
好きな所から読む
IdPとは?
IdP(Identify Provide)とは、クラウドサービスやアプリへのアクセスを試みるユーザーのIDやパスワードなどの認証情報を提供する役割を果たすことです。クラウドサービスやアプリでのシングルサインオンを実現するSAML認証(Security Assertion Markup Language)で活用されます。
SAML認証は異なるインターネットドメインを繋ぐために開発された通信プロトコルです。IdPを活用することでクラウドサービスだけでなく、オンプレミス環境でユーザー情報を一元管理するActiveDirectory等との連携も可能にしています。
ユーザーが利用する様々なサービスでの認証情報を一元管理することで、管理業務の負担軽減と情報漏洩に関する対策を行うことが可能です。IdPは、クラウド上でID認証やシングルサインオンなど複数の機能をサービスとして提供するIDaaS(Identity as a Service)に欠かせない存在です。
IdPが役割を担うSAML認証実現の流れとは?
ユーザーが利用したいクラウドサービスSP(Service Provider)にアクセスする場合、IdPからSPへの流れを記載します。
- ユーザーはSPにアクセス
- SPがSAML認証の要求を作成
- SPがアクセスとSAML認証要求をIdPに送信
- IdPがユーザー情報を確認
- IdPがSAML認証の応答を作成
- SPがSAML認証の応答に基づいてアクセス許可を判断
IdPで実現できることとは?
シングルサインオン、多要素認証、ユーザー情報の管理が挙げられます。
シングルサインオン
シングルサインオンは、単一のID/パスワードで、クラウドサービスやアプリにログインできる仕組みです。他のサービスに一度でもログインに成功すれば、認証情報を信頼して他のサービスにも適用します。業務上で利用頻度の高いSalesforceやG Suite、Office365などをワンクリックで使用できるので、業務上のストレス減少と業務効率の改善に貢献します。
多要素認証
多要素認証は、クラウドサービス利用時にID/パスワードの入力だけでなく、ワンタイムパスワードや生体認証などを活用した複数の認証を求めることです。スマートフォンのSMS機能を活用したワンタイムパスワード、顔認証や指紋認証を活用した生体認証などを求めることで、精度の高い本人認証を実現できます。
ユーザー固有の情報を用いた認証を活用することで、犯罪者のなりすましや不正アクセスのリスク軽減が可能です。最近では認証機能の規格を開発・発行する団体FIDO Allianceによって、専用トークンやカードキーを利用した認証が実現できるなど、パスワードレスでの認証を活用する動きも加速しています。
ユーザー情報の管理
ユーザーIDやアクセス権などの認証情報を一元管理できます。クラウド上で管理を行うので、社員の入社・退社による増減にも柔軟に対応が可能です。社員の部署移動による属性情報の更新も簡単に管理者側で更新できるだけでなく、アクセス権の閲覧範囲も自動で更新されるため非常に便利です。
また、個別管理によるソフトウェアのライセンス費用の増大や対応の手間などを回避できます。ActiveDirectoryとも連携しているので、オンプレミスからクラウド上への移行もスムーズに行えます。
IdPを活用してユーザー認証を行うIDaaSとは?
IDaaSはシングルサインオン、多要素認証、アクセス制限などの多彩な機能を搭載しており、クラウド上でのID管理を行います。インターネットに接続できる環境があればどこでも利用できることもあり、現在導入が進められているテレワークや在宅勤務など、場所を問わない働き方の導入を加速させます。
また、オンプレミスで利用するよりもコスト面や運用面で様々なメリットがあり、今後さらに導入を進める企業が増加することが予想されます。
IDaaSの機能とは?
IDaaSに搭載されている基本的な機能をまとめました。
認証機能の種類の多さやアクセス制限の方法などがベンダーによって異なってきます。
自社によって最適なサービスを見つけてください。
機能&特徴 | 導入効果 | |
シングルサインオン |
|
|
多要素認証 |
|
|
ID管理・連携 |
|
|
アクセスコントロール |
|
|
ログ |
|
|
IDaaSを利用する4つのメリットとは?
