IDaaSとは

IDaaS（Identity as a Service）とは、クラウド上でID・パスワード管理や、シングルサインオンなどを提供するクラウドサービスです。「アイディーアース」「アイダース」と読みます。

IDaaSを導入すれば、社内システム以外のクラウドサービスのID・パスワードも適切に管理できます。また、連携SaaSのアカウントを自動で作成・削除することも可能です。

企業のクラウド化（SaaS導入）が進んでいる中で、各サービスのID・パスワードを適切に管理するのは難しいです。

理由は、テレワークなどの新たな働き方は社外から社内システムにアクセスする点にあります。

IDaaSでは、社内システムやクラウドサービスのID・パスワードを適切に管理できるので、業務効率向上やセキュリティ強化が可能です。

企業のクラウド化や新しい働き方が進むにつれて、IDaaSはより重要な存在になるでしょう。

ゼロトラストとは

ゼロトラストとは、「内部外部（社内外）問わず決して信頼しない」という新しいセキュリティモデルの考え方です。

ゼロトラストについてチェックしておきたいのは、次の3点です。

• ゼロトラストと従来の「境界線防御モデル」の違い
• ゼロトラストの基本原則
• ゼロトラストのセキュリティ項目

それぞれ詳しく解説いたします。

（１）ゼロトラストと従来の「境界線防御モデル」の違い

ゼロトラストと従来の境界線防御モデルの違いは、セキュリティ対策をする範囲にあります。

ゼロトラストは、「外部か内部かを問わず決して信頼しない」を前提に、すべてを対象に検証を行うセキュリティモデルです。

一方で境界線防御モデルは、「内部は安全」「外部は危険」を前提に、境界線を設けて外部のみの検証を行います。

要するに、セキュリティ対策の範囲が、すべてならゼロトラスト、外部だけなら境界線防御モデルと認識しておけば問題ないでしょう。

境界線防御モデルの具体例としては、

• ファイアウォール
• プロキシサーバ
• VPN

などがあげられます。

近年において、境界線防御モデルの「内部は安全」という考え方は危険です。

理由は、企業のクラウドサービスやテレワークの増加により、時間や場所、端末に関係なく社員がアクセスできる点にあります。

外部だけでなく内部のセキュリティリスクも払拭できるのが、ゼロトラストなのです。

（２）ゼロトラストの基本原則

ゼロトラストの基本原則は、NIST（National Institute of Standards and Technology：アメリカ国立標準技術研究所）によって7つあげられました。

1. すべてのデータソースとコンピューティングサービスをリソースとみなす
2. ネットワークの場所に関係なく、すべての通信を保護する
3. 企業リソースへのアクセスは、セッション単位で付与する
4. リソースへのアクセスは、クライアントアイデンティティ、アプリケーションサービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた 動的ポリシー により決定する
5. すべての資産の整合性とセキュリティ動作を監視し、測定する
6. すべてのリソースの認証と認可を行い、アクセスが許可される前に厳格に実施する
7. 資産、ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ態勢の改善に利用する

引用：ゼロトラスト・アーキテクチャ

ゼロトラストの基本原則を見ると実現が難しそうに感じる方も多いでしょう。

そこで、次節の「ゼロトラストのセキュリティ項目」では、基本原則を基にチェックしていただきたい項目をまとめました。

（３）ゼロトラストのセキュリティ項目

ゼロトラストを実現する上で、次のセキュリティ項目はチェックしておきたいところです。

• 認証済みの端末でアクセスしてきたか
• ウイルスに感染したデバイスを利用していないか
• セキュリティ対策ツールがインストール済みか
• ID・パスワードはユーザー本人が利用しているか
• 利用しているサービスに脆弱性がないか
• 不審な場所からアクセスしていないか
• ネットワークは安全なものか

ゼロトラストはさまざまなソリューションを組み合わせて実現させます。その内のひとつとしてIDaaSがあげられるのです。

ゼロトラストにおけるIDaaSの必要性

ゼロトラストを実現するにあたって、IDaaSの導入は必要不可欠です。

理由は、IDaaSの持つ機能がセキュリティ強化につながる点にあります。

後述しますが、IDaaSには次のような機能が備わっています。

• ID・パスワードの管理
• プロビジョニング（ID連携）
• SSO（シングルサインオン）
• 多要素認証
• アクセス権限の管理
• ログ管理

IDaaSひとつで前章で解説したセキュリティ項目の多くを満たし、ゼロトラスト実現に貢献するのです。具体的には次の項目を満たします。

• 認証済みの端末でアクセスしてきたか
• ID・パスワードはユーザー本人が利用しているか
• 不審な場所や時間にアクセスしていないか

ゼロトラストにおけるIDaaSの必要性は、導入するメリットや機能を知ると理解が深まりやすいです。

IDaaSを導入する3つのメリット

IDaaSを導入することで得られるメリットは多数あります。

代表的なものは、次の3つです。

• ログイン作業がスムーズになる
• 適切なID管理が実現できる
• 認証機能でセキュリティが強化される

それぞれ詳細を解説します。

（１）ログイン作業がスムーズになる

IDaaSを導入するメリットとして、ログインの作業がスムーズになることがあげられます。

IDaaSにはシングルサインオン（SSO）機能によって、一度のログインで連携しているSaaSを利用できるためです。

今までは、各クラウドサービス（SaaS）を利用するのにIDとパスワードを入力していました。IDaaSを導入すると一度のログインで済むので、クラウドサービスを利用するときにIDやパスワードを忘れることがなくなるのです。

