• 2023/09/04 掲載

IDaaSとは何か? Azure ADやOktaなどのクラウド型ID管理サービスを比較する

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
1
会員になると、いいね!でマイページに保存できます。
クラウドサービスの利用が拡大する中、各サービスのID管理の負荷が増大している。各サービスのIDやパスワードが漏えいしてしまうと大きなセキュリティインシデントにもなりかねないからだ。こうした中で注目されているのが、ゼロトラストネットワークという概念であり、それを実現する「IDaaS(Identity as a Service)」だ。この記事ではアイ・ティ・アール(ITR) 藤 俊満氏監修のもと 、IDaaSの基本知識・市場規模、主要機能などについて解説するとともに、Microsoft Azure ADやOkta Workforce Identity Cloudなど、代表的なツールをまとめて紹介する。
photo
ゼロトラストネットワークにおけるIDaaS
(出典:ITR)

IDaaSとは何か?

 IDaaS(Identity as a Service)とは、クラウド上のさまざまなサービスのID管理を一元的に行うクラウドサービスだ。利用者は、IDaaSに1回ログインするだけで、事前に登録・連携しているクラウドサービスはすべて使えるようになる。これがIDaaSを導入する最大のメリットだろう。

 企業システムのクラウド化が進む中で、連携サービスのIDを一括管理するIDaaSは、重要な役割を担う。JIPDEC/ITR「企業IT利活用動向調査2023」によると2023年時点でIDaaSを現在利用している国内の企業は27.8%だが、企業のクラウド化が進めば、IDaaSを導入する企業はさらに増えると予測されている。

IDaaSとは何か?
  1. IDentity as a Serviceの略
  2. ID管理を行うクラウドサービスのことで、企業システムのクラウド化の中で重要な役割を担当するサービス
  3. IDaaSに1回ログインすれば、事前に登録・連携している複数のクラウドサービスが使えるようになる
  4. 一般的にIDaaSはID管理と認証基盤を提供するが、アクセス制御をするものもある
  5. IDフェデレーションやIDプロビジョニングと呼ばれる機能が特徴的
(出典:ITR)

IDaaSの主要機能

 では、IDaaSにはどのような機能があるのだろうか。IDaaSに期待されている役割も説明しながら、主要機能を紹介していこう。

IDaaSはゼロトラストネットワークを構築する重要な機能

 IDaaSの役割は、「ゼロトラストネットワーク」を構築することだ。ゼロトラストネットワーク(ZTN)とは、リソースを利用しようとするすべてのトラフィックに対し、「毎回認証することで脅威を防ぐ」というネットワークの概念である。ファイアウォールやVPNの外側・内側関係なく、すべてのトラフィックを同じように評価する点が大きな特徴だ。

 ゼロトラストネットワークでは、毎回認証が発生する。そのため、アプリケーションごとのID・パスワードにプラスして、別の方法でのユーザー認証も行う多要素認証によってリソースを守る。IDaaSは、複数システムへのシングルサインオンや多要素認証などの機能があるため、ゼロトラストネットワークを構築する重要な役割を担う。

IDaaSの主な5つの機能

 IDaaSの主な機能は、「ID管理と認証」である。これらの機能は、さらに次の5機能に分類できる。

  1. 認証機能
    ユーザーの認証、多要素認証、複数のクラウドサービスへのシングルサインオン(SSO)などを指す。

  2. ID管理
    IDaaS自体と登録・連携したクラウドサービスそれぞれのID管理機能を提供する。この1~2年に利用者が増えている項目だ。

  3. ID連携
    IDaaSと各クラウドサービスとのID連携および、オンプレミスの社内システムとのID連携機能を提供。本機能は後述するIDフェデレーションとも言う。この1~2年に利用者が増えている項目だ。

  4. 認可
    認可機能には、クラウドサービスへの適切なアクセス権の付与と、条件によるクラウドサービスへのアクセスコントロールが含まれる。

  5. 監査
    IDaaSおよびクラウドサービスに対する認証や、管理者作業のログを取得する機能のこと。

IDフェデレーションとIDプロビジョニング

 IDaaSの特徴的な機能に「IDフェデレーション」と「IDプロビジョニング」と呼ばれる機能がある。

  • IDフェデレーションとは
    独自のID管理システムを持つ複数のサービスで、それぞれのユーザーIDをリンクさせる。IDフェデレーションにより、一度認証されていれば再び認証画面を表示せずとも連携されアクセスが可能となる。

  • IDプロビジョニングとは
    複数サービスでIDの整合性を取るなど、自動的に管理する機能だ。IDプロビジョニングにより、あるIDを追加したら他の連携サービスでも自動的にIDが追加される。IDを削除すると、自動的に他の連携サービスでもIDが削除され、ID管理の手間が大幅に削減される。

