ID管理（IDaaS）とは？シェアや事業者・サービスを徹底比較！

近年、多くの企業が社内システムからクラウド型にデータの管理方法を以降しています。これに伴い、クラウドサービスにも対応できるシングルサインオン機能やセキュリティー対策を強化するIDaaSの需要が急速に高まっています。この記事ではこのIDaaSについて解説していきます。

⇒IDaaSで実現するゼロトラストの原理・原則！今だけ資料を無料プレゼント中！

ID管理（IDaaS）とは？

従来の企業ネットワークでは、ファイアウォールにより「内側」と「外側」に区別されていて、ファイアウォールの内側は安全と認識されていました。「内側」にある企業のITリソースは安全で、Active Directoryなど「内側」にいるユーザーを正規のユーザーと捉えていました。しかし、クラウドサービスやスマートデバイスが普及し、企業も「内側」のデータをクラウドに保存したり、「外側」からユーザーがアクセスして協同作業をしたりするようになりました。企業のIT環境において、ファイアウォールは境界とならなくなってきました。そして、企業のリソース・ユーザーを区分する境界は、ユーザーのアイデンティティとなっています。

IDaaS(アイダース)とは”Identity as a Service”の略称になります。

これはクラウド型のID管理、シングルサインオン、アクセス制限などを与えるセキュリティサービスのことを表します。これまで自社の情報システムでIDを管理(オンプレミス)していた機能をクラウド上でも使用できるといった内容です。ネットさえ繋がればどこからでも社内システムだけでなく、クラウドにもアクセスできます。

IDaaSは近年急速に需要が高まっており、Okta、HENNGE、OneLogin、Azure ADなどが代表的なIDaaSサービスです。

ID管理（IDaaS）が市場で求められる背景

冒頭でも述べました通り、IDaaSは近年需要が非常に高まっており、今後もまだまだ伸びることが予測されております。ここでは、IDaaSが市場で求められる背景についてお話します。

業務システムのクラウドサービスへの移行

近年、社内のオンプレミスシステムをクラウドサービスへ移行する企業が格段に急増しており、オンプレミス・クラウド双方でのユーザ情報認証が求められるようになりました。企業のクラウドサービスへの移行が急速に進んだ要因は３つあります。

１つ目の要因は、IT技術の進歩です。IT技術の進歩により、ネットワークの高速化、セキュリティの強化、仮想化や分散処理などの新たな技術の登場、スマートフォンなどモバイル端末の充実化、サーバの大容量化が図られました。これらの技術進歩により、従来オンプレミスでしか構築できなかったシステムをクラウドサービスとして提供することが可能となりました。特に、セキュリティの強化は要因として大きく、これまではセキュリティの観点から業務システムは社内ネットワーク内のサーバへ構築し運用することが一般的でしたが、社内ネットワーク内で担保できていたのと同等レベルのセキュリティ要件を、社外ネットワーク上のクラウドサービスでも満たすことができるようになり、企業の業務システムのクラウドサービス化を後押ししました。こうした背景から、Amazon AWSやOffice 365、Salesforceなど様々なクラウドサービスが登場し、多くの企業が導入するようになりました。

２つ目の要因は、ユーザ企業側のメリットです。近年、企業各社においてはますます業務効率化やコストカットが叫ばれるようになりました。クラウドサービスは自社にサーバを構築する必要がないうえ、アプリケーション面でもあらかじめ業務に必要な初期セットアップがなされた状態で提供されることから、初期導入の短期化および低コスト化を図れるようになりました。また、運用保守においても自社でサーバを管理する必要がないことから、サーバ運用担当者の負荷を軽減でき、かつランニングコストを削減できるようになりました。このように、初期導入・ランニング双方においてコストや効率化におけるメリットが大きく、多くの企業でクラウドサービスが採用されるようになりました。

３点目は、サービス事業者側のビジネスモデルの変化です。これまでオンプレミス構築型のソフトウェアとして製品を販売していたソフトウェアベンダ各社は、サービス事業者としてサブスクリプション型のクラウドサービスを提供するよう、ビジネスモデルを切り替えるようになりました。クラウドサービスへと提供形態を切り替えることで、サービス事業者側は、初期導入の効率化や継続的な売り上げ獲得を図ることができ、安定して収益を得られるといったメリットが享受できるようになります。こうしたことから、従来社内ネットワーク内での構築が常識とされていた基幹業務システムの分野においても、クラウドサービス化が進みました。実際、SAP やMicrosoft といった大規模ERPパッケージベンダもオンプレミスでの販売を終了し、SAP S/4 HANAやMicirosoft  D365といったクラウド型でサービスを提供するようになりました。こうしたサービス事業者側の提供形態の切替は、企業にとってもクラウドサービスの導入を余儀なくされることになりました。

以上の要因が相まって、企業の業務システムのクラウドサービス化は急速に進みました。クラウドサービスの導入を推進することで、企業にとっては従来から利用してきた社内ネットワーク内のオンプレミスシステムと、新しく導入されたクラウドサービスとの併用が余儀なくされ、オンプレミスシステムとクラウドサービスの両方に対応したユーザ認証情報管理が必要になります。こういった背景から、企業各社でIDaaSが求められるようになりました。

雇用形態の変化

近年雇用形態が変化したことで、システム面でのユーザ情報管理業務は煩雑化し、効率化やセキュリティ対策が求められるようになりました。従来の日本企業における働き方は新卒一括採用による終身雇用が一般的でしたが、バブル崩壊やリーマンショックによる不況を経て終身雇用制度は崩壊し、非正規の派遣・契約社員、フリーランスとしての働き方や、転職を前提とした働き方が一般的となりました。さらに近年では、外国人スタッフの積極採用や副業の容認、社員の個人事業主化など、働き方はますます多様化されております。派遣・契約社員や転職ありきの働き方が進むことで企業では従業員の入退社が激しくなりましたが、従業員が入退社する都度システム面ではユーザ情報の追加や削除を行う必要がありますので、ユーザ管理業務の分量が増加しております。また、正社員意外にも非正規の社員や、場合によっては業務委託契約を行うフリーランスについてもID管理が必要となり、管理対象は増えております。管理対象が増えることで、権限を区別する必要がありますので、ユーザ管理業務自体も煩雑化・複雑化されます。こうした働き方の変化に伴いユーザID管理業務は負荷が高まったことから効率化が必須となり、IDaaSのニーズは一層高まっております。

M＆Aの加速化

経営層目線での効果としては、IDaaSを採用することで、M＆A後の新組織における業務立ち上げを早期化できるといったことが挙げられます。M＆Aは1990年代後半から2000年代前半にかけて急速に増加し、近年では特に日本の中小企業のM＆Aが急増しております。時代背景としては、少子高齢化による後継者難から事業所の黒字廃業が相次いでおり、経済産業省も「2025年までに、70歳以上となる後継者未定の中小企業約127万社のうち、黒字廃業の可能性のある約60万社」の第三者承継（M＆A）を促すことを目標として掲げていることからも、この傾向は益々増加の一途をたどることが予想されます。M＆Aは、買い手側の企業にとって、事業の多角化や販売チャネルの拡大、新規事業の拡大といった様々なメリットが享受される一方、M＆A後の新組織による早期の業務立ち上げが求められますが、これにはシステムの対応も大きく関係します。ユーザ認証基盤の観点に焦点を充てて説明しますと、従来では、各社の社内ネットワークに設置されたActive Directory(AD)などの認証サーバを使用してユーザ認証を行うことが一般的でした。この場合、M＆Aで新会社を買収した際に、買収した会社の既存ユーザ認証基盤上のユーザ情報を親会社のユーザ認証基盤へ移行することが必須で、この作業には膨大な工期・工数・コストを要しました。しかし、IDaaSを導入することで、買収した会社の既存ユーザ認証基盤と親会社のユーザ認証基盤をクラウド上で連携させることが可能となり、大掛かりなデータ移行やサーバ統合を行う必要がなく、ユーザ認証基盤のシステム統合をスピーディかつ低コストで行うことができるようになりました。M＆A後の新組織で早期に業務を立ち上げるためにも、システムの対応を短期かつ低コストで行うことは必須であり、ユーザ認証管理においてこれが実現できるIDaaSの需要は一層高まっております。

ID管理（IDaaS）で何ができるようになるの？

IDaaSは、SaaSやIaaSなどと同様に、クラウド上に管理システムを置くIAM（Identity and Access Management）サービスとして提供される点が特徴です。内部統制を強化してセキュリティレベルを高めるためのサービスがもともとのIAMです。これまでは、企業の情報システム部門が、ADを利用して業務システムと人事DBもシングルサインオンさせるなど、社内ネットワーク内に限定した認証をしていました。しかし、Skype、Salesforce、Office 365、サイボウズ、AWSといったクラウドサービスを利用するようになると、各クラウドサービスへの認証となるため、社内のシングルサインオンを適用することができません。

IDaaSを利用することでクラウド上でのセキュリティ強固を実現することが可能です。社内システムはもちろん、クラウドサービスに対しても、ID認証連携機能やシングルサインオン、アクセス制御など、様々なセキュリティ上の課題にアプローチしながら解決することが可能です。これにより、社内システム・クラウドサービスを問わず、業務で必要なシステムにワンクリックでログインできるようになります。

主に、IDaaSはID管理と認証サービスを提供することが目的なサービスと言っていいでしょう。ID管理機能については従来でも同様なサービスが存在しましたが、IDaaSはクラウドとの親和性に優れているのが大きな違いです。ID管理システムをクラウドサービスとして提供するIDaaSは、各種クラウドサービスとの連携を前提に開発されています。そのため、企業のネットワークに手を加えずに、安全なアクセスを実現することが可能になります。現代において、自社の物理サーバーを一切所有しない企業が増加し、この様に、現代においてクラウド化が進み利用が増加する中で、クラウドサービス向け機能をより強化し提供されていることはIDaaSの利用価値をさらに高めることでしょう。

