クラウドサービスの運用において多くの企業が抱える問題が、ID・アクセス管理に関する課題です。特に複数のクラウドを利用する場合、管理の手間やセキュリティ・利便性の問題が発生しやすくなります。そこで本記事では、こうしたID・アクセス管理の問題を解決する「IAM」について解説します。
IAMとは
「IAM」とは、「Identity and Access Management」の頭文字を取った略語です。ここでいう「アイデンティティ」とは「ID」のことで、「ユーザーID」のことを指します。一方、「アクセスマネージメント」は文字通り、ユーザーの「アクセス管理」を表しています。つまりIAMは、ユーザーIDとアクセス認証の2つを管理することで、安全性の向上を図る仕組みをいいます。
たとえば、インターネット上にある多くのサービスは、ユーザーIDによって相手が誰であるかを識別し、アクセス管理を行っています。しかし、ユーザーIDの不正利用が行われた場合、情報漏洩などのトラブルに発展しかねません。そのため、ユーザーIDの適切な管理とそれに紐づくアクセス管理は、サイバーセキュリティー上の重要項目として扱われています。
そこで新しいシステムとして、認証時のセキュリティを向上するために生まれたのが、このIAMです。次項では、IAMを構成する基本的な機能について解説します。
IAMの機能
IAMの基本的な機能には、以下のようなものがあります。
アイデンティティ管理
- ユーザーID管理
- パスワード管理
- システム間でのパスワード同期
- ユーザーのプロビジョニング
- ディレクトリ
アクセス管理
- ユーザー認証
- シングルサインオン
- アクセス制御
- フェデレーション
アイデンティティ管理では、ユーザーIDを複数システム間で一元的に管理します。ユーザーがサービスにアクセスすると、ポリシーをもとに「システム」「アプリケーション」「リソース」などが自動で割り当てられるようになっており、これを「プロビジョニング」と呼びます。そして、パスワードを自身で管理し、再発行した場合は、すべてのシステム間で同期されます。
一方、アクセス管理では、ユーザー認証に関わる機能が主となります。特定の人物だけが利用できる「アクセス制御」や、一度の認証でサービスが利用できる「シングルサインオン」、「フェデレーション」などの機能があります。
クラウド運用におけるID・アクセス管理の課題
続いては、クラウド運用時におけるID・アクセス管理の問題について見ていきましょう。
IDライフサイクル管理
多くの企業にとってIDライフサイクルの管理は、無駄なリソースを費やしてしまう悩みの種となっています。これは、IDライフサイクルの管理に多大な手間や工数がかかるため、管理者がほかの業務に注力することが難しくなるためです。
たとえば、企業では「登録」「変更」「抹消」「休止・有効化」の4つの作業が、IDライフサイクル管理の内容となっています。まず新入社員が入ると、毎回IDを登録しなければいけません。さらに異動・昇格・降格が発生した際は、権限を変更する必要があるので、データベースの書き換えが必要になります。また、社員の退職・休職時は、IDの削除や休止といった処理をしなくてはいけません。
こうした一連の業務により管理工数が増え、生産性の低下や人件費の上昇といった問題が生じます。特に、いくつかのシステムを併用している場合はID管理が統一されていないため、プロビジョニングの工数がさらに増えてしまいます。
モビリティなどデバイス管理サポート課題
多くの企業ではセキュリティ向上のために、デバイスでの業務アプリケーションやデータの利用に制限を設けています。しかし、その結果、業務のほとんどを社内でしか行えなくなり、可動性や移動性が損なわれることもあります。
自社用の端末を貸し出して利用させる場合もありますが、利便性が悪く、モビリティ向上につながらないケースも少なくありません。また、企業によっては業務にならない場合があるため、さまざまな方法で外出先での利用を可能にしているところもあります。しかし、この場合、端末の紛失やデータの傍受などにより、情報漏洩のリスクが上がってしまいます。
こうした問題から、企業はたびたび「セキュリティを取るか」「業務の利便性を取るか」という難しい選択を迫られているのです。
セキュリティ課題
クラウドサービスの台頭により、複数のソリューションをクラウドで利用している企業が増えています。このとき問題となるのが、各サービスの認証の差異です。すべての認証プロセスに対して確認をとっておらず、自社が設定したセキュリティーポリシーとそぐわない場合があるのです。
これを解決するためには、システム間の認証を統一して、セキュリティーポリシーを揃える必要があります。たとえばIAMでは、ユーザーIDをシステム間で共有して認証する、シングルサインオンが利用できます。シングルサインオンは、ユーザーが持つ1つの情報で、複数のサービスにログインできるシステムです。
ユーザーが一度認証すると、ソフトウェアトークンによって複数のサービスに認証情報が共有されます。これによりユーザーの利便性が向上するだけでなく、複数データを持つ必要がなくなるため、管理工数の削減やセキュリティ向上が期待できるわけです。
リアルテックジャパンのID・アクセス管理ソリューションでリスク管理コスト削減
前述したクラウド運用時の問題を解決するためには、IAMによるID基盤の構築は必須です。たとえばモビリティの問題では、「シングルサインオン」「多要素認証」「ロールベースアクセスコントロール」といったシステムにより、問題の解決を図ることができます。さらに、IAMによって多くのタスクが自動化されるため、IDライフサイクル問題も解消されます。このようにIAM基盤の導入は、企業に多くの恩恵をもたらします。
一方で、ID基盤の導入は、自社だけで行うにはハードルが高いのも事実です。複数アプリケーションのログインを統一化するためには、適切なセキュリティ設定が重要です。この部分に抜けがあると、不正アクセスや情報漏洩のリスクが高まるので、これらのリスクを低減するためにも一定のノウハウが欠かせません。
そこでおすすめなのが、リアルテックジャパンが提供するID・アクセス管理ソリューションの活用です。当社では、SAP社製品をもとにしたIAM基盤の構築・移行をサポートしています。SAP社の「SAP GRC Access Control(AC)」「SAP Identity Management(IdM)」を中心として、SAP社やサードパーティ製のクラウドサービスのIAMを統一し、アクセス管理の最適化を実現します。IdMに関しては、クエスト・ソフトウェア社と協業体制を構築し、「One Identity」を利用したソリューション提案も行っています。クラウド運用時のID・アクセス管理に課題を感じている方は、ぜひ検討してみてはいかがでしょうか。
まとめ
IAM基盤を利用することにより、複数のクラウドサービスの認証を統一して、管理の手間の削減やセキュリティ向上が期待できます。さらに、高いセキュリティを維持したまま外部との連携も取れるため、業務の幅が広がるでしょう。現在、IDの認証における問題を抱えている企業には、IAMの導入をおすすめします。
とはいえ、ID基盤導入のノウハウがないと、セキュリティ設定が甘くなり、リスクが増える危険性もあります。リアルテックジャパンでは、こうした問題を解決するために、IAMの導入サポートを提供しています。IAM基盤の統合から移行、機能拡張まで幅広くサポートを行っておりますので、ぜひ一度ご相談ください。