IDaaSの主要プレーヤーとサービス解説

 IDaaSの主要プレーヤーとサービスについて解説していく。主要なプレーヤーは以下の通りだ。

IDaaSに関する主要なプレーヤー
国内の主要プレーヤー サービス名
GMO Global Sign Trust Login
Google Google Cloud Identity
Henge Henge One
Microsoft Azure AD
Okta Customer Identity Cloud
Okta Workforce Identity Cloud
OneLogin OneLogin
Oracle Oracle Identity Cloud Service
SAP SAP Identity and Access Management
Secioss Secioss Link
(出典:ITR)

1. Google Cloud Identity

 GoogleのIDaaSソリューション。企業向けのモバイル管理サービスも兼ねている。シングルサインオンと自動プロビジョニング機能があり、クラウドアプリ全体でユーザーの自動化が行える。

2. Microsoft Azure AD

 Microsoft Azure AD(Active Directory)は、Microsoft Azureの提供するIDaaSだ。これまで提供してきたID管理機能のADをクラウドサービス化し、IDaaSならではの機能を追加している。次の図はMicrosoft Azure ADの全体図だ。

画像
Microsoft Azure ADの全体図
(出典:日本マイクロソフト提供資料)

 Microsoft Azure ADは、IDaaSの機能であるシングルサインオンや多段階認証、クラウドサービス・オンプレミス間とのID連携、監査機能などIDaaSを構成する機能をすべて提供している。Microsoft 365などを利用している場合、意図せずに導入しているケースも多いが、社内にマイクロソフト製品が多く、ADやAzureを導入している場合は、IDaaSの最有力候補の1つと言えるだろう。

3. Okta Workforce Identity Cloud

 Okta社の「Okta Workforce Identity Cloud」は、7,500以上のクラウド・オンプレサービスに対応し、IDaaSの主要な機能をすべて備えたID管理プラットフォームだ。シングルサインオンや多段階認証はもちろん、クラウドサービスだけでなくオンプレミスの社内システムともID連携ができる点が大きな特徴である。以下は、Okta Workforce Identity Cloudを利用したIDaaSの導入イメージである。

画像
Okta Workforce Identity Cloudを利用したIDaaSの導入イメージ
(出典:Okta Japan提供資料)

 中立なサービスであることが強みで、さまざまなアプリとユーザーへの多要素認証(MFA)を提供している。さらに、自動での特権IDへのアクセス権の付与や解除といった機能も搭載している。

4. Onelogin

 Oneloginは、IDaaSの主だった機能をサポートしている製品だ。5,000以上ものサービスと連携し、シングルサインオンや多要素認証などの機能を提供している。

IDaaS市場の規模予測

 IDaaSの市場規模は成長しているため、今度もさらに伸びていくと見込まれている。次の図は、IDaaS市場の規模を予測したグラフだ。

画像
IDaaS市場規模推移および予測(2020~2026年度・売上金額)
(出典:ITR)

 ITRによれば、IDaaS市場は、年平均市場成長率は15.4%という値だ。IDaaSが今後も成長を遂げるためには、社内システム全体をクラウド化またはSaaS化する企業の増加が前提だ。

IDaaSの導入メリット

 IDaaSの導入メリットとしては、次の2点が期待できる。

 1. ID管理と認証の効率化
 IDaaSにより、ID管理と認証が一元化され、大幅な効率化が望める。IDフェデレーション機能でIDaaSと各クラウドサービスのIDを連携し、IDプロビジョニング機能で1か所のIDを変更するだけで、連携している他サービスのIDも自動的に変更可能だ。

 従来、各サービスのIDを順番に修正していたことを考えると、人為的ミスもほぼなくなり、ID管理コストが軽減される。認証についても、IDaaSが一括して行うことにより、エンドユーザー側は1回認証するだけで、シームレスに複数のクラウドサービスを利用でき、認証作業の効率化が可能となる。この利便性もあって、IDプロビジョニング機能は利用企業が増加している。

2. 利便性とセキュリティ向上の両立
 複数のクラウドサービスがそれぞれに管理しているIDを内部で連携させて管理することになるため、利便性とセキュリティ向上の両立が可能。利便性は、先述した通り1回の認証で社内システムのリソースがシームレスに使えることで向上する。セキュリティに関しては、エンドユーザーはID/パスワード管理を1つだけしておけばいい。そのため、パスワードの使いまわし防止になり、セキュリティ向上も同時に実現できる。

