ようこそゲストさん

ビジネス+ITを始める

フォローの多い人気のタグ
人気のタグ一覧へ
注目のイベント・セミナー
イベント・セミナー一覧へ

ITと経営の融合でビジネスの課題を解決する

ビジネス＋ITとは？

ログイン

無料登録

閉じる

トップページ
セキュリティ
ID・アクセス管理・認証
IDaaSとは何か？ Azure ADやOktaなどのクラウド型ID管理サービスを比較する

2023/09/04 掲載

IDaaSとは何か？ Azure ADやOktaなどのクラウド型ID管理サービスを比較する

ありがとうございます！
いいね！した記事一覧をみる

会員になると、いいね！でマイページに保存できます。

ID・アクセス管理・認証

|

タグをもっとみる

クラウドサービスの利用が拡大する中、各サービスのID管理の負荷が増大している。各サービスのIDやパスワードが漏えいしてしまうと大きなセキュリティインシデントにもなりかねないからだ。こうした中で注目されているのが、ゼロトラストネットワークという概念であり、それを実現する「IDaaS（Identity as a Service）」だ。この記事ではアイ・ティ・アール（ITR）藤俊満氏監修のもと、IDaaSの基本知識・市場規模、主要機能などについて解説するとともに、Microsoft Azure ADやOkta Workforce Identity Cloudなど、代表的なツールをまとめて紹介する。

監修：アイ・ティ・アールコンサルティング・フェロー藤俊満

アイ・ティ・アールコンサルティング・フェロー藤俊満

外資系ITリサーチファームにおいて、 ITコストベンチマーキング手法を用いたITコスト最適化、ITリスクマネジメント、ベンダー評価などのITマネジメントコンサルティング業務に従事。また、国内大手証券系シンクタンクでは、金融業界向けシステムコンサルティング、大手商社系システムインテグレーターのクラウド事業部門ではアウトソーシング、クラウド移行、システム事業継続計画（IT-BCP）策定などのコンサルティング責任者を務める。ITコンサルティングのみならず、金融機関・流通業・製造業向けのビジネスコンサルティングやESG（環境・社会・企業統治）投資評価コンサルティングの実績も有する。2016年よりITRのアソシエート・フェローとして活動、2019年1月に入社し、現職。

ゼロトラストネットワークにおけるIDaaS

（出典：ITR）

IDaaSとは何か？

　IDaaS（Identity as a Service）とは、クラウド上のさまざまなサービスのID管理を一元的に行うクラウドサービスだ。利用者は、IDaaSに1回ログインするだけで、事前に登録・連携しているクラウドサービスはすべて使えるようになる。これがIDaaSを導入する最大のメリットだろう。

　企業システムのクラウド化が進む中で、連携サービスのIDを一括管理するIDaaSは、重要な役割を担う。JIPDEC／ITR「企業IT利活用動向調査2023」によると2023年時点でIDaaSを現在利用している国内の企業は27.8％だが、企業のクラウド化が進めば、IDaaSを導入する企業はさらに増えると予測されている。

IDaaSとは何か？

IDentity as a Serviceの略
ID管理を行うクラウドサービスのことで、企業システムのクラウド化の中で重要な役割を担当するサービス
IDaaSに１回ログインすれば、事前に登録・連携している複数のクラウドサービスが使えるようになる
一般的にIDaaSはID管理と認証基盤を提供するが、アクセス制御をするものもある
IDフェデレーションやIDプロビジョニングと呼ばれる機能が特徴的

（出典：ITR）

編集部おすすめ記事

“マーケの神様”も苦戦中？「イマーシブ・フォート東京」がずっとパッとしない真因

IDaaSの主要機能

　では、IDaaSにはどのような機能があるのだろうか。IDaaSに期待されている役割も説明しながら、主要機能を紹介していこう。

IDaaSはゼロトラストネットワークを構築する重要な機能

　IDaaSの役割は、「ゼロトラストネットワーク」を構築することだ。ゼロトラストネットワーク（ZTN）とは、リソースを利用しようとするすべてのトラフィックに対し、「毎回認証することで脅威を防ぐ」というネットワークの概念である。ファイアウォールやVPNの外側・内側関係なく、すべてのトラフィックを同じように評価する点が大きな特徴だ。

　ゼロトラストネットワークでは、毎回認証が発生する。そのため、アプリケーションごとのID・パスワードにプラスして、別の方法でのユーザー認証も行う多要素認証によってリソースを守る。IDaaSは、複数システムへのシングルサインオンや多要素認証などの機能があるため、ゼロトラストネットワークを構築する重要な役割を担う。

IDaaSの主な5つの機能

　IDaaSの主な機能は、「ID管理と認証」である。これらの機能は、さらに次の5機能に分類できる。

認証機能
ユーザーの認証、多要素認証、複数のクラウドサービスへのシングルサインオン（SSO）などを指す。

ID管理
IDaaS自体と登録・連携したクラウドサービスそれぞれのID管理機能を提供する。この1～2年に利用者が増えている項目だ。

ID連携
IDaaSと各クラウドサービスとのID連携および、オンプレミスの社内システムとのID連携機能を提供。本機能は後述するIDフェデレーションとも言う。この1～2年に利用者が増えている項目だ。

