- 2023/09/04 掲載
IDaaSとは何か? Azure ADやOktaなどのクラウド型ID管理サービスを比較する
IDaaSとは何か?
IDaaS(Identity as a Service)とは、クラウド上のさまざまなサービスのID管理を一元的に行うクラウドサービスだ。利用者は、IDaaSに1回ログインするだけで、事前に登録・連携しているクラウドサービスはすべて使えるようになる。これがIDaaSを導入する最大のメリットだろう。企業システムのクラウド化が進む中で、連携サービスのIDを一括管理するIDaaSは、重要な役割を担う。JIPDEC/ITR「企業IT利活用動向調査2023」によると2023年時点でIDaaSを現在利用している国内の企業は27.8%だが、企業のクラウド化が進めば、IDaaSを導入する企業はさらに増えると予測されている。
- IDentity as a Serviceの略
- ID管理を行うクラウドサービスのことで、企業システムのクラウド化の中で重要な役割を担当するサービス
- IDaaSに1回ログインすれば、事前に登録・連携している複数のクラウドサービスが使えるようになる
- 一般的にIDaaSはID管理と認証基盤を提供するが、アクセス制御をするものもある
- IDフェデレーションやIDプロビジョニングと呼ばれる機能が特徴的
IDaaSの主要機能
では、IDaaSにはどのような機能があるのだろうか。IDaaSに期待されている役割も説明しながら、主要機能を紹介していこう。IDaaSはゼロトラストネットワークを構築する重要な機能
IDaaSの役割は、「ゼロトラストネットワーク」を構築することだ。ゼロトラストネットワーク(ZTN)とは、リソースを利用しようとするすべてのトラフィックに対し、「毎回認証することで脅威を防ぐ」というネットワークの概念である。ファイアウォールやVPNの外側・内側関係なく、すべてのトラフィックを同じように評価する点が大きな特徴だ。ゼロトラストネットワークでは、毎回認証が発生する。そのため、アプリケーションごとのID・パスワードにプラスして、別の方法でのユーザー認証も行う多要素認証によってリソースを守る。IDaaSは、複数システムへのシングルサインオンや多要素認証などの機能があるため、ゼロトラストネットワークを構築する重要な役割を担う。
IDaaSの主な5つの機能
IDaaSの主な機能は、「ID管理と認証」である。これらの機能は、さらに次の5機能に分類できる。- 認証機能
ユーザーの認証、多要素認証、複数のクラウドサービスへのシングルサインオン(SSO)などを指す。 - ID管理
IDaaS自体と登録・連携したクラウドサービスそれぞれのID管理機能を提供する。この1~2年に利用者が増えている項目だ。 - ID連携
IDaaSと各クラウドサービスとのID連携および、オンプレミスの社内システムとのID連携機能を提供。本機能は後述するIDフェデレーションとも言う。この1~2年に利用者が増えている項目だ。 - 認可
認可機能には、クラウドサービスへの適切なアクセス権の付与と、条件によるクラウドサービスへのアクセスコントロールが含まれる。 - 監査
IDaaSおよびクラウドサービスに対する認証や、管理者作業のログを取得する機能のこと。
IDフェデレーションとIDプロビジョニング
IDaaSの特徴的な機能に「IDフェデレーション」と「IDプロビジョニング」と呼ばれる機能がある。- IDフェデレーションとは
独自のID管理システムを持つ複数のサービスで、それぞれのユーザーIDをリンクさせる。IDフェデレーションにより、一度認証されていれば再び認証画面を表示せずとも連携されアクセスが可能となる。 - IDプロビジョニングとは
複数サービスでIDの整合性を取るなど、自動的に管理する機能だ。IDプロビジョニングにより、あるIDを追加したら他の連携サービスでも自動的にIDが追加される。IDを削除すると、自動的に他の連携サービスでもIDが削除され、ID管理の手間が大幅に削減される。
IDaaSの主要プレーヤーとサービス解説
IDaaSの主要プレーヤーとサービスについて解説していく。主要なプレーヤーは以下の通りだ。IDaaSに関する主要なプレーヤー | |
国内の主要プレーヤー | サービス名 |
GMO Global Sign | Trust Login |
Google Cloud Identity | |
Henge | Henge One |
Microsoft | Azure AD |
Okta | Customer Identity Cloud |
Okta | Workforce Identity Cloud |
OneLogin | OneLogin |
Oracle | Oracle Identity Cloud Service |
SAP | SAP Identity and Access Management |
Secioss | Secioss Link |
1. Google Cloud Identity
GoogleのIDaaSソリューション。企業向けのモバイル管理サービスも兼ねている。シングルサインオンと自動プロビジョニング機能があり、クラウドアプリ全体でユーザーの自動化が行える。2. Microsoft Azure AD
Microsoft Azure AD(Active Directory)は、Microsoft Azureの提供するIDaaSだ。これまで提供してきたID管理機能のADをクラウドサービス化し、IDaaSならではの機能を追加している。次の図はMicrosoft Azure ADの全体図だ。Microsoft Azure ADは、IDaaSの機能であるシングルサインオンや多段階認証、クラウドサービス・オンプレミス間とのID連携、監査機能などIDaaSを構成する機能をすべて提供している。Microsoft 365などを利用している場合、意図せずに導入しているケースも多いが、社内にマイクロソフト製品が多く、ADやAzureを導入している場合は、IDaaSの最有力候補の1つと言えるだろう。
3. Okta Workforce Identity Cloud