ID管理（IDaaS）を構成する構成要件

IDaaSを構成するにあたり必要となる要件とはどの様なものでしょうか？以下まとめて紹介します。

構成するにあたっては、二つに分類でき、「IDマネジメント機能」と「アクセスコントロール機能」から構成されます。

また、IDaaSにはこういった基本的なセキュリティ機能に加え、様々なCSVファイルフォーマットに対応することができる事や、APIで外部からの操作が可能になるなどと言った適応機能も必要となると考えます。今後は企業が導入するにあたり利用するデバイスの管理機能もIDaaSには追加される事でしょう。

IDマネジメント機能（IDM：Identity Management）

IDマネジメント機能は、IDやパスワードといったユーザのアイデンティティをIdP(Identity Provider)として管理する機能です。利用者のメリットは一元管理です。利用者がIDMの１箇所をオペレーションすれば、クラウドとオンプレのどちらでも利用している複数のアプリケーションに対して、自動プロビジョニングによりアカウント作成等を完了させることができます。１つのIDで複数のアプリケーションにログインできるシングルサインオン（SSO）の利便性に加え、社員の入退社時のID管理なども一箇所で済むことになり、管理工数の削減、情報管理観点でのリスク軽減もできるのです。

なお、現時点で「Google」「Microsoft」「Salesforce」などのメジャークラウドサービスは、自動プロビジョニングを実現するための機能を「プロビジョニングAPI(Application Programming Interface)」として公開しており、IDaaS側はこのAPIをCallすることにより、機能実現しています。IDaaSを利用することで、１企業がサービス毎に全てのAPIを理解し機能実装する必要がなくなります。

• ID管理　社員の入退社時のアカウント作成や削除をはじめ、配属変更時の情報変更を一元管理するというものです。アカウント情報をもつマスターシステムの情報を変更するだけで完了し、システムごとの情報変更は必要がなくなります。
• ID連携　オンプレと様々なクラウドアプリケーション同士の連携がスムーズにできます。連携先のサービスへの認証セキュリティ追加や、連携する様々な外部サービスへのシングルサインオンができるようになります。

アクセスコントロール機能

アクセスコントロール機能とは、いわゆる「認証」と「認可」です。IDaaSを利用する企業において、導入理由として最も重視するものといえます。

各種クラウドサービスを利用する際にIDaaSを利用することによって、社外からのアクセスを制限するアクセス場所の制限、BYOD端末からのアクセスを制限するアクセスデバイスの制限、多要素認証を利用して確実に本人確認を行う認証の強化、が可能になります。

これまで企業は、ファイアウォールによって社内LANに閉じた中でセキュリティを確保していました。クラウドサービスの導入とともに、どこからでもアクセス可能になり、またどのデバイスからでも利用可能になります。しかし、情報管理の観点や労務管理の観点から解決すべき課題が数多くあります。クラウドの利用には、認められたアクセス場所、認められたアクセスデバイス、確実な本人確認が必要になります。テレワークやモバイルワークなど働き方が多様化していく中で、企業は様々な利用条件を設定する必要があるのです。

IDaaSは多数のクラウド、オンプレシステムが持つアクセスルールの機能差分をIdP(Identity Provider)として管理し、一箇所で定義します。企業が適用したいポリシーをSP(Service Provider)全てのアプリケーションに適用することができるので、個々のアプリケーションが持つアクセスルールの機能を気にする必要がなくなるのです。

• ユーザー認証とシングルサインオン　社内ADの認証情報のみでユーザーを一元管理できます。また、多要素認証による確実な本人確認でのシングルサインオンが可能です。
• 認可　アクセス元のIPアドレスやアプリケーションなどの情報を元に、アクセスの可否を制御できます。
• 監査ログ　ログレポート機能では、管理者が社員のパスワードの変更履歴やサービスの利用状況などをレポートとして確認し、把握することができます。IDaaSが安全に運用されているかどうか、管理者はいつでも確認可能です。

ID管理（IDaaS）のメリット

上記でIDaaSの構成要件をお話ししました。ここでは構成要件にそってIDaaSのメリットをお話しします。

ユーザのID・パスワード管理の利便性向上

IDマネジメント管理がシンプルなのが特徴なIDaaS。利用者としてはＩＤ・パスワードの管理を一元的に管理できるのがメリットとして挙げられます。シングルサインオン機能が搭載されているので、一括ログインが可能になります。これは、一つのIDに対し、複数のプリケーションにログインすることができる事を意味します。もう少し詳しく説明すると、IDaaSの利用者がIDMの一つを操作するだけで、利用している複数のアプリケーション・クラウドに対してアカウントを作成完了することができます。IDに付随したパスワードの増加が諸問題として掲げられていましたが、一括ログインが可能になるのでIDaaSにログインする為のパスワードさえ覚えておくだけで済むのも魅力の一つだと言えます。その為、パスワードの作成に悩んだり、使い回しによるリスクを回避することができます。

このパスワード問題は様々な企業で頭を悩ませていた問題で、パスワード管理を厳しくするがゆえに、パスワードの使い回しや複雑パスワードを作成させる会社が多くありましした。確かに、こう言った対策はセキュリティ対策において一定の効果を保つかもしれませんが、多くの従業員は多くのパスワードの作成と複雑さで覚えることが困難となり、頻繁にパスワード忘れからパスワードリセットをする必要がありあまり効率的ではありません。情報システム部においても負担がかかります。情報管理といった点でも優れていて、新入社員や退職者と言ったIDの追加・無効化作業が単一のダッシュボードで操作できるので、管理が簡単になり業務負担が軽減できます。ユーザー一人一人はもちろんですが、部門ごとでもアクセスできるシステムが一括で制限できます。