低コスでの運用、場所を問わない働き方の導入加速、業務負担軽減、セキュリティレベルの向上が挙げられます。
低コストでの運用が可能
ベンダーが設定している使用料金さえ払えばすぐに利用できます。
ハードウェアの購入や特別な設定作業は必要ないので、初期費用も掛からずにスムーズに導入が可能です。
また、多くのベンダーで無料トライアル期間を設けているので、使い勝手や必要な機能を見極められます。
極力無駄なコストを掛けないようにすることが可能です。
ユーザーのアクセス地点は関係なし
インターネットに接続できる環境さえあれば問題ありません。そのため、働く場所は社内に限定する必要が無く、自宅やカフェ、サテライトオフィスなど多様な場所からアクセスが可能です。
テレワークなど場所を問わない働き方の導入は社員と企業の双方にとって、多大なメリットをもたらします。また、新型コロナウイルスの感染を防ぐための対策としても有効です。
オフィス外での働き方を選べるメリット
社員 | 企業 | |
内容 |
|
|
業務負担軽減
サイバー攻撃によるシステムダウンや通信障害などのアクシデントの際も、自社で対応する必要はありません。
全てサービスを提供しているベンダーが対応するからです。
管理者の業務負担を軽減できるだけでなく、セキュリティ業務経験が浅い社員しかいない企業でもクラウドサービスの移行に踏み切れます。
また、ログ機能が付いているサービスが多くユーザーの行動を可視化できるため、極端に個々の行動を気にかける必要はありません。
セキュリティレベルの向上
ベンダーがあらゆるリスクを考慮したセキュリティインシデントの対策を行っているため、自社でセキュリティ対策を行うよりも遥かに安全な仕組みが期待できます。
認証機関による評価や国際規格を取得しているベンダーも多数あり、安全性の高さが実証されています。
また、管理者が決定したポリシーに基づいて統一されたアクセス制限が適用されるため、拠点間によるセキュリティレベルのばらつきはありません。
そして、クラウドサービスへのログイン時に多要素認証を課すだけでなく、必要であれば特定の場所や端末以外からのアクセスしか認めないアクセスコントロールを実施することで、犯罪者による不正アクセスへの対策をさらに強化できます。
おすすめのIDaaSを4つ紹介
CloudGate UNO、AccessMatrix USO、TrustLogin、Auth0の特徴を紹介します。
CloudGate UNO
CloudGate UNOはサービスを配信して14年目を迎え導入社数が1,600社、ユーザー数が80万人を超える評価が高いIDaaSの1つです。マイナビやユニ・チャーム、ソフトバンクなど様々な業界の企業が導入をしています。CloudGate UNOの特徴は利便性と安全性を高いレベルで兼ね備えている点です。
シングルサインオンではアクセスポリシーに基づいて、管理画面にそれぞれのユーザーが利用できるアプリやクラウドサービスのみが表示されます。SAML認証に対応していないサービスでも、フォームベース認証を活用してシングルサインオンを実現します。また、G Suite専用に多要素認証やアクセスコントロール、Active Directory連携などを備えたサービスを提供しており、専用アプリの活用でスマートフォンでもサービスを適用可能です。
そして、安全性の面ではFIDO2対応認証デバイスに対応しており、専用のトークンやUSB、生体認証の活用でセキュリティレベルを高めます。必要に応じて電子証明書を活用したクライアント認証や特定の場所からのアクセスしか認めないIPアドレス制限を活用することで、不正アクセスのリスクをさらに軽減可能です。
AccessMatrix USO
AccessMatrix USOは「ITトレンド年間ランキング2017」において、シングルサインオン・パッケージソフト 第1位 を獲得した評価の高いサービスです。
AccessMatrix USOの特徴は対応範囲の広さです。
ユニバーサル型と呼ばれるシングルサインオンを実現する認証機能を用いて、Web型、デスクトップ型、クライアントサーバ型など様々なアプリケーションに対応できる他、自社のオリジナルアプリにも対応可能です。
また、AccessMatrix USOの導入の際、既に導入しているアプリケーションサーバーへのモジュール追加やプログラミングなど追加作業は必要ありません。
ゼロ・アーキテクチャを採用しているため、既存環境への追加作業は一切必要とせずにスムーズな導入ができます。
他にもシンクライアント環境への対応やシングルサインオンサーバーへの異変時にオフラインモードで対応するなど、多数の機能を搭載しています。
TrustLogin
TrustLoginはGMOグループが提供するサービスで、キャノン電子テクノロジーや高田製薬などが導入しています。TrustLoginの特徴はコストパフォーマンスが優れている点です。
従業員規模が30名以下の企業は自動的に無料プランしか選べませんが、シングルサインオンは無料で利用できます。ワンタイムパスワードやクライアント認証、Active Directory連携、G Suiteなどのクラウドサービスとの連携など、他の機能は1ユーザー100円/月から利用可能です。オプション追加という形で必要な機能だけを選択できるので、自社にとって不必要な機能にコストを割くことがありません。
また、5,000以上のアプリやクラウドサービスに対応している他、FIDO2認証やSalesforceとの連携といった開発中の機能も多くあり、今後ますます利便性や安全性への強化が期待できます。
Auth0
Auth0は世界75,000社以上が採用しているサービスであり、NTTドコモやライザップ、パーソルキャリアなどが導入をしています。Auth0の特徴はカスタマイズ性の高さです。
ルール機能の活用で、危険なIPアドレスやハッキングされたIPアドレスからのアクセスをブロックする異常検出機能やユーザー属性の追加などを管理画面に表示させることができるので、自社が利用しやすい形にカスタマイズできます。また、JavaScriptかC#を活用で、自社独自のルール設定やサービス間の連携ができるようになります。テンプレートもある程度用意されているので、使いながらカスタムを行ったり、カスタムの必要がなければそのまま使ったりと柔軟な対応が可能です。
まとめ
IdPの活用でクラウドサービスやアプリへのシングルサインオン、Active Directoryとの連携などが実現できることがわかりました。ユーザー情報の一元管理やシングルサインオンはユーザーの利便性を確保するだけでなく、管理者の業務負担を軽減する役割も果たしています。企業へのメリットも大きいため、クラウドサービスへの移行を検討している企業は操作性や必要な機能を確認するために、無料トライアルを活用するのがおすすめです。
また、今後も場所を問わない働き方を導入する企業が増え、さらにクラウドサービスへの移行が進むことが予想されます。取引先や関連企業との共同開発や企画する仕事が多い企業は、プロジェクトに関わる方々も含めたID認証やアクセス管理が必要になってきます。
自社にとって最適なサービスを導入できるよう、各ベンダーのサービス比較や勉強会の開催、ベンダーからのヒアリングを行うなど、組織全体でIDaaSへの理解を深めてください。