クラウドサービスの運用において、多くの企業がID・アクセス管理に関する課題を抱えています。特にマルチクラウド環境では、管理の手間やセキュリティ・利便性の問題が発生しやすくなります。そこで本記事では、こうしたID・アクセス管理の問題を解決する「IAM」の概要や主な機能などをわかりやすく解説します。
IAMとは?
「IAM」とは、「Identity and Access Management」の頭文字を取った略語です。「アイアム」または「アイエーエム」と読みます。
ここでの「アイデンティティ」とは、ITシステムにおける「ユーザーID」のことです。また、「アクセスマネージメント」は文字通り、ユーザーの「アクセス管理」を表しています。つまりIAMとは、ユーザーIDとアクセス認証の2つを管理し、安全性の向上を図る仕組みです。
たとえば、インターネット上にある多くのサービスは、ユーザーIDによって相手が誰であるかを識別し、アクセス管理を行っています。しかし、ユーザーIDの不正利用が行われた場合、情報漏洩などのトラブルに発展しかねません。そのため、ユーザーIDの適切な管理とそれに紐づくアクセス管理は、サイバーセキュリティー上の重要項目として扱われています。
そこで新しいシステムとして、認証時のセキュリティを向上させるために生まれたのが、このIAMです。
IAMの必要性
企業においてIAMの必要性が増している主な理由としては、クラウドサービスの普及に伴って「ゼロトラストセキュリティ」が注目を集めていることが関係しています。
昨今、多くの企業がシステム環境をオンプレミスからクラウドへと移行し、SaaSアプリケーションを導入することが増えてきました。これに伴って、外部ネットワークと社内ネットワークの境界が曖昧になり、従来の境界防御型セキュリティはその効力を薄めています。
このような状況下で、新たなセキュリティ概念として登場したのが「ゼロトラスト」です。ゼロトラストは、「ネットワーク内のトラフィックは安全だ」という先入観を排し、「すべてのトラフィックを疑う」という考え方に基づいています。そして、このゼロトラストを実現するために必要な対策のひとつが、IAMによる徹底したID・アクセス管理やユーザー行動の分析です。
IAMの導入により、たとえ社内ネットワークからのアクセスであろうとも厳密な認証を実施し、不正アクセスや情報漏洩を防ぎやすくなります。IAMにはアクセス制御やユーザーの行動ログを記録・管理する機能もあるので、内部不正の抑止や問題の早期発見・早期特定などにも効果的です。
ゼロトラストの詳細については以下の関連記事もご参考にしてください。
関連記事:ゼロトラストとは? 注目を集める背景、実現させるための3つの要素を解説
IAMとIDaaSの違い
IAMと同義的な概念として、IDaaSがあります。IDaaSとは、「Identity as a Service」の略で、ID管理およびアクセス管理を効率化するサービスです。そのため、IAMとIDaaSの機能や役割は基本的に共通しています。
強いて両者の違いを挙げれば、IAMは社内システムのID・アクセス管理に対して使用が想定される一方で、IDaaSはIAMの機能をクラウドベースで提供するサービスを指す傾向にあります。
IDaaSの詳細については、以下の関連記事をご参考にしてください。
関連記事:IDaaSとは? 機能や導入するメリット、IAMとの違いについて解説
IAMの機能
IAMの基本的な機能には、以下のようなものがあります。
アイデンティティ管理 (ID管理)
- ユーザーID管理
- パスワード管理
- システム間でのパスワード同期
- ユーザーのプロビジョニング
- ディレクトリ
アイデンティティ管理は、ユーザーIDを複数システム間で一元的に管理する機能です。ユーザーがサービスにアクセスすると、ポリシーをもとに「システム」「アプリケーション」「リソース」などが自動で割り当てられるようになっており、これを「プロビジョニング」と呼びます。そして、パスワードを自身で管理し、再発行した場合は、すべてのシステム間で同期されます。
アクセス管理
- ユーザー認証
- シングルサインオン
- アクセス制御
- フェデレーション
アクセス管理は、ユーザー認証に関わる機能です。特定の人物だけにアクセスを許可する「アクセス制御」や、一度の認証で複数のサービスが利用できる「シングルサインオン」、「フェデレーション」などの機能があります。
関連記事:シングルサインオン(SSO)とは? 認証の仕組み、メリット・デメリットについて解説
IAM導入によって解決できる課題
IAMは、企業のどのような課題を解決できるのでしょうか。以下では、企業を従来悩ませていた課題と、IAMがその課題解決にどのように貢献するかを解説します。
IDライフサイクル管理
IAMの導入は、煩雑になりがちなIDのライフサイクル管理を効率化できます。
IDライフサイクルの管理とは、IDの「登録」「変更」「抹消」「休止・有効化」が主な作業内容です。まず新入社員が入ると、毎回IDを登録しなければいけません。さらに異動・昇格・降格が発生した際は、権限を変更する必要があるため、データベースの書き換えが必要になります。また、社員の退職・休職時は、IDの削除や休止といった処理をしなくてはいけません。