認可
認可機能には、クラウドサービスへの適切なアクセス権の付与と、条件によるクラウドサービスへのアクセスコントロールが含まれる。

監査
IDaaSおよびクラウドサービスに対する認証や、管理者作業のログを取得する機能のこと。

IDフェデレーションとIDプロビジョニング

　IDaaSの特徴的な機能に「IDフェデレーション」と「IDプロビジョニング」と呼ばれる機能がある。

IDフェデレーションとは
独自のID管理システムを持つ複数のサービスで、それぞれのユーザーIDをリンクさせる。IDフェデレーションにより、一度認証されていれば再び認証画面を表示せずとも連携されアクセスが可能となる。

IDプロビジョニングとは
複数サービスでIDの整合性を取るなど、自動的に管理する機能だ。IDプロビジョニングにより、あるIDを追加したら他の連携サービスでも自動的にIDが追加される。IDを削除すると、自動的に他の連携サービスでもIDが削除され、ID管理の手間が大幅に削減される。

IDaaSの主要プレーヤーとサービス解説

　IDaaSの主要プレーヤーとサービスについて解説していく。主要なプレーヤーは以下の通りだ。

IDaaSに関する主要なプレーヤー
国内の主要プレーヤー	サービス名
GMO Global Sign	Trust Login
Google	Google Cloud Identity
Henge	Henge One
Microsoft	Azure AD
Okta	Customer Identity Cloud
Okta	Workforce Identity Cloud
OneLogin	OneLogin
Oracle	Oracle Identity Cloud Service
SAP	SAP Identity and Access Management
Secioss	Secioss Link

（出典：ITR）

1. Google Cloud Identity

　GoogleのIDaaSソリューション。企業向けのモバイル管理サービスも兼ねている。シングルサインオンと自動プロビジョニング機能があり、クラウドアプリ全体でユーザーの自動化が行える。

2. Microsoft Azure AD

　Microsoft Azure AD（Active Directory）は、Microsoft Azureの提供するIDaaSだ。これまで提供してきたID管理機能のADをクラウドサービス化し、IDaaSならではの機能を追加している。次の図はMicrosoft Azure ADの全体図だ。

Microsoft Azure ADの全体図

（出典：日本マイクロソフト提供資料）

　Microsoft Azure ADは、IDaaSの機能であるシングルサインオンや多段階認証、クラウドサービス・オンプレミス間とのID連携、監査機能などIDaaSを構成する機能をすべて提供している。Microsoft 365などを利用している場合、意図せずに導入しているケースも多いが、社内にマイクロソフト製品が多く、ADやAzureを導入している場合は、IDaaSの最有力候補の1つと言えるだろう。

3. Okta Workforce Identity Cloud

　Okta社の「Okta Workforce Identity Cloud」は、7,500以上のクラウド・オンプレサービスに対応し、IDaaSの主要な機能をすべて備えたID管理プラットフォームだ。シングルサインオンや多段階認証はもちろん、クラウドサービスだけでなくオンプレミスの社内システムともID連携ができる点が大きな特徴である。以下は、Okta Workforce Identity Cloudを利用したIDaaSの導入イメージである。

Okta Workforce Identity Cloudを利用したIDaaSの導入イメージ

（出典：Okta Japan提供資料）

　中立なサービスであることが強みで、さまざまなアプリとユーザーへの多要素認証（MFA）を提供している。さらに、自動での特権IDへのアクセス権の付与や解除といった機能も搭載している。

4. Onelogin

　Oneloginは、IDaaSの主だった機能をサポートしている製品だ。5,000以上ものサービスと連携し、シングルサインオンや多要素認証などの機能を提供している。

IDaaS市場の規模予測

　IDaaSの市場規模は成長しているため、今度もさらに伸びていくと見込まれている。次の図は、IDaaS市場の規模を予測したグラフだ。

IDaaS市場規模推移および予測（2020～2026年度・売上金額）

（出典：ITR）

　ITRによれば、IDaaS市場は、年平均市場成長率は15.4％という値だ。IDaaSが今後も成長を遂げるためには、社内システム全体をクラウド化またはSaaS化する企業の増加が前提だ。

IDaaSの導入メリット

　IDaaSの導入メリットとしては、次の2点が期待できる。

　1. ID管理と認証の効率化
　IDaaSにより、ID管理と認証が一元化され、大幅な効率化が望める。IDフェデレーション機能でIDaaSと各クラウドサービスのIDを連携し、IDプロビジョニング機能で1か所のIDを変更するだけで、連携している他サービスのIDも自動的に変更可能だ。

　従来、各サービスのIDを順番に修正していたことを考えると、人為的ミスもほぼなくなり、ID管理コストが軽減される。認証についても、IDaaSが一括して行うことにより、エンドユーザー側は1回認証するだけで、シームレスに複数のクラウドサービスを利用でき、認証作業の効率化が可能となる。この利便性もあって、IDプロビジョニング機能は利用企業が増加している。