IDaaSの導入を成功させる条件

 IDaaSを自社に導入したいと考えるなら、導入を成功させるにはどうしたらいいかも確認しておこう。IDaaS導入を成功させる5つの条件は次のとおり。

  1. 社内システムのクラウド化またはSaaSへの移行
  2. ID管理・アクセス制御ポリシーおよびルールの整備
  3. 統合ID管理の仕組みの確立
  4. SaaSのIDフェデレーション機能対応
  5. 移行した社内システムのIDaaS対応
(出典:ITR)


 1番目の社内システムのクラウド化またはSaaSへの移行は、現在の状況にもよるが、未実現の場合は達成するのに最も時間のかかる条件となる。他の条件は、具体的にIDaaS導入を決定した後に順番に進めていこう。

IDaaSの多様化

 IDaaSはもともと一般的なシステム、クラウドサービスだけの認証だったが、コロナ禍でクラウド移行が加速した。これにより開発保守運用環境のクラウド移行し、その使われ方が多様化した。

 具体的に生まれたのは、APIの認証(プログラムからAPIでIDaaSを呼んで認証する)という使われ方で、人がキーボード叩くのではなく、プログラムの中からIDaaSを呼び出して認証するという手法だ。プログラム間通信においてパスワード、ID、埋め込みで実行されていたものが、最近はAPIでの認証をIDaaS使われるようになったということだ。

 これまでの経緯を振り返ろう。クラウドサービスの利用が少ない間は、社内のオンプレ環境の認証を行ったのち、クラウドサービスにアクセスして認証を行う方法が取られていた。この手法では、一旦社内ネットワークに入る必要があり、オンプレミスとクラウドの2段認証になることがネックであった。

画像
オンプレID認証からクラウド認証(IDaaS)への当初移行パターン
(出典:ITR)

 クラウドサービスが増えてくると、①クラウド認証をメインにしてオンプレ認証との連携させるか、②クラウドから特定のオンプレ環境へアクセスさせるサービス「ZTNA(Zero Trust Network Access)」を使用してクラウド側からオンプレ側にアクセスする方法が存在するようになった。

画像
クラウド認証(IDaaS)主体でのオンプレ認証の共存
(出典:ITR)

 まとめると以下のような形で進化している。

1.クラウドID認証サービス(IDaaS)が登場し、オンプレの社内ID認証システムと併存
2.入退室制限&監視による特権ID管理からクラウド上の特権ID管理用IDaaSへ進化
3.ECサービス向けのIDaaS(CIAM)やアプリケーション間認証(API認証)が登場
 2について、コロナ禍になるまでは本番ルームやマシンルームと呼ばれる入退室制限がある部屋で監視されながら特権IDの操作を行なうことが多かったが、テレワーク環境では特権ID管理サービスを用いてクラウドでの特権ID管理を行うようになっている。

画像
入退室制限&監視のオンプレ特権ID管理からクラウド特権IDaaSへ
(出典:ITR)

 3についてECサービスやWEBサイトが増えてくると、認証を統合化したいというニーズが出てきたため、個人客向けのIDaaS(CIAM)が登場し、増加している。

画像
ECサービス・WEBサイト向けのIDaaS(CIAM)の登場
(出典:ITR)

 クラウドサービスのAPI認証を担う、Rest APIは、HTTPSを用いたプログラムインタフェースで、クラウド通信の主流になると考えられるAPIである。

 クラウドアプリのエコシステムで使用されるAPI認証、つまりクラウドサービス通信の認証はIDaaSを用いたAPI認証(Rest API)は、各社のクラウド移行が進むほど活用が見込まれるだろう。

画像
クラウドサービスのAPI認証
(出典:ITR)

IDaaSの展望

 IDaaSやゼロトラストネットワークの概念は、今後さらに浸透していくと考えられる。

 企業のクラウド化が進むにつれて、IDaaSの導入割合は増えていくだろう。自社へIDaaSを導入するかどうか検討する場合は、社内システムをすべてクラウド化できるかという点から調査を始めてみよう。
■お詫びと訂正[2023/09/06 14:05修正]
一部内容に誤りがありました。本文は修正済みです。ご迷惑をおかけした読者ならびに関係者にお詫び申し上げます。
誤:Okta Identity Cloud
正:Okta Workforce Identity Cloud
誤:Okta社の「Okta Workforce Identity Cloud」は、6,500以上のクラウド・オンプレサービスに対応し、
正:Okta社の「Okta Workforce Identity Cloud」は、7,500以上のクラウド・オンプレサービスに対応し、

評価する

いいね!でぜひ著者を応援してください

  • 1

会員になると、いいね!でマイページに保存できます。

共有する

  • 0

  • 1

  • 0

  • 0

  • 6

  • 0

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます