ビジネスでもすっかり当たり前になったSaaSやIaaSですが、最近「IDaaS」というソリューションが登場し注目を集めています。
本記事では、「IDaaS」とは何か? 「IDaaS」がもたらすユーザメリットとは? といった基本編から、どんな企業におすすめなのか? サービス選定のポイントは? などの応用編まで、わかりやすく解説します。
INDEX
「IDaaS」とは何か?
ここ最近、Webで目にすることが増えてきた「IDaaS(Identity as a Service, アイダース)」。IaaS(Infrastructure as a Service)やDaaS(Desktop as a Service)と別種のクラウドサービスです。
「XaaS」とは、「Xを提供するクラウドサービス」という意味です。この原則で解釈すると、IDを提供するクラウドサービス、となります。補足すると、従来オンプレミスで実現していたID管理システムの機能を、クラウド型で提供するサービスです。
言い換えると、IDaaSは、「ID管理・認証サービスを提供するSaaS (Software as a Service) 」といってよいかと思います。
ここで「ID管理」と聞いて、Active Directory(以下AD)を思い浮かべた方も多いかと思います。ADとIDaaSの間には共通点も多くありますが、クラウドとの親和性が大きく異なります。「オンプレミス環境におけるID管理」を目的に開発されたADに対し、「クラウドのみ」または「クラウドとオンプレミスの混在環境」向けに開発されたIDaaSは、クラウドとの親和性が圧倒的に優れています。具体的には、クラウドでのID連携が可能となります。
そしてこの「IDaaS」、脆弱なパスワードやパスワードの使い回しなど、パスワードの管理に不安がある企業におすすめです。その理由(背景)はクラウド移行の進展にともなう企業ITインフラの複雑化にあります。
「IDaaS」はクラウドファースト時代の必然
「IDaaS」最大の特長と言えるのが、SaaS/IaaSなどと同様に、クラウド上に管理システムを置くIAM(Identity and Access Management)サービスとして提供される点です。
もともとIAMは、内部統制を強化してセキュリティレベルを高めるためのサービスです。クラウドサービスへのIAMをオンプレミスで実現する場合、企業がSaaSやIaaS上に構築したシステムへのアクセスに際して、ネットワークに“穴”をあける必要があります。これには、相応の工数とセキュリティ上のジレンマが発生します。
これに対し、ID管理システムをクラウドサービスとして提供する「IDaaS」は、各種クラウドサービスとの連携を前提に開発されたため、ネットワークに手を加えずに安全なアクセスが実現します。自社のデータセンターをIaaSやPaaSに移行する、オンプレミスのADからAzure ADに移行する、物理サーバーを一切所有しない企業が増加している、といった昨今の流れを考えると、「IDaaS」が登場してきたのは必然だと言えます。
かつては、企業の情報システム部門が、社内ネットワーク内に限定した認証を作り込みで実現していました。例えば、ADを利用して、業務システムと人事DBもシングルサインオンさせる、といった具合です。
しかし、Skype、Salesforce、Office 365、サイボウズ、AWSといったクラウドサービスを利用したとたんに、各クラウドサービスへの認証となるため、社内のシングルサインオンを適用することができなくなりました。
IDaaSを利用すると、クラウドサービスの認証にシングルサインオンを適用できるだけでなく、社内システムへのシングルサインオンにも活用できます。これにより、社内システム・クラウドサービスを問わず、業務で必要なシステムにワンクリックでログインできるようになります。
増え続けるパスワードの問題を「IDaaS」で解決
IDパスワード管理が緩いために問題が起こっている場合
「IDaaS」が注目されている背景として、増え続けるID/パスワードにユーザ自身が対応できていない、という現実があります。システムごとに設定するパスワードを、覚えやすい(簡単に類推できる)ものに設定したり、同じパスワードを複数のサービスで使い回す、といった行為がセキュリティ上の問題となっているのです。
システム部門は、この「IDパスワード管理が緩い」ために起こっている問題をある程度は認識しているものの、厳しい規則を適用した場合のユーザーからの反発を考えると、規則強化は行えない(行わない)のです。
「IDaaS」が提供するシングルサインオン (SSO) 機能は、増え続けるID/パスワードという問題を解決します。IDaaSを導入すると、設定した1つのパスワードだけで複数のクラウドサービス、オンプレミスのシステムへ認証(シングルサインオン)できるようになり、「簡単なパスワード設定」「パスワードの使い回し」をシステム的になくします。
IDパスワード管理が厳しすぎるために問題が起こっている企業