アクセスコントロールによるセキュリティ強化

アクセスコントロール機能においても様々なメリットがあります。企業や組織は、従来のセキュリティに対して、アクセスの場所の制限、デバイスの制限。認証の強化のニーズを高めています。そのニーズを的確にアプローチし解決したのがIDaaSです。現在は働き方改革や新型コロナウィルスの影響でクラウドサービスの推進とニーズが非常に高まっています。社内LANと言った限られた空間でのみセキュリティを確保すればよかった時代から、クラウドサービスによって決められた場所や決められたデバイスのみの利用ではなく、どこからでも、そのデバイスからでもアクセスを必要とする時代に移行しています。しかし、全てを認めてしまうことはいまの状況では難しいのが現状です。そこで、アクセスにあたって権限を与えられた人が一定の条件を満たすことでアクセスが可能となる常に確認するセキュリティシステムが必要です。そう言った意味でも、アクセスコントロール機能は今後のネットワーク社会で大きな意味を成すことと言えるはずです。

監査はログレポート機能とも言えます。この機能は管理者が社内IDaaSの利用状況を把握できる機能のことを言います。この機能を使えば、社員のサービス利用状況が把握できるほか、パスワードの変更履歴を確認することができます。また、IDaaSが安全に運用されているかも随時確認することができます。

ID管理（IDaaS）のデメリット

ここまではIDaaSのメリットについてお話ししました。一方でデメリットについても抑えておく必要がありますので、これから説明させていただきます。

連携できるクラウドサービスやシステムに限界がある

クラウドサービスとの連携が可能とは言え、すべてのクラウドサービスと連携可能であるとは限らないというのが１点です。クラウドサービスは年々増え続けていることから、IDaaS提供者側もすべてのクラウドサービスに対応するのに限界があります。とは言え、Microsoft Azure ADのように現状は対応していなくてもギャラリー登録申請を行うことで今時点では連携対応していないクラウドサービスにおいてもIDaaS提供業者も動作保証してくれるサービスもあります。しかし、クラウドサービスのログオン認証の仕様に制約があり互換性を持たせることがどうしてもできないものが出てくるリスクもあります。クラウドサービスとの連携可否を確認しないでIDaaS製品を導入してしまった場合、重要なクラウドサービスと連携できず、当初の導入目的を果たせなくなるといった事態にも陥りかねません。

また、クラウドサービスのみならず社内ネットワークに存在するオンプレミスシステムについても同様に、IDaaSとの連携ができないといった可能性が考えられます。アプリケーション側のユーザ認証仕様との互換性という観点もありますが、社内ネットワークのセキュリティポリシーの関係上、そもそも社内ネットワーク外に存在するクラウドサービスであるIDaaSとの連携ができないといった可能性も考えられます。こうした場合は社内ネットワークのセキュリティポリシーを緩めるといった対応が考えられますが、これを行うにあたっても社内でのリスク対策、関係部門との調整、承認手続きなどで非常に労力が必要となりますし、最悪セキュリティリスクの観点から承認されない可能性も考えられます。

IDaaS製品を導入する前に、自社で使用しているクラウドサービスや社内ネットワークのオンプレミスシステムとの連携可否についてあらかじめ確認しておくことで、上記の事態を回避する必要があります。

コストがかかる

IDaaSサービスを導入するにあたっては、初期導入・ランニング費用含めてコストがかかります。初期導入コストについては、特に連携対象のクラウドサービスや社内ネットワーク内のオンプレミスシステムの数が多ければ多いほど構築作業やテスト作業のボリュームが増えます。利用ユーザ数が極めて少なかったり、使用頻度が極めて低かったりと、費用対効果が見込めない業務システムについては連携対象から外すなど、初期導入コストを抑えるための工夫を行う必要があります。ランニング費用については、ユーザ数に比例して増えるものとなりますが、IDaaSを導入することで得られるメリットを享受するためには必要となるコストですので、初期導入のみならず数年単位で見た費用対効果が得られるかについてよく検討する必要があります。

障害発生時の業務影響が大きい

IDaaSでクラウドサービスや社内ネットワーク内のオンプレミスシステムのID・パスワードを一元管理している場合、IDaaSサービス側で障害が発生した際、ユーザはIDaaSと連携しているすべての業務システムへログインすることができなくなります。ユーザが業務システムへログインできなくなると当然業務が滞りますので、取引先への納品遅延や受注機会の損失、調達先や金融機関への支払い遅延が発生し、企業にとっては大きな損失につながります。また、IDaaSが復旧するまでの間は、ユーザはシステム外の運用で業務を行う必要がありますので、普段と異なる手順での業務を強いられることから現場で混乱が生じたり、長時間労働につながったりと従業員にとっても非常に大きな業務負荷がかかります。Active Directlyのように社内のサーバへユーザ認証基盤を置いている場合は個別対応で迅速な復旧を行うことができますが、IDaasは社外のクラウドサービスとなりますため復旧に時間を要する可能性があります。

こういったリスクを加味して安定したサービス提供が可能なIDaaS製品を選定することはもちろんのこと、トラブル発生時の代替手段についてもあらかじめ検討しておく必要があります。

セキュリティ攻撃時の情報漏洩リスク

ユーザ認証管理をIDaaSで実施している場合、IDaaSサービスに対してセキュリティ攻撃がなされた場合、会社の個人情報が外部へ流出し、悪用されてしまうリスクが考えられます。もちろん、こういたリスクは社内サーバに認証基盤を構築している場合も同じですが、セキュリティ強度や対策を自社で設定できず、サービス提供業者側に委ねることになりますので不安が拭えません。サービス選定時は、どのようなセキュリティ対策が施されているかについても充分に考慮しておく必要があります。

ID管理（IDaaS）と他クラウド型サービスの違い

パスワードマネージャーとの違い

各種クラウドサービスの中にはもともとID・パスワードを一元管理することでシングルサインオンを提供するパスワードマネージャーというものがあります。ID・パスワード管理という点では一見IDaaSと同じですがどう違うのでしょうか？

まず、基本的にパスワードマネージャーは個人向けツールとなります。個人の私有端末において個人のIDやパスワードを管理します。対してIDaaSは複数のユーザーが存在することが前提です。複数のユーザーとは、管理者権限を持つもの、一般ユーザー、請負業者ユーザーなど、複数のユーザーに権限が存在し、組織全体のID・パスワード管理を行います。

さらに例をもとに詳しく違いを説明すると、個人利用のパソコンやフリーランサーが利用するといった場合はパスワードマネージャーが良いでしょう。複数のユーザーが同じ端末を使用しアクセスする場合は少ないので、手軽にできるパスワードマネージャーがオススメであり適しています。一方で、組織内で複数のユーザーが存在する場合、ユーザー権限を分けて認証セキュリティを強化したい場合はIDaaSが適していると言えるでしょう。また、パスワードマネージャーはユーザーにパスワードを教えることなく、クラウド上でシングルサインオンすることは不可能です。IDaaSクラウドサービスのログインパスワードを教えることなくIDaaS経由でシングルサインオンさせるといった使い方ができるのも特徴です。

IaaS、PaaS、SaaSとの違い

IDaaSの他に似たようなクラウド型のサービスとしてIaaS、PaaS、SaaSなどがあります。これらはIDaaSとどのように違うのでしょう？ここでは上記の3つとIDaaSとの違いについて説明していきます。

まずその前にはIaaS、PaaS、SaaS、それぞれの特徴と違いについて確認しましょう。

1. どれもネット上で販売されるクラウドコンピューティングのサービスです。
2. これら3つはそれぞれ使用目的や拡張性が異なります。
3. 全てネット上で利用可能なサービスであると言う点は同じです。一方それぞれ利用できるサービスのカバーする範囲が違います。

IaaSはインフラのみ（サーバー・ネットワーク・ストレージ）に対し、PaaSはインフラに加えプラットフォームの提供も行っています。これに対し、SaaSはインフラ・プラットフォームに加え、アプリケーションもインターネット上で供給しています。それぞれの違いを下記で簡単にまとめました。

インターネット上で提供する範囲

この3つの中では、サービスのカバーする範囲が最も広いのがSaaSとなっています。ここで、IDaaSとの違いについてですが、話を簡単にするためSaaSのみと比較します。IDaaSはあくまでクラウドなどからのアクセスに対してもセキュリテイ保護をもたらせるサービスになります。なのでクラウドから直接アプリケーションを提供しているSaaSのセキュリティ対策がIDaaSと理解頂ければと思います。

IaaSの意味

IaaS （イァース）とは”Infrastructure as a Service”の略称です。これはクラウドコンピューティングのサービスの1つです。インターネット上で仮想サーバー、機材、ネットワーク、ストレージなどの情報システム起動に必要なインフラの利用を可能にしてくれます。

これまではシステムを構築する時は、自社でサーバーの購入や運用を行う必要がありました。IaaSを使えば、自社でサーバーを持つ必要も、ソフトウェアも持つ必要もありません。ネット上でいつでも必要な時だけサーバーやストレージサービスを利用できます。例えば、Google Compute Engine、Amazon Elastic Compute Cloudなどがこれに該当します。

PaaSの意味

PaaS （パース）とは”Platform as as Service”の略称です。アプリケーションを実行するために必要なプラットフォームをネット上で供給するサービスのことです。PaaSを使うことで、サーバーの設置、ネットワークの設定などの手間が省けます。また、インフラの維持コストも節約できます。例えばGoogle App Engineなどがこれに該当します。

SaaSの意味

SaaS（サース）とは”Software as a Service”の略称です。ソフトウェアをネット上で供給するサービスのことです。どの端末からでもデータへアクセス可能で、ネット上に保存できる、複数人でデータ共有などのメリットがあります。例えば、G Suite、Salesforceなどが該当します。