2. 利便性とセキュリティ向上の両立
　複数のクラウドサービスがそれぞれに管理しているIDを内部で連携させて管理することになるため、利便性とセキュリティ向上の両立が可能。利便性は、先述した通り1回の認証で社内システムのリソースがシームレスに使えることで向上する。セキュリティに関しては、エンドユーザーはID/パスワード管理を1つだけしておけばいい。そのため、パスワードの使いまわし防止になり、セキュリティ向上も同時に実現できる。

IDaaSの導入を成功させる条件

　IDaaSを自社に導入したいと考えるなら、導入を成功させるにはどうしたらいいかも確認しておこう。IDaaS導入を成功させる5つの条件は次のとおり。

社内システムのクラウド化またはSaaSへの移行

ID管理・アクセス制御ポリシーおよびルールの整備

統合ID管理の仕組みの確立

SaaSのIDフェデレーション機能対応

移行した社内システムのIDaaS対応

（出典：ITR）

　1番目の社内システムのクラウド化またはSaaSへの移行は、現在の状況にもよるが、未実現の場合は達成するのに最も時間のかかる条件となる。他の条件は、具体的にIDaaS導入を決定した後に順番に進めていこう。

IDaaSの多様化

　IDaaSはもともと一般的なシステム、クラウドサービスだけの認証だったが、コロナ禍でクラウド移行が加速した。これにより開発保守運用環境のクラウド移行し、その使われ方が多様化した。

　具体的に生まれたのは、APIの認証（プログラムからAPIでIDaaSを呼んで認証する）という使われ方で、人がキーボード叩くのではなく、プログラムの中からIDaaSを呼び出して認証するという手法だ。プログラム間通信においてパスワード、ID、埋め込みで実行されていたものが、最近はAPIでの認証をIDaaS使われるようになったということだ。

　これまでの経緯を振り返ろう。クラウドサービスの利用が少ない間は、社内のオンプレ環境の認証を行ったのち、クラウドサービスにアクセスして認証を行う方法が取られていた。この手法では、一旦社内ネットワークに入る必要があり、オンプレミスとクラウドの２段認証になることがネックであった。

オンプレID認証からクラウド認証（IDaaS）への当初移行パターン

（出典：ITR）

　クラウドサービスが増えてくると、①クラウド認証をメインにしてオンプレ認証との連携させるか、②クラウドから特定のオンプレ環境へアクセスさせるサービス「ZTNA（Zero Trust Network Access）」を使用してクラウド側からオンプレ側にアクセスする方法が存在するようになった。

クラウド認証（IDaaS）主体でのオンプレ認証の共存

（出典：ITR）

　まとめると以下のような形で進化している。

１.クラウドID認証サービス(IDaaS)が登場し、オンプレの社内ID認証システムと併存
２.入退室制限＆監視による特権ID管理からクラウド上の特権ID管理用IDaaSへ進化
3.ECサービス向けのIDaaS（CIAM）やアプリケーション間認証（API認証）が登場

　2について、コロナ禍になるまでは本番ルームやマシンルームと呼ばれる入退室制限がある部屋で監視されながら特権IDの操作を行なうことが多かったが、テレワーク環境では特権ID管理サービスを用いてクラウドでの特権ID管理を行うようになっている。

入退室制限＆監視のオンプレ特権ID管理からクラウド特権IDaaSへ

（出典：ITR）

　3についてECサービスやWEBサイトが増えてくると、認証を統合化したいというニーズが出てきたため、個人客向けのIDaaS（CIAM）が登場し、増加している。

ECサービス・WEBサイト向けのIDaaS（CIAM）の登場

（出典：ITR）

　クラウドサービスのAPI認証を担う、Rest APIは、HTTPSを用いたプログラムインタフェースで、クラウド通信の主流になると考えられるAPIである。

　クラウドアプリのエコシステムで使用されるAPI認証、つまりクラウドサービス通信の認証はIDaaSを用いたAPI認証（Rest API）は、各社のクラウド移行が進むほど活用が見込まれるだろう。

クラウドサービスのAPI認証

（出典：ITR）

IDaaSの展望

　IDaaSやゼロトラストネットワークの概念は、今後さらに浸透していくと考えられる。

　企業のクラウド化が進むにつれて、IDaaSの導入割合は増えていくだろう。自社へIDaaSを導入するかどうか検討する場合は、社内システムをすべてクラウド化できるかという点から調査を始めてみよう。

■お詫びと訂正[2023/09/06 14:05修正]
一部内容に誤りがありました。本文は修正済みです。ご迷惑をおかけした読者ならびに関係者にお詫び申し上げます。
誤：Okta Identity Cloud
正：Okta Workforce Identity Cloud
誤：Okta社の「Okta Workforce Identity Cloud」は、6,500以上のクラウド・オンプレサービスに対応し、
正：Okta社の「Okta Workforce Identity Cloud」は、7,500以上のクラウド・オンプレサービスに対応し、

評価する

いいね！でぜひ著者を応援してください