こうしたIDライフサイクルの管理は、多大な手間や工数がかかるため、管理者がほかの業務に注力することが難しく、生産性の低下や人件費の上昇といった問題が生じやすくなります。特に、いくつかのシステムを併用している場合はID管理が統一されていないため、プロビジョニングの工数がさらに増えてしまいます。
しかし、IAMを導入すれば、複数のシステムのIDライフサイクル管理をIAM上で一元化したり、タスクを自動化したりできます。これにより管理工数を大幅に削減し、IDライフサイクル管理の問題を解決可能です。
モビリティなどデバイス管理サポート課題
IAMの導入は、セキュリティと利便性の両方を改善し、デバイス管理に関する課題解決にも貢献します。
多くの企業ではセキュリティ向上のために、業務アプリケーションやデータの利用に際してデバイス制限を設けています。しかし、その結果、業務のほとんどを社内でしか行えず、可動性や移動性が損なわれやすくなります。
自社用の端末を貸し出して利用させる場合もありますが、利便性が悪く、モビリティ向上につながらないケースも少なくありません。また、社外で端末を使用して業務に従事する場合、端末の紛失やデータの傍受などにより、情報漏洩のリスクが上がってしまいます。
こうした問題から、企業はたびたび「セキュリティを取るか」「業務の利便性を取るか」という難しい選択を迫られてきました。その点、IAMの「シングルサインオン」や「多要素認証」、「ロールベースアクセスコントロール」などの機能を活用すれば、ゼロトラストセキュリティを強化し、リモートワークを取り入れつつもシステムの安全性を担保しやすくなります。
セキュリティ課題
IAMは複数サービスにまたがって認証を統一するため、セキュリティポリシーの一貫性を確保しやすくなるのも大きなメリットです。
昨今では、複数のクラウドソリューションを利用する企業が増えています。このとき問題となるのが、サービス間で認証に差異があり、自社のセキュリティポリシーにそぐわなくなることです。
これを解決するには、システム間の認証を統一して、セキュリティポリシーをそろえる必要があります。このとき役立つのが、IAMの「シングルサインオン」という機能です。シングルサインオンとは、ひとつの認証情報で複数のサービスにログインできるシステムを指します。
ユーザーが一度認証すると、ソフトウェアトークンによって複数のサービスに認証情報が共有されます。これによりユーザーの利便性が向上するだけでなく、複数データを持つ必要がなくなるため、管理工数の削減やセキュリティ向上が期待できます。
ID・アクセス管理の課題はリアルテックジャパンが解決
前述したように、IAMによってID基盤を構築することで、企業が従来抱えていた多くの課題を解決できます。しかし、その一方で、ID基盤の導入は、自社だけで行うにはハードルが高いのも事実です。複数アプリケーションのログインを統一化するためには、セキュリティ設定を適切に行うことが重要です。この部分に抜けがあると、不正アクセスや情報漏洩のリスクが高まってしまうので、これらのリスクを低減するためにも一定のノウハウが欠かせません。
そこでおすすめなのが、リアルテックジャパンが提供するID・アクセス管理ソリューションの活用です。当社では、SAP社製品をもとにしたIAM基盤の構築・移行をサポートしています。SAP社の「SAP GRC Access Control(AC)」「SAP Identity Management(IdM)」を中心として、SAP社やサードパーティ製のIAMを統一し、アクセス管理の最適化を実現可能です。IdMに関しては、クエスト・ソフトウェア社と協業体制を構築し、「One Identity」を利用したソリューション提案も行っています。クラウド運用時のID・アクセス管理に課題を感じている方は、ぜひ検討してみてはいかがでしょうか。
まとめ
クラウドサービスが普及する中、複数サービスのID・アクセス管理を効率化するIAMの重要性はますます高まっています。IAMを用いて、複数のクラウドサービスの認証を統一すれば、管理工数の削減やセキュリティ向上を実現可能です。さらに、高いセキュリティを維持したまま外部との連携も取れるため、業務の幅を広げることもできます。
とはいえ、ID基盤導入のノウハウがないと、セキュリティ設定が甘くなり、リスクが高まる危険性もあります。リアルテックジャパンでは、こうした問題を解決するために、IAMの導入サポートを提供しています。IAM基盤の統合から移行、機能拡張まで幅広くサポートを行っておりますので、ぜひ一度ご相談ください。
- カテゴリ: ID管理
この記事に関するサービスのご紹介
導入/移行(プロフェッショナル)サービス
プロフェッショナルサービスでは主にSAPシステムの導入や移行、それに伴うテクニカルな支援を行います。ERPやS/4 HANA、SolManといった様々なSAP製品の新規導入、クラウドを含む様々なプラットフォームへのSAPシステムの最適な移行、保守切れに伴うバージョンアップ・パッチ適用等の作業だけでなく、パラメータ設計、パフォーマンスチューニング、導入・移行計画支援等についても対応いたします。
詳細はこちら