで管理する必要があり、攻撃面となってしまう点に注意が必要です。こだわる理由がないのであれば、IDaaSとの同期ツールを利用した、安全な構成に変更するのが望ましいと言えます。
また、ADのGPO(グループポリシーオブジェクト)はドメイン内のリソースに対して細かなポリシーを適用できますが、IDaaS側でもADと同等のデバイス管理や、静的ポリシーを充足する機械学習やスレットインテリジェンス等の機能が充実し、クラウドアプリケーションの利用にあたってはIDaaSのほうが、より強固な認証とアクセス制御ができるようになっています。今現在利用しているADのGPOをそのまま移植するのではなく、本来のポリシーの目的に立ち返って、IDaaS側で実装できるポリシーへの洗い替えや移行計画を検討することをお奨めします。
移行戦略を実施し、オンプレミス側に管理するリソースがなくなれば、おのずとADがオンプレミスにある意味は無くなります。IDaaSがID管理と認証の統合基盤となれば、アプリケーション単位でばらつきのあった認証強度や、セキュリティとIT運用上に様々な問題を生じさせてきた、いわばサイロ化されたID管理の根本原因がようやく解消されます。
クラウドの導入が始まりと同時に、ITスプロール(無計画にシステムが拡張され、管理が困難な状態)が生じて情報管理とセキュリティのガバナンスが効かせづらい状況が続いていましたが、IDaaSを活用することで、ついに人とアプリケーションをストレスフリーで安全につなぎ、シンプルなモデルで最小限の管理によって運営できる未来のITをようやく実現できます。
これまでIDaaSのメリットを3つの記事でお伝えしながら、理想的なITの姿をお伝えしました。
IDaaSの他にも、コロナ禍でのニューノーマルが模索される中、SASE
などの新しいITの選択肢がどんどん増えています。それぞれのメリットや考慮点について、お役に立てる情報を今後もお伝えしていきたいと思います。
なおアシストではIDaaS製品として、Okta社の「Okta」を取り扱っています。IDaaS導入についてのご相談も承ります。こちらのお問い合わせフォーム
よりご連絡ください。
長谷川 まり
|
|
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
従来のパッケージ版に加え、クラウド版もリリースしたiDoperation。高い可用性が求められるサーバーの特権ID管理もSaaSで利用できるようになったことで、今後ますます需要が増えそうです。
いずれ到来すると考えられるパスワード不要の世界を見据えた、今からできる認証強化の実現方法についてご紹介します。