ADFSとIDaaSの違い

ここではIDaaSとADFSの違いについて解説致します。

ただこのセクションでは専門用語が多くなりすぎるので、まずはADFSやActive Directoryについて触れておきます。ADFSとはActive Directory Federation Servicesの略称で、ADFSはActive Directoryにサインインした後に作られるチケットをベースにクラウドでもそのチケットを用いてログイン状況を共有できる仕組み（簡易的なシングルサインオン）を提供しています。これだけだと、全然わからないと思いますので、一つ一つ丁寧に説明していきます。

Active Directory Federation Servicesについて理解する前に、前提となるActive Directoryについておさらいしましょう。

前提としてActiveDirectoryについて解説

企業はActive Directoryを使用すれば複数のサーバーで管理していた複数のユーザー情報を一元管理できます。個別にID、パスワードを管理する手間が省けます。つまり、Active Directoryを使えばどこからでもPC起動時に一度だけユーザー　ID、パスワードを入力すれば良いのです。しかし、このActive Directoryも万能ではありません。Active Directoryが不便なのは例えば、クラウドサービスを利用する時です。クラウドに入る時は毎回ID、パスワードを入力する必要があります。Active Directoryには自身の中でしか有効ではないチケットのようなものが作られます。これが他のPCからログインする時には共有されるから一回のパスワード入力で社内システムに入れます。

しかし、クラウドにログインするときはこの情報は共有されません。（クラウドに入れるチッケトは発行してくれません。）従って、クラウドサービスを使用する時はActive Directoryでは非常に手間がかかります。

ADFSはActiveDirectoryの課題を解決した

ActiveDirectoryは、Windows 2000から導入されたディレクトリサービスです。具体的には、PCを使用するユーザー情報やPCの構成要素となるソフトやハード、CPUなどコンピューターリソースを管理するためのシステムです。例えば、企業のシステムで重要な顧客データや販売実績などを観ようとした場合、誰がアクセスしたかを特定するために、「ユーザー名」と「パスワード」の入力を求めるケースがあります。

そのユーザーの認証機能を担っているのが、ActiveDirectoryになります。誰でも簡単に閲覧できるような状態だと、データ流出や漏洩に繋がるため、ActiveDirectoryが導入されています。コンピューターリソースの管理に関しては、設定を一元管理できる点が魅力です。

現在、メールなどのサービスがSaaSなどのクラウドに移行される傾向が高まっています。SaaSはクラウド上で行われるサービスであるが故、インターネットが繋がる環境ならどこでもアプリケーションや業務の情報にアクセスできます。しかし、SaaSに移行する過程でセキュリティ上の懸念があり、これを解消するためにログイン情報の一元化や認証の強化に関する必要性が非常に高まっています。

Active Directoryでは一部のリソースに対してしか共有されない認証状況が、ADFSを活用すると他のサーバーにもまたいでセッション情報が共有されるので、様々な環境にまたがったシングルサインオンが実現出来ました。

ADFSとIDaaSの違いはクラウドベースかどうか

では、ADFSとIDaaSとの違いは何でしょうか？一見するとクラウド利用時にログイン情報を共有し、セキュリティ保護を行うことからADFSとIDaaSは同じ機能に見えます。実際、機能面での両者に違いはほぼありません。

この2つの違いはID管理のベースをどこに置くか？と言う点です。社内ネットワークをベースにActive Directoryを利用しながら、色んなクラウドサービスにシングルサインオン機能を利用したい場合はADFSがお勧めです。一方、ID管理を全てクラウドに移管したい方にとってはIDaaSの方が都合良いです。

IDaaSの読み方

ここで、改めてIDaaSのおさらいです。IDaaS(アイダース)とは”Identity as a Service”のことです。先ほどご説明したSaaS、IaaS、PaaSなどとは別のクラウドサービスを指します。

これまで自社の情報システムでIDを管理(オンプレミス)していた機能をクラウドで提供するものです。Okta、HENNGE、Onelogin、Azure ADなどが代表的なIDaaSサービスを提供する会社です。クラウドでの利用目的で開発されたIDaaSはSAMLなどのプロトコルで連携することで、クラウドでのログイン情報の共有（ID連携）も可能です。IDaaSを利用することで社内システムはもちろん、クラウドサービスの利用も一度だけのログイン情報入力で様々なソフトウェアの利用が可能となります。

ID管理（IDaaS）を利用するには？

IDaaSの利用を検討する場合は、まずは提供する企業をチェックして見ましょう。そこから、自分に合っているサービスを提供する企業を見つけ、その企業のページから簡単に申し込みができ、即時で利用することができるものもあります。中には、サービス購入の支払い確認が行われないと利用できないものもあるので、即導入を検討する際は事前に確認しておきましょう。ここでは国内で最も利用されている「トラストログイン」を例にIDaaS利用方法を紹介します。

まずは先述した通り企業のページから利用申し込みを選択。申し込み時にはメールアドレスが必要となります。このメールアドレスは企業や組織で使っているメールアドレスを使用してください。メールアドレスを用いて登録した後、管理者としての設定を行います。設定内容としては「どの社内クラウドアプリで利用するのか」「IDとパスワード設定」「ユーザーの権限設定」などがあります。また、IDaaSを導入する場合はブラウザにアドオンツールを入れることが一般的となっているので忘れない様にインストールしておきましょう。

