IDaaS(Identity as a Service/アイダース/アイディーアース)は、さまざまなアプリケーションやクラウドサービスのログイン情報(ID・パスワード)を一元管理できるセキュリティサービスです。主に下記ような機能・役割があります。
- シングルサインオン(複数のアプリケーションへの一括ログイン)
- 社内のID・パスワードの一元管理
- アプリケーション間のユーザーアカウント情報の連携・同期
- グループウェア内の機能別ユーザー権限設定
以下、IDaaSについて、それぞれの特徴や機能、料金プランを紹介します。製品の選定に際して、導入メリットや基本機能、選び方などの詳細を確認したい方は、選定ガイドをご参照ください。
IDaaSとは、社内システムやクラウドサービスと連携し、ID管理や一括認証(シングルサインオン)ができるセキュリティサービスです。
近年、クラウドサービスの急増やリモートワークの推進によって、メールソフトや勤怠管理システムを筆頭に、さまざまな業務アプリケーションがクラウドに移行しはじめ、企業規模に関係なくIDaaSの導入が加速しています。
本記事では、IDaaSの役割や機能、従来のID管理ツールとの違いをわかりやすく解説し、おすすめIDaaS製品を比較・選定ポイントとともに紹介します。
IDaaSとは
企業システムのクラウドシフトが進み、クラウドサービスを含む連携アプリケーションのIDを一括管理するIDaaSは、今や企業のIT活用に欠かせないID管理ツール・セキュリティサービスです。
国内IDaaS市場の売上げは、2018年度で前年度比43.8%の21億円、2019年度も同38.6%増と拡大を続け、2023年度には60億円に達すると予測されています。(※出典:ITRがIDaaS市場規模推移および予測を発表)
しかしながら、そもそもIDaaSはどういった経緯で誕生し、なぜ今その必要性が高まっているのか。従来から存在するID管理の手法やネットワークセキュリティの考え方をふり返りながら、現代におけるIDaaSの必要性を見ていきましょう。
従来のID管理が基軸としていたファイアウォールの崩壊
従来のID管理システムやネットワークセキュリティは、「社外からのアクセスを遮断し、社内ネットワークから社内システムへアクセスする」ことを前提に構築されています。
これは、企業ネットワークはファイアウォールという境界線の外側と内側で区別され、基本的に内側(社内ネットワーク)は安全と認識されていたためであり、また外側からの侵入を防ぐという点では一定の有効性がありました。
しかし、スマートデバイスの業務利用やクラウドサービスの普及に伴い、もともと境界線の内側にあったデータをクラウドストレージ(外側)に保存したり、外側のパートナーが内側のファイルにアクセスして共同編集を行ったりするようになりました。
直近では、コロナ渦での半強制テレワークにより、従業員は在宅勤務やコワーキングスペースでの業務を推奨され、利用するシステムもアクセス元も外側(社外)であるという状況も珍しくなくなってきています。
この環境の変化により、ファイアウォール境界線の概念に基づく従来のID管理やセキュリティ対策では、クラウドサービスの利便性を活かしつつ、セキュリティを確保することが難しくなります。
IDaaSはゼロトラストネットワークを構築するソリューション
この状況下で注目されているのが、米国調査会社Forester Researchが提唱した「ゼロトラストネットワーク(Zero Trust Network)」です。ゼロトラストネットワークは、「アイデンティティが検証されるまでは、いかなるネットワークも信頼しない」というネットワークセキュリティ概念です。
具体的には、ファイアウォール境界線の内側か外側かは関係なく、全てのアプリケーションやシステムに対して毎回ログイン認証を行うことで不正アクセスを防止します。このゼロトラストネットワークの概念を実現するソリューションとして誕生したのがIDaaSです。
従来のID管理に、シングルサインオン(SOS)と多要素認証を加え、クラウドサービスとのID連携を可能にしたセキュリティサービスと捉えるとイメージしやすいかもしれません。
- 従来のID管理:「オンプレミス環境(社内ネットワーク環境)」向けに開発
- IDaaS:「クラウドのみ」あるいは「クラウドとオンプレミスの混合環境」向けに開発