Okta社の「Okta Workforce Identity Cloud」は、7,500以上のクラウド・オンプレサービスに対応し、IDaaSの主要な機能をすべて備えたID管理プラットフォームだ。シングルサインオンや多段階認証はもちろん、クラウドサービスだけでなくオンプレミスの社内システムともID連携ができる点が大きな特徴である。以下は、Okta Workforce Identity Cloudを利用したIDaaSの導入イメージである。中立なサービスであることが強みで、さまざまなアプリとユーザーへの多要素認証(MFA)を提供している。さらに、自動での特権IDへのアクセス権の付与や解除といった機能も搭載している。
4. Onelogin
Oneloginは、IDaaSの主だった機能をサポートしている製品だ。5,000以上ものサービスと連携し、シングルサインオンや多要素認証などの機能を提供している。IDaaS市場の規模予測
IDaaSの市場規模は成長しているため、今度もさらに伸びていくと見込まれている。次の図は、IDaaS市場の規模を予測したグラフだ。ITRによれば、IDaaS市場は、年平均市場成長率は15.4%という値だ。IDaaSが今後も成長を遂げるためには、社内システム全体をクラウド化またはSaaS化する企業の増加が前提だ。
IDaaSの導入メリット
IDaaSの導入メリットとしては、次の2点が期待できる。1. ID管理と認証の効率化
IDaaSにより、ID管理と認証が一元化され、大幅な効率化が望める。IDフェデレーション機能でIDaaSと各クラウドサービスのIDを連携し、IDプロビジョニング機能で1か所のIDを変更するだけで、連携している他サービスのIDも自動的に変更可能だ。
従来、各サービスのIDを順番に修正していたことを考えると、人為的ミスもほぼなくなり、ID管理コストが軽減される。認証についても、IDaaSが一括して行うことにより、エンドユーザー側は1回認証するだけで、シームレスに複数のクラウドサービスを利用でき、認証作業の効率化が可能となる。この利便性もあって、IDプロビジョニング機能は利用企業が増加している。
2. 利便性とセキュリティ向上の両立
複数のクラウドサービスがそれぞれに管理しているIDを内部で連携させて管理することになるため、利便性とセキュリティ向上の両立が可能。利便性は、先述した通り1回の認証で社内システムのリソースがシームレスに使えることで向上する。セキュリティに関しては、エンドユーザーはID/パスワード管理を1つだけしておけばいい。そのため、パスワードの使いまわし防止になり、セキュリティ向上も同時に実現できる。
IDaaSの導入を成功させる条件
IDaaSを自社に導入したいと考えるなら、導入を成功させるにはどうしたらいいかも確認しておこう。IDaaS導入を成功させる5つの条件は次のとおり。- 社内システムのクラウド化またはSaaSへの移行
- ID管理・アクセス制御ポリシーおよびルールの整備
- 統合ID管理の仕組みの確立
- SaaSのIDフェデレーション機能対応
- 移行した社内システムのIDaaS対応
1番目の社内システムのクラウド化またはSaaSへの移行は、現在の状況にもよるが、未実現の場合は達成するのに最も時間のかかる条件となる。他の条件は、具体的にIDaaS導入を決定した後に順番に進めていこう。
IDaaSの多様化
IDaaSはもともと一般的なシステム、クラウドサービスだけの認証だったが、コロナ禍でクラウド移行が加速した。これにより開発保守運用環境のクラウド移行し、その使われ方が多様化した。具体的に生まれたのは、APIの認証(プログラムからAPIでIDaaSを呼んで認証する)という使われ方で、人がキーボード叩くのではなく、プログラムの中からIDaaSを呼び出して認証するという手法だ。プログラム間通信においてパスワード、ID、埋め込みで実行されていたものが、最近はAPIでの認証をIDaaS使われるようになったということだ。
これまでの経緯を振り返ろう。クラウドサービスの利用が少ない間は、社内のオンプレ環境の認証を行ったのち、クラウドサービスにアクセスして認証を行う方法が取られていた。この手法では、一旦社内ネットワークに入る必要があり、オンプレミスとクラウドの2段認証になることがネックであった。
クラウドサービスが増えてくると、①クラウド認証をメインにしてオンプレ認証との連携させるか、②クラウドから特定のオンプレ環境へアクセスさせるサービス「ZTNA(Zero Trust Network Access)」を使用してクラウド側からオンプレ側にアクセスする方法が存在するようになった。
まとめると以下のような形で進化している。
2.入退室制限&監視による特権ID管理からクラウド上の特権ID管理用IDaaSへ進化
3.ECサービス向けのIDaaS(CIAM)やアプリケーション間認証(API認証)が登場
3についてECサービスやWEBサイトが増えてくると、認証を統合化したいというニーズが出てきたため、個人客向けのIDaaS(CIAM)が登場し、増加している。
クラウドサービスのAPI認証を担う、Rest APIは、HTTPSを用いたプログラムインタフェースで、クラウド通信の主流になると考えられるAPIである。
クラウドアプリのエコシステムで使用されるAPI認証、つまりクラウドサービス通信の認証はIDaaSを用いたAPI認証(Rest API)は、各社のクラウド移行が進むほど活用が見込まれるだろう。
IDaaSの展望
IDaaSやゼロトラストネットワークの概念は、今後さらに浸透していくと考えられる。企業のクラウド化が進むにつれて、IDaaSの導入割合は増えていくだろう。自社へIDaaSを導入するかどうか検討する場合は、社内システムをすべてクラウド化できるかという点から調査を始めてみよう。
一部内容に誤りがありました。本文は修正済みです。ご迷惑をおかけした読者ならびに関係者にお詫び申し上げます。
誤:Okta Identity Cloud
正:Okta Workforce Identity Cloud
誤:Okta社の「Okta Workforce Identity Cloud」は、6,500以上のクラウド・オンプレサービスに対応し、
正:Okta社の「Okta Workforce Identity Cloud」は、7,500以上のクラウド・オンプレサービスに対応し、
関連コンテンツ
PR
PR
PR