料金体制は、ほとんどのIDaaSを提供する企業が月額制です。中には無料で利用できるサービスもありますが、追加オプションを支払うことになったり、登録可能なアプリケーションの個数に制限があったり、利用できるユーザー数に制限があったりするので注意してください。

ID管理（IDaaS）の利用するにあたっての採用基準

IDaaSは大企業だけでなく中小企業でも導入が加速しています。ニーズが増加するに伴い、国内や海外の企業がIDaaSをリリースしています。提供する企業は数ありますが、どのIDaaSを選べばよいか5つのポイントを紹介するので参考にしてみてください。

セキュリティや運用の信頼性

IDaaSを利用する前提としては自社のID・パスワードを社外に預けることになります。クラウドセキュリティーにおける情報管理の重要な基盤といえます。なので、提供企業が高いセキリュティーを確保しているかは最も重要ポイントです。また、IDaaSのサービスが停止してしまうと、すべてのクラウドサービスにアクセスできなくなってしまいます。選定にあたっては、サービスの安全性が十分であるかを確認することが重要です。信頼の置ける企業であるか、企業の評判などもしっかりチェックしておきましょう。チェック項目としては、セキュリティに関して外部監査を設けている事や、SoC証明書を取得しているかなどをチェックしてサービス企業を選択するのがおすすめです。リスクに対する対処や、ユーザー数などの実績もチェックして、総合的に判断していくといいでしょう。

初期投資が抑えられ、手軽なサブスクでのサービス提供もありますが、これには問題もあります。IDaaSは企業の認証基盤なので、簡単にサービス停止になっては困るのです。サービスを継続できる安定した経営基盤がある企業を選ぶ必要があります。

国内SaaSの対応

IDaaSが出てきた当初は海外企業が先行してサービスを提供していました。しかし、海外サービス品だと日本企業が開発したSaaSに対応していないとの声が多く挙がっています。必ず、企業で国内SaaSを利用している場合は社内で使っているSaaSが対応しているかチェックしてください。

海外IDaaS企業は、世界中のユーザーのニーズを聞き、どのSaaSに対応するかを決めています。効果的な開発のためには、人口もユーザー数も多い北米の意見がは通りやすく、日本のユーザーの意見は通りにくくなります。利用している国内SaaSが現在は未対応の場合、もし、将来的に対応する予定と言われても、導入しない方がいいでしょう。

また、IDaaSはあらゆるアプリケーションの中心となるため、拡張性に優れていることが重要です。多様なアプリケーションとの接続方法があるかどうか、あらゆるデバイスやブラウザーに対応しているかどうか、連携機能が充実しているかどうかもチェックしてください。このほか、人事情報などの更新情報をIDaaSが受け取り、各システムとの同期をとるような機能を備えているかも、チェックポイントとなります。

サポート体制

IDaaSは企業の重要データを預かっているサービスです。もしトラブルが発生した際に海外企業のもだとしたら時差の関係で確認作業が遅れてしまうといったデメリットがあります。IDaaSは、企業にとっての新しい認証基盤です。ですから、問題が発生したときに、本社は夜中なので翌朝を待って確認するというようなサポートでは、ユーザーに多大な影響が出てしまいます。こうした事例のように、サポート体制が整っているかも重要事項と言えます。

サポートが可能な時間帯や問い合わせの時間帯など必ず確認しておきましょう。また、海外企業の場合、日本語での問い合わせが可能なのかも重要です。IDaaSにおいて何らかのトラブルがあった場合に最初に問い合わせができるのがどこかもチェックポイントです。開発元の企業なのか、販売店なのか。単なる受付窓口なのか、それとも技術的に知見がある担当者なのか。販売店やカスタマーセンターなどといった場合は問題解決までに時間が時間がかかってしまうこともあります。先述した通りIDaaSは社内アクセスなど業務に大きく影響するシステムなのでより迅速にトラブル解決することが求められます。どの手段でのサポートが可能かも確認しましょう。例えば、簡単な問合せや質問はチャットが利用できて、急ぎの場合は電話サポートというように、いくつかの手段を使い分けられるかどうかもチェックしておくと安心です。

コスト

IDaaSを提供する多くの企業が月額制を採用しているところがほとんどです。月額制のメリットはユーザーの初期投資費用が抑えられる他、気軽に始められて気軽にやめられるのが魅力です。中には年契約の起業もありますので確認してみてください。月額制はメリットが多いように思われますが、注意事項もあります。月額費用の標準プランにはどの程度含まれているのか、オプション費用はどういった場合にかかってくるのか、その費用はどのくらいなのかを確認して下さい。最低ユーザー数が設定されている場合もあります。先述したサポート体制についても、サポート費用が月額料金に含まれているのか、それもまたオプションなのかもしっかり確認しておくべき項目です。これらをしっかり確認せずに利用開始してしまうと、後から思わぬコストがかかってしまう場合もあるのです。念入りに確認し、契約前には「自分の認識が本当に間違っていないか」を電話やメールで確認するといいでしょう。