スマートデバイスの積極的な活用、クラウドサービスの普及、テレワーク制度の推進を踏まえると、IDaaSの登場は必然とも言えるでしょう。
IDaaSの導入メリット
クラウドサービスを利用し始めると、管理の対象となるID・パスワードは増え続ける一方で、高いセキュリティを確保しつつ効率良く管理を行うことが難しくなります。
- 従業員が自身のID・パスワードを管理しきれていない。
- 覚えやすいパスワード設定やパスワードの使い回しによるセキュリティ低下。
- 情報システム部門がパスワードリセットの対応に追われている。
- 退職者アカウントが解約されずに残ったままになっていることがある。
- 入社や異動に伴う各システムのアカウント作成・更新に時間を要する。
そして、上記のID・パスワード問題のソリューションとなるのがIDaaSです。導入企業のユーザーやID管理者は、次のようなメリットを享受することができます。
1. ID・パスワード管理の効率化
IDaaSでは、連携させたアプリケーション・クラウドサービスのID・パスワード、ユーザー情報を一元的に管理し、入退社・異動に伴うアカウントの発行や削除、権限変更も一括操作することができます。
従来のID管理システムはクラウドサービスとの連携ができず、自社で各クラウドサービスに対する認証基盤を開発するとしても、開発・運用コストの関係上から現実的ではありませんでした。
IDaaSでは、クラウドサービス・社内システムを問わず、ID・パスワードの連携・管理や一括ログインが可能です。
2. ログイン認証の簡略化による業務効率化
アプリケーションの起動やクラウドサービスへのアクセスのたびにログイン認証が要求されると、逐一ログイン情報を入力する手間が生じます。
パスワードを記憶していない時には、ログイン情報を自身の管理ファイルから探し出さなければならず、また紛失時にはパスワードリセットや情報システム部門への申請が必要となるでしょう。
IDaaSを利用すると、ユーザーはIDaaSにログインするだけで、連携している全てのアプリケーションやクラウドサービスへのログイン認証も自動的に完了するため、業務をスムーズに進めることが可能です。
また、ユーザー自身で管理するID・パスワードはIDaaSにログインする際の1組だけでよく、ID・パスワードに関するトラブルや問い合わせが削減されるぶん、情報システム部門の業務負担も軽減されるでしょう。
3. 利便性とセキュリティ強化の両立
利用するID・パスワードが増えてくると、ユーザーは「覚えやすく推測されやすいパスワード設定」や「同じパスワードの使い回し」をしてしまいがちです。これらはセキュリティ上の問題となります。
一方で、各システムに対して「パスワードの重複禁止」「定期的なパスワード変更」「複雑な文字列のパスワード設定」などを課している場合、高いセキュリティ性を保つことはできますが、そのぶんID管理が煩雑になり、パスワードリセットやパスワード再生成の工数がかさんでしまうことになります。
IDaaSを活用すると、セキュリティ性の高いパスワードポリシーを適用しながら、一括ログイン認証で業務効率化を図ることができます。ユーザーは覚えておく必要がないだけであって、IDaaS上には各システムのID・パスワードが格納・管理されているからです。
また、IDaaS自体へのログインには、ID・パスワードだけでなく、多要素認証や管轄外端末からのアクセスを制限するアクセスコントロールを設定することで、セキュリティを強化することができます。
IDaaSの役割と機能要件
IDaaSの役割は、ゼロトラストネットワークに焦点を合わせた「効率的なID管理・認証」と「セキュリティ強化」に対応することです。
これを実現するためのIDaaSの機能要件を、以下5つに分類して解説します。
- 認証機能(シングルサインオン・多要素認証)
- ID管理機能
- ID連携機能(ユーザープロビジョニング)
- 認可機能(アクセスコントロール)
- 監査機能(ログレポート)
1. 認証機能(シングルサインオン・多要素認証)
シングルサインオン(SSO)は、1度の認証で複数のアプリケーションにログインできる機能です。
IDaaSにログインすれば、IDaaSに事前登録したアプリケーション・クラウドサービスに自動的にログインできるようになります。つまり、ID・パスワードの入力が必要なのは、IDaaSにログインする時のみです。
