はじめに新型コロナウイルスの流行により、リモートワークやサテライトオフィスなど、働き方が多様化した結果、従来の境界型防御ではセキュリティを確保することが難しくなってきています。そこで注目を集めているのが「IDaaS」です。本記事では、IDaaSとは何なのか、必要性や導入への課題も解説していきます。IDaaSはなぜ必要なのか?なぜIDaaSが注目を集めているのでしょうか?それには働き方の多様化が影響しています。コロナウイルスの流行以降、リモートワークや在宅ワークが一般的になりました。その結果、社内と社外の境界が曖昧になり、従来のセキュリティ対策では不十分になってしまいました。そこで注目されているのが、IDaaSの基本である「ID管理」という考え方です。ID管理については以下の記事で詳しく解説しています。気になる方はそちらもご覧くださいゼロトラスト実現に最も重要なのはコレだった。ID管理を解説!IGA,IMAとの違いも紹介。従来は仕事はオフィスで行うものだったため、社内と社外にファイヤーウォールを設けて防御する境界型防御が主流でした。しかし、働き方が多様化し、社内をファイヤーウォールで防御する方法ではセキュリティを確保することが難しくなってきています。そのため、現在ではゼロトラストという考え方のもと、IDを起点にセキュリティを確保するID管理が広がっているのです。一方で、従業員が社内システムや複数のクラウドサービスを利用する毎に認証が求められ、IDやパスワードの管理が煩雑になることや、異なるシステムやクラウドサービスで同一のIDやパスワードを使いまわしセキュリティリスクが高まることなど課題が存在しています。また、システムやクラウドサービスごとにIDが存在するため、管理すべきIDの数は膨大化し、情報システム部門などの管理者の負担も増大しています。そうした課題に対処しつつ、ID管理を実現させるのが、ID管理をクラウドサービスとして提供するソフトウェアを「IDaaS」です。IDaaSとは何か?IDaaS(アイダース)とは、「Identity as a service」の略称であり、いわゆるSaaSの一種に分類されます。日本語で言えば、クラウド型のID管理サービスと訳せます。各社が提供するソフトウェアによって機能は様々ですが、代表的なものとしては以下が挙げられます。SSO(シングルサインオン)一つのIDとパスワードで、複数のシステムにログインすることが可能になる機能です。システムごとにIDとパスワードを管理する手間が省けます。IDの一括管理システムに紐づくIDを一括で管理できます。情報漏洩のリスクを低減させ、セキュリティを向上させます。システム・クラウドサービス間でのID連携複数のクラウドサービスや社内のオンプレミスのシステムのIDを連携できます。アクセス認可従業員ごとアクセスの認可を行えます。不必要なアクセス権の付与を管理し、情報漏洩や不正アクセスのリスクを低減させることが可能です。IDaaS導入への課題ここからはIDaaS導入に向けた課題について解説していきます。IDaaSは非常に有用なツールですが、導入にあたっていくつかのデメリットが存在します。障害が起きた際の対応IDaaSにシステム障害が発生した際にサービスが利用できない可能性があります。2021年に発生したマイクロソフトの認証基盤「Azure Active Directory」での障害米Microsoft(マイクロソフト)の認証基盤「Azure Active Directory(AD)」において2021年3月16日午前4時15分(日本時間)ごろから障害が発生している。これによりコミュニケーションツールの「Microsoft Teams」やオフィスツールの「Office」などを含む複数のサービスにおいて、一部の顧客がログインしにくくなる事態が生じた。マイクロソフトの「Azure AD」で障害、TeamsやOfficeは復旧済みまたサイバー攻撃を受けた際に、不正アクセスや情報漏洩などのインシデントが発生する可能性もあります。2023年に発生した「Workforce Identity Cloud」と「Customer Identity Solution」で発生した情報漏洩米Okta(オクタ)は2023年11月28日(米国時間)、同社のカスタマーサポート管理システムが9月から10月に受けた不正アクセスについて情報を更新した。当初は全体の1%未満のユーザー企業の情報が漏洩したとしていたが、今回、一部を除くほとんどのユーザー企業の情報が漏洩したことを確認したと発表した。Oktaで大量の顧客情報漏洩、カスタマーサポート管理システムへの不正アクセスコストがかかるIDaaSに限らずクラウド型のソフトウェアでは、利用人数やプランによってコストが変動します。場合によってはオンプレミスで運用したほうが良い場合もあります。全てのサービスに連携できるわけではないソフトウェアによっては、連携の対応をしていないサービスがあるケースがあります。自社で利用したいサービスに対応したIDaaSか否かは必ず確認しましょう。導入に向けて意識すべきポイントリスク対応のワークフローの確認IDaaSはクラウド型のソフトウェアであるため、システム障害が起きた際に利用できない可能性があります。その際のワークフローを事前に練っておく必要があります。また、情報漏洩などのインシデントが起きた場合にどのように対応するかも併せて定めておきましょう。コストの試算クラウド型のソフトウェアサービスのため、ライセンス料を支払い使用することになります。どれほどの金額になるのかを事前に確認し、コストとメリットが釣り合うのかを勘案する必要があります。必要なセキュリティ対応の精査IDaaSは幾つかの機能を含んだソフトウェアです。自社に必要なセキュリティ対応を精査し、どの機能を含んだIDaaSを導入すべきかを検討する必要があります。 ゼロトラストを支援するプロダクト:Cygiene弊社セキュリティプロダクトのCygieneも多くのIDaaSに対応し、お客様のゼロトラストを支援しております。詳しく知りたい方に向けてホワイトペーパーを送信しております。ご希望の方は、以下のフォームよりお問い合わせください。ホワイトペーパーダウンロード | Skygate Technologiesまとめ注目を集めるIDaaSについて紹介しました。リモートワークが普及し、境界型防御だけではセキュリティを完全に確保することができなくなった近年、IDaaSは非常に有効的なツールです。一方で、本当に自社に導入が必要なのか、必要になるとしたらどのような機能が必要なのかをよく精査し、自社に最適なIDaaSを導入することが大切です。