最低でもこれらの項目をしっかりと確認して導入しましょう。初めての導入でわからないことも多い場合もあると思いますが、検討している企業に直接電話やメールで確認し自分が納得した上で利用しましょう。

ID管理（IDaaS）のシェアは今後も拡大

クラウド型の情報管理で利便性を発揮するIDaaSですが、近年このサービスの需要が急速に高まっていると冒頭で説明致しました。ではこのサービスの市場規模はどの程度なのでしょう？

IT専門調査会社のIDC Japan社の調査によれば、2019年のソフトウェア製品の市場規模は2,638億円、SaaS型のセイキュリティソフトの市場規模は325億円(前年比14.5%増)と予想されています。また、同年のセキュリティサービスの市場規模については、8,275億円(前年比　4.9%)と予想されています。

これに対し、IDaaSの市場規模は2018年時点で21億円です(前年比 43.8%増)。2019年度も38.6%の成長が予想されれいます。こちらはIT調査・コンサルティング会社のITR社の情報です。

上記に基づき、2018年の段階でのIDaaSの市場シェアを計算すると7%ほどになります(2019年の数字から逆算)。2018年時点では、まだまだ市場への浸透度は低いですが、成長率は43.8%と急激な成長を続けています。

IDCJapanの調査によれば、国内のセキュリティソフトの需要は2018-23年で年率 3.4%ほどの成長が見込まれています。そして、データ管理がクラウドへ移行するに従い、クラウドサービスのニーズが増えることが予想されます。これに伴い、SaaS型のセキュリテイソフトの自体の需要も年率13%程度(2018-23年)で成長が見込まれています。

IDaaSの成長率は同じ期間では示されていませんが、2018年の単年度ベースで見た時の成長率はSaaSの成長率を大幅に上回っています。このことからIDaaS市場シェアは今後ますます伸びていくと考えられます。

IDaaSのシェア一覧表

次に、IDaaSのサービスを実際に提供する大手4社 (Okta, HENNGE, Onelogin, Azure AD)の紹介と4社のサービス比較を行います。

IDaaS提供者の個別解説

IDaaS提供者：Okta, Inc.

Okta社はアメリカのIDaaS管理会社です。米国ではNASDAQに上場もしており、IDaaSの分野では世界最大手の会社です。

しかし、Okta社には日本法人はありません。同社のサービスは管理画面が英語表記のままなので、英語に慣れていない方には躊躇してしまうかもしれません。

ただし、同社のサービスは強固なセキュリティ対策も施されており、英語の問題さえクリアできれば信頼性の高いサービスです。料金は月額2ドル、3ドルのコースがあります。機能ごとに料金が変わる仕組みになっており、コストが高くつく印象です。必要なユーザー数とコストを検証しながら検討した方が良いでしょう。

IDaaS提供者：HENNGE株式会社

HENNGE社は日本の大手IDaaS管理会社で、2019年には東証マザーズに上場をしています。日本国内のシェアは高く、2017年の調査(株式会社富士キメラ総研)によると同社のサービス「HDE One」は出荷ベースで国内市場シェアの65.4%を取りました。同社の料金体系は月額400円、500円、750円の構成になっています。日本の会社ということもあり、日本語でサポートを受けられる点も強みです。

IDaaS提供者：Onelogin

Onelogin社も アメリカのIDaaS管理会社です。同社は日本法人も持ちます。日本の会社とも代理店契約を結んでいます。同社のサービスは月額2ドルから利用可能です。ただし、これは英語表記になります。日本語表記(ユーザー画面のみ)は月額4ドル以上のコースからとなります。しかし、どのコースを選んでも管理画面はOkta同様英語となります。4,000以上のクラウドアプリに対応しています。複数のアカウントから1つのパスワードでアクセスが可能です。注意点としては、日本のクラウドサービスには対応していないものもあります。

IDaaS提供者：Azure Active Directory (Azure AD)

マイクロソフトが運営するクラウドベースのID管理会社です。同社のサービスは月額 112円、672円、1,008円のコースの他に無料のコースもあります。無料版ではユーザーあたり10のアプリにシングルサインオンが可能です。

IDaaS提供者の比較表

ご覧の通り、HENNGE社以外は全てアメリカの会社です。サービスを選ぶ際は、サービスの内容、月額料金だけでなく、サポート体制がどこまで充実しているか？といったことまで確認することをお勧め致します。

特に、アメリカの会社の場合、管理画面が英語でわかりにくいなどの懸念もあります。問合せを行いたくても、日本法人がない場合もあります。また、日本法人があっても日本法人から米国本社に問い合わせて回答するなどケースも想定できます。

その場合は返事をもらうのに時間がかかることを覚悟する必要があります。上記の問題点を事前にきちんと整理した上で、利用する会社を選ぶ方が良いと思います。

本記事では以上となります。IDaaSを選択するかどうかはIDの管理をどこに置くか？(オンプレミス or クラウド)が大切なポイントになります。みなさんに利用方法に適したデータ管理手法を選ぶ参考にして頂ければ幸いです。