また、悪意のある第三者によるID・パスワードの不正利用のリスクを抑えるため、「ワンタイムパスワード」や「多要素認証」といった認証強化機能も搭載されています。
2. ID管理機能
IDaaSで必要とされるID管理は主に下記2パターンです。
- IDaaS自体のID管理
- 各アプリケーション・クラウドサービスのID管理
IDaaSの担当者が各アプリケーション・クラウドサービスのログイン情報を一元管理し、ユーザーにはIDaaSへのログイン情報のみを配布・自身で管理してもらう、という運用方法を取っている企業が多いようです。
シングルサインオン機能により、基本的にユーザーは各アプリケーションのID・パスワードを各自で把握しておく必要はなく、どうしても必要な際には管理者に問い合わせをします。
3. ID連携機能(ユーザープロビジョニング)
下記のID情報をIDaaSに連携させることで、各アプリケーションでのユーザー新規アカウントの作成、変更、削除などを効率的に行うことができるようになります。
- 対象のアプリケーション・クラウドサービスとのID連携
- アカウント情報を持つ既存のマスターシステムとのID連携
管理者は、ユーザーごとにアクセス可能な業務システムやアプリケーションを設定することができ、所属や部門グループなどのユーザー情報に基づくルールを作成して、一括操作を行うことも可能です。
一部のIDaaS製品は、Office365・GSuite・AWSなどのクラウドサービスにおいて、単なるアカウント追加・削除をするだけでなく、その中のどのアプリケーションのアクセス権限を誰が利用できるのかまで自動で割り当てることができます。
また、Active Directoryのようなアカウント情報を持つマスターシステムとの連携により、入退社や異動に伴うアカウントの作成・削除・更新が、クラウドサービスのユーザー情報にも自動反映されるユーザープロビジョニング機能も利用できます。
たとえば、入社などでマスターシステム上にユーザーが新規追加されると、IDaaSに登録しているオンラインストレージやビジネスチャットにも自動的にユーザーアカウントが作成され、すぐに利用できるようになるといったことです。
4. 認可機能(アクセスコントロール)
アクセスコントロールは、管理者から許可を得たユーザーのみが、IDaaSやクラウドサービスにアクセスできるようにし、外部からの不正アクセスのリスクを低減するセキュリティ強化機能です。
アクセスの認可方法はIDaaS製品によってさまざまですが、下記のようなものがあります。
- IPアドレス制限:指定したIPアドレスのみがIDaaSにアクセスできる。
- デバイス制限:管理者が許可したデバイスのみ、IDaaSにアクセスできる。
- プッシュ通知:IDaaSログイン時に、登録した本人のスマホにプッシュ通知が届き、承認ボタンをタップすることで認証が完了する。
- Pinコード入力:IDaaSログイン時に、EメールやSMSに送信されたPinコードを入力することで認証が完了する。
個別のユーザー、管理下の端末、場所や時間帯などのログイン条件などの制限のほか、2つ以上の認証要素を組み合わせて認証を完了させる「二段階認証や多要素認証」、固有の本人確認要素である「生体認証」もアクセスコントロール機能の一種です。
5. 監査機能(ログレポート)
ログレポートは、各ユーザーのIDaaS・クラウドサービスへのログイン履歴や、管理者によるパスワードの変更履歴などをログとして記録・報告する機能です。
IDaaSが適切に運用されているかどうかを定期的に確認し、セキュリティリスクの低減や内部不正の抑止に役立てます。万が一、情報流出や不正アクセスが起こった場合でも、アクセスログや操作ログを辿ることで、どの端末からの操作であるかを追跡することが可能です。
IDaaSの導入費用と料金体系の目安
IDaaSの導入・運用にかかる費用は、導入形態(クラウド型/パッケージ型)と利用する機能に大きく影響されます。
クラウド型とパッケージ型による料金体系の違いは下記の通り。※目安としてご活用ください。
| クラウド版 | パッケージ版 | |
| 初期費用 | 無料~ ※契約プランによっては要相談 | 30万~500万円超 |