また、パスワード忘れの対応をするアカウント管理部門の負担も軽減されるでしょう。

（２）適切なID管理が実現できる

適切なID管理が実現できるのもIDaaSを導入するメリットです。

IDとパスワードを1つ覚えればいいのでパスワードをメモやExcel上で管理したり、使い回す可能性がなくなるからです。

パスワードを覚えられずメモやExcel上で管理するユーザーは多く、セキュリティ的に問題があります。仮にメモやExcel上で管理していなくても、使い回していたら意味がないのです。

IDaaSを導入すれば、ID・パスワードを一元管理できるので業務効率化が計れます。

（３）認証機能でセキュリティが強化される

IDaaSを導入すれば、認証機能によってセキュリティが強化されます。

理由は、IDaaSには多要素認証が備わっており、不正アクセスなどの攻撃を防止できるからです。

従来では、IDとパスワードを入力すればログインできました。IDaaSでは、ID・パスワードに加えてスマートフォンや指紋などの本人にしかない情報も利用してログインします。

ID・パスワードだけでなく、他のさまざまな要素を組み合わせることでセキュリティの強化につながるでしょう。

IDaaSがもつ6つの機能

IDaaSがもつ機能は、サービスによってさまざまです。

代表的な機能は、次の6つです。

1. ID・パスワードの管理
2. プロビジョニング（ID連携）
3. SSO（シングルサインオン）
4. 多要素認証
5. アクセス制限
6. ログ管理

それぞれ詳細まで解説いたします。

（１）ID・パスワードの管理

IDaaSの最大の特徴として、ID・パスワードの管理機能があげられます。

従来ではそれぞれで管理していた社内システムやクラウドサービスのID・パスワードを、一元管理できる機能です。

ID・パスワードの管理機能は、ユーザーだけでなく管理者にもメリットがあります。

ユーザーはシステムやサービス毎にID・パスワードを管理する必要がなくなるというメリットです。

管理者側のメリットは、セキュリティーポリシーを管理しやすくなることや、手動で行う変更作業などが削減できる点です。

ID・パスワードの一元管理はIDaaSの最も基本的な機能なので、チェックしておきましょう。

（２）プロビジョニング（ID連携）

IDaaSに2つ目の機能として、プロビジョニングがあげられます。

プロビジョニングとは、ID情報を一度変更したらすべてに適用できたり、連携しているクラウドサービス（SaaS）のアカウントを自動で発行・削除できる機能です。

アカウント管理部門の業務である、社員の入社・退社におけるアカウント設定の工数を削減できます。

また、退職者アカウントの放置がなくなることで、不正アクセスやSaaSアカウントの解約忘れに寄与するのも特徴です。

プロビジョニング機能があることで、各クラウドサービス（SaaS）で管理していたIDを一元化できるのです。

（３）SSO（ングルサインオン）

SSO（シングルサインオン）機能は、IDaaSに最も代表的な機能としてあげられます。

SSO（シングルサインオン）とは、一度のログインで連携しているすべてのSaaSを利用できるシステムのことです。

社内システムやクラウドサービス（SaaS）のID・パスワードを一元管理できることによって、ログインの効率化やセキュリティの強化に繋がります。

しかし、シングルサインオンのシステムに不正アクセスされた場合、利用しているすべてのクラウドサービス（SaaS）を不正利用される可能性があるので注意が必要です。

不正アクセスの対策として、次の多要素認証があげられます。

（４）多要素認証

IDaaSの機能4つ目は、多要素認証です。

多要素認証とは、2つ以上の要素を組み合わせてログインする認証方式を指します。

要素と具体例は次の通りです。

要素	具体例
知識要素	パスワード PINコード パターン情報 秘密の質問
所持要素	ICカード スマートホン ハードウェアトークン
生体要素	指紋 静脈 声紋

知識要素のみで認証していたのを、IDaaSの導入に伴い、所持要素や生体要素を組み合わせて認証することで、不正アクセスをはじめとするサイバー攻撃の対策ができます。

（５）アクセス権限の管理

アクセス権限の管理ができるのも、IDaaSの機能の一つです。

クラウドサービス（SaaS）にアクセスできる利用者や場所、端末などの条件を設けられます。

具体的なものは、次の通りです。

• ブラウザ数の制限して、超過したアクセスは申請必須にする
• アクセスできる端末数を1人2つまでにする
• 怪しいアクセスには多要素認証を適用する

特定の条件を設けることで、クラウドサービス（SaaS）へのアクセス数を制限したり、不正アクセス、情報漏洩を防止できるのが大きなメリットです。

（６）ログ管理

6つ目の機能としてログ管理があげられます。

社員を個人単位で、どのクラウドサービス（Saas）をどのくらい利用しているかの可視化、最終ログインなどの履歴の管理も可能です。

たとえば不審なアクセスがあった場合は、ログ管理機能を利用することで、外部からの不正アクセスのみならず、社員による不正アクセスも明確にできます。

アクセス権限の管理と併せてログ管理を利用することで、不正アクセスを明確にし、情報漏洩の防止につながるでしょう。

まとめ

IDaaSとは、ID・パスワード管理やシングルサインオンなどを可能にするクラウドサービスを指します。

IDaaSはゼロトラストセキュリティを実現する上で必要不可欠です。

IDaaSを導入すると、ログイン作業がスムーズになり、適切なID管理ができることに加え、認証機能でセキュリティ強化が期待できます。

弊社は、SaaS管理×IDaaSのクラウドサービス「メタップスクラウド」を提供しています。

シングルサインオン機能では、一度のユーザー認証で300以上の連携SaaSが利用可能です。

そのほかにも、従業員の利用状況の可視化や、各SaaSアカウントの一括管理と、さまざまな機能があります。