IDaaS製品とは
1-1.どういった製品か?
IDaaS製品とはID統合認証基盤のクラウドサービスです。認証基盤のSaaSというとイメージが付きやすいかと思います。
IDaaS製品では主に認証と認可に関わる部分の機能を提供しており、ご利用中のクラウドサービスと連携することにより、クラウドサービス利用時のセキュリティを向上させるだけでなく、シングルサインオン(以下SSO)により、1度の認証によって複数のクラウドサービスにログイン出来るため、ユーザにとって利便性が向上する製品です。
また、ユーザだけでなく管理者にとってもユーザプロビジョニングといった機能により、連携しているクラウドサービス側のユーザアカウントの作成、更新、無効化を自動化することも出来るため、運用の負担も軽減することができる製品です。
1-2.なぜIDaaS製品が求められているのか?
IDaaSが求められている背景としては、大きく3点あります。
①クラウドサービスの利用が増え、それぞれのサービスへのログインに課題が出来たため。
クラウドサービスが増えることでサービスごとにパスワードを覚える手間や認証のためにアカウント情報とパスワードを入力する手間が増えるといった課題を持たれている企業も多いのではないでしょうか。IDaaS製品を導入することで、サービスごとにパスワードを覚える必要もなく、IDaaS製品で一度認証をしてしまえば、複数のクラウドサービスにログインすることが可能になります。
②リモートワークが急速に普及し、社内ネットワークの外からクラウドサービスを利用するケースが増えた。
従来はIP制限などでセキュリティ対策を行っていましたが、テレワークやクラウド利用が増え、社外からのアクセスが増えてくると通信量やセッション数の観点から一度VPNなどを利用して社内ネットワークを経由させるような構成を取ることが難しくなります。
その結果IP制限が掛けられなくなるため、別の仕組みで守る必要が出てきます。
③クラウドサービスのセキュリティ向上のために多要素認証(MFA)の重要性が高まったため。
MFAによる認証をしていないとログイン出来ないようにするというクラウドサービスも出てきており、MFAに対応していく必要性が高まっています。
特に一般的なソフトウェア型のワンタイムパスワードを利用するような場合は、利用しているクラウドサービス毎にワンタイムパスワードのアプリケーションに登録をしていくと、非常に煩雑でどのコードを入力すればいいのかぱっとわかりにくくなるといった課題もあります。
認証ハブとしてIDaaSを挟むことで、IDaaSでMFAの設定を行えばよく、SaaSごとにMFAの設定をしなければならない煩わしさを解消することが可能です。ユーザ目線でもアプリごとにMFAの認証をさせることが無くなり、手間を減らすことが可能です。
ここからは、IDaaS製品の分野のリーダーとして、非常に多くの企業で利用されているOktaの機能をご説明します。
Oktaで実現出来ること
2-1.認証に関連する機能
2-1-1.SSO
IDaaSと言えばSSO(シングルサインオン)というイメージをお持ちの方も多いかと思います。
SSOとは名前の通り一度Oktaで認証することにより、複数のクラウドサービスに対して改めて認証することなくログインすることが出来るようになります。
2-1-2.MFA
Oktaでは様々な認証要素に対応しており、お客様の働く環境に応じて柔軟に選択すること
が可能です。
例えば、業務上スマートフォンなどを持ち込めないような環境で勤務されている場合でも
ハードウェアOTPや認証デバイスであるYubikeyをご利用頂くことで多要素認証を実現することが可能です。
2-1-3.コンテキストベース認証
Oktaで判定するリスクやコンテキストからセキュリティリスクが低い場合は1要素での認
証にすることで、多要素認証の頻度を減らし、ユーザのログイン時の負担を軽減します。
一方で未知のデバイス、場所からのアクセスはリスクが高いため多要素認証を強制させることが可能です。
2-1-4.デバイストラスト
これまでご説明した機能は、アクセスしてくる「人」に関する認証でしたが、人の認証に
加え、アクセスしてくる「端末」についても認証し、サインオンを制御することが可能で
す。Oktaではこれをデバイストラストと呼んでいます。
ユーザ認証に加えて端末認証を実施することで、攻撃者からの攻撃を防ぐだけでなく、私
用端末などの管理されていない端末からのクラウドサービスへのアクセスなどを拒否する
ことが可能です。
2-2.認可に関連する機能
2-2-1.ユーザプロビジョニング
Oktaでユーザ情報を変更すると連携しているクラウドのユーザ情報に反映されます。
そのため、管理者の方の運用稼働を削減できると共に、使われていないユーザアカウントを利用した不正アクセスによる情報漏洩リスクの低減が可能です。
2-2-2.グループルール
所属部署などの属性値によって所属するグループを自動的に分けることが可能です。
例えば異動の際に所属部署の情報が変われば、自動的にOktaグループ間を移動し、結果
利用できるSaaSも所属部署に合わせて変えることが出来ます。
それ以外にもサインオンポリシーをグループ単位でかけるなど様々な用途でこのOktaグ
ループを利用します。
Oktaではグループへの所属を非常に柔軟にルール化することが可能です。
2-3.認証・認可をサポートする機能
2-3-1.Okta Workflows
OktaWorkflowsという機能は、GUIベースで運用時に必要となる処理を繋いでいくことに
よって、Oktaやクラウドサービスで実現したい作業を自動化することが可能です。
他のSaaS製品側での処理についても事前にOkta側で処理をカードとして用意しており、
自由に組み合わせることが可能です。
参考:既に様々なクラウドサービスへの連携用の設定が実装されており、APIリファレン
スを見ながらコマンドを作成する手間を省きつつ、各種処理を自動化することが可能で
す。
2-3-2.Okta Identity Governance
OktaではIdentity Governanceの機能をリリース致しました。
ID管理機能である、アクセスレビュー、アクセス申請承認、レポーティングの3機能を
追加しています。
IDaaS製品を選ぶ上でのポイント
お客様の実現したいご要望に合わせた機能という観点では、それぞれの製品の機能をご確認頂き選定していく必要があります。
機能という観点に加え、下記の観点についても選定の時に検討することをおすすめします。
おわりに
クラウドサービスやテレワークの普及により、ゼロトラストな環境を整備することが喫緊の課題になっております。そのような中で、ID管理に関する当社へのご相談が増えております。
また、クラウドサービスを利活用していくためには既存のID管理基盤を見直し、IDaaS製品を導入する流れは避けては通れません。
まずは、どういったことが出来るのか、どのように運用負荷が軽減されるのか、セキュリティリスクを低減出来るのかをPoCを行い、自社でやりたいことが本当に実現可能かを検討することが重要です。
NRIセキュアでは、上記のような課題に寄り添ったご提案が可能です。IDaaS導入をご検討の際には、是非NRIセキュアにご相談ください。
<関連サービス>