次に、上記とは逆のケースを考えてみましょう。パスワードの使い回しを厳しく禁じている会社や、複雑なパスワードをユーザーに課している会社です。こうした企業は認証に関して高いセキュリティーを保っていますが、一般的なユーザーは「複雑なパスワードを多数覚えられない」ため、パスワード忘れが多発して、頻繁にパスワードリセットが必要となります。
全てのパスワードリセット、パスワード再作成が自動化されていればよいですが、自動化されていない場合は、情報システム部門がユーザーから連絡を受けて、パスワードリセット処理を一件一件行います。情報システム部門への全問合せのうち、30%がパスワードリセットだという情報もあるほどです。工数が増えれば、人員が増え、そしてコストも増えてしまい、回りまわって情報システムの新規投資を圧迫してしまいます。
IDaaSを活用すると、パスワードリセットを減らし、コストの増加を食い止めることができます。IDaaSにログインするためのパスワードを1つ覚えておけば、他のサービスにログインするためのパスワードを覚えておく必要がないためです。IDaaSは、セキュリティ向上のためのソリューションであると同時に、コスト削減のソリューションにもなります。
「IDaaS」のメリットと導入・活用シナリオ
「IDaaS」が提供する広範な機能・役割によって、導入企業のID管理者やユーザは次のようなメリットを享受することができます。
1) ID/アクセス管理の効率化
- 新入社員のIDを追加、退職者のIDを無効化、異動や組織変更にともなう変更、といった社員のID/パスワード管理を、単一ダッシュボード上ですべて実現します。
- ユーザごとはもちろん、部門(グループ)単位でアクセスできるシステムの一括制御が可能です。
2) 利便性の向上と、パスワード使い回し防止によるセキュリティ向上を両立
- クラウド含め多様なシステムと連携することで、ユーザはシステムごとのパスワードを記憶する必要なく、単一のID/パスワードですべてにログインできるようになります。
- ユーザまかせのパスワード運用管理がもたらす“短く簡単なパスワード”や“パスワードの使い回し”といった、セキュリティ上の懸念を排除できます。
- システム管理者は、「ユーザーにはIDaaSへのログインパスワードのみを教え、IDaaSからログインする各システムのパスワードは教えない」という運用が可能となります。
3) 監査レポート作成にも利用できる!ログレポート機能を提供
- 各システムの利用状況やパスワード変更などの履歴(ログ)を取得した上で、最小限の工数でレポートを提供します。
また、クラウドサービスということでユーザ単位・月額料金で利用できる点も、中堅・中小企業にとっては見逃せないメリットです。大規模な初期投資不要で気軽に導入できることから、グローバル展開を進める企業が海外新拠点を低コスト&短期間で立ち上げる、または、オンプレミスのID管理システムを運用する大企業においてモバイルワーク導入が進む営業部門からスモールスタートして徐々に全社に拡大していく…といった多様なアプローチが可能です。
どの「IDaaS」を選べばよいか?5つの選定ポイント
IDaaSは、この1、2年ですっかり市民権を得て、大企業だけでなく中小企業での導入も相次いでいます。増加するニーズに対応する形で、国内企業・海外企業がそれぞれ独自のIDaaSをリリースしています。選択肢が多いのは喜ばしいことですが、多すぎてどれを選べばよい分からないという声をよく耳にします。以下では、どのIDaaSを選べばよいかについて5つのポイントで解説します。
1) セキュリティ・運用面の信頼性
「IDaaS」では自社のID/パスワード情報を社外に置くことになるため、サービス提供企業が高いセキュリティーを確保していることが最も重要です。サービス提供企業のセキュリティが脆弱だった場合、悪意ある第三者からサイバー攻撃を受け、最悪の場合、自社のID/パスワードが流出する可能性があります。このため、セキュリティや運用面に関しても外部監査を受けている、SoC証明書を取得しているサービスを選択するのが安全です。
・参考記事
内部統制に関する国際認証 SOC について、クラウドサービスの視点で考える
2) サービスの継続性
法人向けの月額課金型のサブスクリプション、略して「サブスク」でのサービス提供が相次いでいます。利用企業からしても、初期投資が抑えられることに加えて、「すぐに始められて、すぐにやめられる」手軽さから歓迎する声が多いのが実情です。
しかし、問題が一つあります。それは、「IDaaSは、企業の認証基盤であるため、簡単にサービス停止になっては困る」ということです。例えば、「IDaaSをリリースしましたが、思ったよりユーザーが増えなかったので、来月でやめます」といった対応をする企業のIDaaSを選んではいけない、ということです。
これを防ぐには、安定した経営基盤があり、サービスを継続できるだけの体力がある企業が提供するIDaaSを使うべきです。
3) 国内SaaSへの対応
IDaaSが出てきた当初は、海外企業の開発が先行していた感がありますが、海外企業が提供するIDaaS導入には1点リスクがあります。それは、「日本企業が開発したのSaaSの多くに対応していない」という点です。
