M&A時代のグローバル企業に必須の認証基盤「Okta」事例からIDaaSのメリットを知る

お役立ち情報

2019年07月30日

クラウドセキュリティー
認証

企業のIT活用に必須となるユーザーIDをクラウド上で管理・認証する「IDaaS」（IDentity as a Service）。これまで企業では、オンプレミスでID認証基盤を構築・運用するのが一般的でしたが、クラウドアプリケーションの利用拡大とともにIDaaSの役割が増しています。さらに企業の合併・買収によるグループ化や企業のグローバル化を背景に、ID認証基盤の統合のためのIDaaS導入が広がっています。IDaaSサービス「Okta」の導入事例を交えながら、IDaaS活用のポイントを解説します。

クラウドの利用拡大で変化するID管理

IDaaSが注目される理由として、クラウドアプリケーションの利用拡大が挙げられます。「これまで企業がオンプレミスで構築・運用してきたファイルサーバーやメール、オフィスソフト、CRM、勤怠管理などの多様なシステムは、クラウドサービスへの移行が加速しています」とユニアデックスのソリューションマネージャー・岩竹智之は企業のアプリケーション利用の変化を指摘します。

各種業務アプリケーションがクラウドにシフトすることで、ユーザーID管理・認証の形態も変わってきます。これまでユーザーが社内システムを利用するとき、社内ネットワーク上に設置されたActive Directory（AD）などの認証サーバーを利用することは理にかなっていました。認証が必要なアプリケーションは社内・データセンターに置かれ、システムを利用するユーザーの部署や役職などに応じたアクセス制御も比較的容易に行えたからです。

ところが、クラウドサービスの利用拡大で状況は変わります。企業の部門やグループ、拠点ごとに必要なクラウドアプリケーションを利用するようになり、IT部門は従来のような全社レベルでのID・パスワード管理が難しくなってきました。

また、ユーザーはクラウドサービスごとにいくつものID・パスワードの登録が求められ、ログインするたびに入力するのは手間がかかります。そこで、同じパスワードを使い回したり、安易なパスワードを設定したりするとセキュリティー上、大きな問題です。

グループ企業で共通のID認証基盤の利用が可能

クラウドサービス利用時のID認証をADなどに代わって担うのがIDaaSです。OktaはIDaaSの代表的企業で、世界数千社で同社のIDaaSが導入されています。Oktaは、ID認証基盤に必要なシングルサインオン（SSO）、多要素認証、IDライフサイクル管理の機能をクラウドサービスとして提供します。クラウドに接続できる環境があれば、企業単体での利用だけでなく、グループ企業などで共通のID認証基盤の利用が可能です。

SSOは認証基盤に一度ログインすれば、連携するアプリケーションに対してID・パスワードを入力することなくサービスを利用できる便利な機能です。Oktaにはあらかじめ登録されたアプリケーションサービスが5500種以上あり、未登録のアプリケーションも簡単な設定で追加できます。

また、認証の標準規格SAML（Security Assertion Markup Language）に対応。SAMLはアプリケーションを提供するサービスプロバイダー側にユーザーID・パスワードを保管せず、IDサービスプロバイダー（Oktaなど）とユーザーの属性情報、電子署名をやり取りして認証する仕組みです。

「OktaはSAMLやOpenID Connectに対応し、クラウドサービス側にID・パスワードを預けるのは心配という企業にもセキュアなSSO環境を提供します」と岩竹は話します。

このほか、OktaはSAML未対応のアプリケーションに対するID・パスワードの代行入力機能があり、パソコンのほか、スマートフォンやタブレット端末での利用も可能です。

複雑化するIDライフサイクル管理も簡単に

クラウドサービスごとにユーザーのアカウント登録や更新、削除などを行うのがIDライフサイクル管理です。Oktaはユーザーのアカウント連携が可能なアプリケーションサービスが多数登録され、ライフサイクル管理が容易に行えます。そして、アプリケーション間でID情報をやり取りするSCIM（System for Cross-domain Identity Management）を用いた社内アプリケーションとの連携や、Okta AD Agentを用いて既存のADとの連携が可能です。ユーザーの異動や退職などでADのアカウント情報が変更されればOktaと同期して、Oktaのアカウント情報も変更される仕組みです。

Oktaは、スマートフォンアプリ「Okta Verify」を利用したプッシュ通知や、SMSを利用するワンタイムパスワード、Windows Hello やTouchIDなどの生体認証にも対応。多要素認証を組み合わせることで、よりセキュアなアクセスを実現します。顧客情報が含まれるCRMを利用するときや社外にいるときには多要素認証にするなど、アプリケーションやアクセス場所に応じて多要素認証にするかどうかを設定できます。

「企業のセキュリティーポリシーに応じてアプリケーションへアクセスできるデバイスを制限するデバイストラスト機能を搭載するなど、クラウドアプリケーション利用時のセキュリティーを強化できます」と岩竹はOktaの認証機能を説明します。

M＆A時代だからこそ認証基盤の統合を考える

企業では子会社やグループ会社を含めた世界的なサプライチェーンの展開や、企業の合併・買収による組織の拡大など、事業環境の変化にスピーディーに対応するためIDaaSに着目しています。例えば、買収した企業の認証システムを親会社のADに統合する場合、ユーザー数が多ければ大変な作業になります。

「企業の目的はAD統合ではなく、アプリケーションの共通化です。既存ADはそのままにして、OktaでID認証基盤を統合すればスピーディーに対応できます」と岩竹は話します。

ADを統合する場合、廃止する側のAD環境におけるPCやファイルサーバー、プリンターやアプリケーションにおよぶ環境の移行が発生します。統合ではなく新規にグローバルADを建てる場合もありますが、統合Windows認証ができなくなるデメリットがあります。クラウドサービスのOktaに認証基盤を統合することにより、各ADの環境はそのまま利用できるため過剰投資も回避できますし、何よりスピーディーに目的を達成できます。

実際にOktaを活用して複数の企業、ユーザーの認証を統合する例は数多くあります。例えば、新事業のプロジェクトチームを複数の企業からメンバーを集めて結成することが多くなっています。そのコラボレーション基盤として各種クラウドサービスを利用することは投資やスピードの面から理にかなっています。クラウドのファイル共有サービスやチャットツールなどを活用しながらメンバー間の情報共有、情報交換を行い、そのクラウドアプリケーション利用時の認証はOktaで行います。メンバーが入れ替わるプロジェクトチームのID認証基盤としてOktaは適しています。

また、あるメーカーでは販売代理店向けのID認証基盤としてOktaを導入。クラウドセキュリティーゲートウェイ「Zscaler Private Access」（次世代SSL-VPN）を組み合わせ、製品の価格情報などが格納されたWebサーバーへのセキュアなアクセスと認証を可能にしています。

クラウドサービスを導入するうえで機能や価格だけで選択することは危険です。サービスを提供している基盤の安定が最も重要と考えます。安定したサービスを提供するためには堅牢なシステムの設計、プログラムの開発だけではなく、物理的なセキュリティーや人的セキュリティー、第三者によるチェックなど、そのサービス提供企業の信頼性を評価することを忘れないでほしいです。

ユニアデックスでは、Oktaをはじめ、セキュリティーゲートウェイ、モバイルデバイス管理、クラウド可視化などの製品・サービスを組み合わせたクラウドセキュリティープラットフォームを展開。「当社の強みは、各分野でトップクラスの製品・サービスを組み合わせ、クラウド利用に欠かせないセキュアなIT環境を構築できることです」と岩竹は強調します。企業グループ拡大やグローバル化の課題解決として、IDaaSの利用を検討してはいかがでしょうか。