| 月額料金 | 1ユーザーあたり100~500円程度 ※契約プラン(機能数)によって料金が変動 ※最低ユーザー数が設定されていることもあります | 無料~ ※サーバー維持費、メンテナンス費などが別途かかる場合があります |
| カスタマイズ性 | 低い(もしくは不可) | 高い(個別対応可能) |
| 導入までの期間 | 数日~数週間程度 | 1ヶ月以上 |
クラウド型IDaaSは、初期費用無料の月額制を採用していることがほとんどです。数段階の契約プランとユーザー数(ライセンス数)によって、月額料金が決まります。
システム管理やメンテナンスはベンダー持ちのため、運用コストもさほどかかりません。ユーザー数や機能要件が多くなると、それに比例して費用も上がっていくシンプルでわかりやすい料金体系です。
カスタマイズ性は低いですが、導入ハードルも低く、連携するアプリケーション数がそれほど多くない中小規模の企業や、スモールスタートに適した導入形式と言えるでしょう。
一方で、パッケージ型のIDaaSは、個別のカスタマイズに対応できる点でメリットがありますが、それなりの初期費用と導入期間を要し、導入そのもののハードルは高くなります。
ユーザーとなる従業員数が多い大規模企業や、独自の社内システムとの連携が必要な場合、環境構築やメンテナンスを自社で行いたい場合には、パッケージ型の方が融通が利きやすく、長期的に見てコストを抑えられる可能性もあります。
IDaaSの選び方・比較ポイント
IDaaSを比較検討には、機能数や価格だけでなく、自社に最適なIDaaS製品であるかどうかが重要です。
現在の社内システムの利用状況や連携対象、IDaaS導入先の管理・運用体制などを整理し、以下のポイントを押さえて、IDaaSの比較検討を行いましょう。
- クラウドサービス・社内システムとの連携
- 管理画面やログイン認証の操作性
- サポート体制と事業の信頼性
1. クラウドサービス・社内システムとの連携
IDaaSの比較選定の際には、あらかじめ自社で利用しているアプリケーション・クラウドサービスから、ID管理やシングルサインオンが必要になるものを洗い出し、連携の優先度を整理しておきましょう。
現在、数多くのIDaaSがリリースされていますが、提携するクラウドサービスの種類が豊富なもの、自社内製の独自システムと連携可能なものなど、それぞれ対応するアプリケーションの種類が異なります。
国内でメジャーなクラウドサービスであっても、海外製のIDaaSの中には対象に含まれていないケースも珍しくありません。ただし、ベンダーに申請を出すことで、製品カタログにないシステムを追加してもらえる場合もあるため、こちらも事前に確認しておくと良いでしょう。
また、製品によっては連携可能なアプリケーションの「数」に上限が設けられていることがあります。この場合は、将来的な可能性も含めて、自社で利用するアプリケーション数には余裕を見ておく必要があるでしょう。
2. 管理画面やログイン認証の操作性
IDaaSのユーザーとなるのは、ITリテラシーの高い情報部システム部門だけではありません。あらゆるアプリケーションにすぐにアクセスできることがIDaaSのメリットの1つですので、そこで手間取るユーザーが出てしまっては本末転倒です。
導入規模が大きい場合は、トライアルサービスやスモールスタートでのテスト導入を行なっておくことを推奨します。操作性や動作速度が日常業務に支障をきたすことがないか、事前にシミュレーションを行うことができます。
長期的に運用していくことを視野に入れ、各ユーザーと運用担当者が問題なく扱えるサービスを選びましょう。
3. サポート体制と事業の信頼性
IDaaSは企業の認証基盤であるため、トラブル時のサポートが大きく遅れると、企業全体に多大な支障・損益が発生します。
サポートについては以下の詳細を確認しておきましょう。
- サポート対応可能時間(日本時間)
- サポート言語
- サポート対応窓口と担当者
- サポート手段(メール・電話・チャット)
また、もし仮にベンダーが急に事業をストップするようなことがあれば、サポートやバージョンアップなどの対応も全てなくなってしまいます。
ベンダーの信頼性を測る基準として、提供されるIDaaSのパフォーマンスやサポート体制以外に、そのベンダーの事業の将来的な継続性も見ておくべきです。