海外IDaaS企業は、限られた開発リソースを効率的に使うために、世界中のユーザーのニーズを聞いたうえで「どのSaaSに対応するか」を決めています。別な言い方をすると、人口もユーザー数が多い北米の意見は通りやすく、そうではない日本のユーザーの意見は通りにくいのです。
もし、「現在社内で使っている国内SaaS」がある場合は、対応しているかどうかを必ず確認すべきです。IDaaS企業がもし、「お使いの国内SaaSは、現在は未対応ですが、将来的に対応する予定です。なので、まず当社のIDaaSを導入しましょう」といってきても、その言葉を鵜呑みにせず、「対応してから導入を検討します」と突っぱねる勇気も必要です。
・参考URL
トラスト・ログインの対応アプリ(検索可能)
4) サポートについて詳細を確認する
IDaaSは、企業にとっての新しい認証基盤です。よって、問題が発生したときに「本社があるアメリカ西海岸時間だと夜中なので、翌朝を待って確認します」というサポートレベルでは、ユーザーに多大な影響が出てしまいます。
このため、次の3つは必ず確認すべきです。
[A] サポート可能時間帯
「日本時間」で何時から何時まで対応できるのか、を必ず確認しましょう。また、サポートがエスカレーションされた場合のタイムゾーンと対応可能時間についても確認すべきです。海外企業の場合は、エスカレーションされると、日本時間での対応ができなくなる場合があります。
[B] サポート対応者とエスカレーション
以下の内容を確認すべきです。
- 問題発生時に最初にコンタクトできるのは、開発元の企業なのか、販売店なのか。
- 単なる問題受付窓口なのか、それとも技術的に知見がある担当者なのか。
- サポートがエスカレーションされる条件は何か。
- サポートのエスカレーションは何段階あるか。
- エスカレーションされた場合の回答までの時間はどの程度か。
- 言語は日本語か、英語か。
[C] サポート手段
どの手段でのサポートが可能かを確認しましょう。例えば、「日々の簡単な問合せ・質問はチャットが便利で、急ぎの場合は電話がよい」といった具合に、手段を使い分けられるかどうかは大切です。
- メール
- 電話
- チャット
5) コスト詳細を確認する
IDaaSを提供する企業は、1ユーザーあたりのコストの安さを売りにすることが多いですが、細かい字で注意すべき内容がかかれている場合があります。契約をクリックする前に注意すべき内容を列挙します。
- 月契約なのか、年契約なのか
- 最低利用金額が設定されているか、いないか
- 最低ユーザー数が設定されているか、いないか
- どこまでが標準プランに含まれていて、どこからがオプション費用が必要となるか
- サポート費用は含まれているか、それとも別途必要か
これらをしっかり確認せずに利用開始してしまうと、後から思わぬコストがかかり、結果予算オーバーとなってしまう場合があるため、念入りに確認し、契約前には「自分の認識が本当に間違っていないか」を電話やメールで確認することをお勧めします。
GMOインターネットグループのIDaaS「トラスト・ログイン(旧 SKUID)」
上記5つのポイントを満たしているのが、GMOインターネットグループでSSL認証局を運営する「GMOグローバルサイン」が提供するIDaaS「トラスト・ログイン(旧 SKUID)」です。
- 20年以上セキュリティ基盤を提供してきた高い信頼性
- IDaaSだけでなく、認証局のビジネスがあるため、経営基盤が安定している
- 日本企業であるため、日本のユーザーを最優先に対応。日本のSaaSも数多く対応済
- メール、電話、チャットに対応
- 分かりやすいシンプルな料金プラン
当社は、SSL認証局を中心とした情報セキュリティビジネスを20年以上継続してきた実績を有し、お客様から多くの信頼を得ています。SSL認証局ビジネスという安定した経営基盤があるため、セキュリティレベルを高く維持し、安定したサービス提供を行うための投資を行うことができます。
トラスト・ログインは、日本企業が日本国内で開発したIDaaSです。国内のニッチなSaaSに対しても、リクエストがあればできるだけ早く対応しています。また、国内で開発されているため、全てのドキュメントは日本語で提供されています。よって、「英語ドキュメントの翻訳」に費やされるストレスが皆無です。
ちなみに、トラスト・ログインはメーカーから直接サポートを受けられます。問題解決のために、販売店とメーカーの間をたらいまわしになることもありません。海外製品となると、日本の代理店と海外メーカーとのやり取りだけで返答までに数日かかる場合もありますが、トラスト・ログインはメーカーに問い合わせて即回答なので、問題解決までのタイムラグがありません。
トラスト・ログインの料金プランはシンプルで、「この料金は年契約のみに適用」といった、お客様に不利となる契約条件もほぼありません。いつでも契約可能、そしていつでも解約可能。それがトラスト・ログインです。
ぜひ資料をご覧いただき、トラスト・ログインでIDaaSを実現ください。