働き方の多様化を背景に“ゼロトラスト”が叫ばれるようになって久しい昨今。そのゼロトラストを実現するうえで、あるいはさまざまなシステムがクラウドシフトしたビジネスを安全・迅速・円滑に進めていくうえで、ID管理の課題に着手しようという企業が増えている。
そこで注目されているのが、従来型の認証基盤が抱える課題を解決する「IDaaS(Identity as a Service:ID管理・認証・アクセス制御などを提供するクラウドサービス)」だ。ID管理について豊富な知見と経験を持つ、日立ソリューションズ セキュリティサイバーレジリエンス本部 認証セキュリティ部 セキュリティスペシャリストの松本 拓也 氏にID管理における課題解決のポイント、適したソリューションを教えていただいた。
ビジネス環境の変化が顕在化させた認証基盤の問題点
──まずは、日立ソリューションズが考える「IDaaS」の必要性について教えてください。
お客さまと話すなかで、IDaaSの必要性を特に感じるシーンが2つあります。そのうちの1つがオンプレミスの認証基盤の利用です。現在も多くの企業でオンプレミスの認証基盤が使われていますが、そこには大きく3つ問題点があります。
1つ目は、クラウドサービスとの親和性が低いことです。クラウドサービスの利用が加速する一方、オンプレミスとクラウドサービスとの間では認証の統合がしづらいといった課題があります。認証の統合ができないと、各認証におけるセキュリティレベルも統一できないばかりか、ID・パスワード情報が漏れた場合に気づきにくいといったセキュリティリスクもあります。また、利用するシステム・サービスごとに認証作業が発生することはユーザーにとって利便性の低下を招き、管理者にとってもパスワードリセットなどの運用作業負荷が高まります。
2つ目は、社内ネットワークに依存した認証基盤であることです。リモートワークの普及に伴い、社外からのアクセスも頻繁に発生するようになるなか、社内ネットワークに依存した認証基盤では、社外からの認証を受け入れる仕組みを別途用意する必要があります。ですが、何らかの理由で仕組みが機能せず認証できなくなってしまった場合には、認証を必要とするすべてのシステム・サービスの利用ができないだけでなく、本来権限がない人を社内へ通してしまう恐れもあり、セキュリティ面でも運用面でもリスクが高くなってしまいます。
そして3つ目は、新たな脅威への迅速な対応が難しいことです。これは認証基盤に限った話ではありませんが、サイバー攻撃が日々高度化・多様化するなか、オンプレミスの環境では脅威の変化に迅速に対応することが困難です。なかでも、停止することなく常に正しく認証することが求められる認証基盤には、より安全性が求められるため、その環境の運用負荷が高くなります。
こうしたオンプレミスの認証基盤が持つ問題点への解決策となるのが、IDaaSです。
──IDaaSが必要とされるもう1つの背景とはどのようなものでしょうか?
近年、「ゼロトラストセキュリティ」のキーワードでご相談いただくことが増えてきました。
ですが、ゼロトラストセキュリティをめざそうとするも、「何から手をつければ良いのか」と悩まれている方が多いと感じています。そこで最初に導入すべきものとして、IDaaSが有力な選択肢となります。
ゼロトラストセキュリティを実現するため、多くのセキュリティ施策を実施したとしても、それらの施策は正しい認証があってこそ成り立つものだからです。
たとえば、SWG(Secure Web Gateway:社外ネットワークへアクセスする際、クラウドから提供されるプロキシ)で特定のユーザーにのみ、リソースへのアクセス許可するケースを考えてみましょう。もしユーザーの認証が正しく行えなかったり、でたらめなユーザー情報が登録されたりすると、その先のあらゆる制御は無意味になってしまいます。IDaaSにより、正確なID情報と確実な認証を用意することが重要です。
“きちんと動く”可用性と、サービスとしての利便性を評価
──日立ソリューションズではIDaaSに「Okta」を推奨されていますが、Oktaとはどのような製品なのでしょうか?
Oktaは2021年Gartner® Magic Quadrant™では5年連続でリーダーの1社と評価*¹されています。クラウドネイティブなサービスであり、全世界で1万5000社以上の導入実績がある点でも、信頼性の高いサービスと言えます。また、7300以上(2022年7月時点)の外部連携コネクタによって多彩なサービスと迅速に連携できるところも強調したいポイントです。
特徴としては、まず“ベスト・オブ・ブリード” の思想にもとづいたサービスである点。OktaはあくまでもID管理・認証の専門家としてIDaaSの機能を提供し、ほかの分野の優れたソリューションと組み合わせて使ってほしいという姿勢を貫いています。
組み合わせられる対象は業務アプリケーションだけではなく、セキュリティ系サービスや人事系クラウドサービスなど多岐にわたります。
特にセキュリティでは、ゼロトラストを実現するうえで、Oktaをそのハブとして利用できるのが強調したいところです。ベスト・オブ・ブリードの設計思想にもとづかないIDaaSをハブにすると、周辺サービスの選択肢が大きく狭まり、連携に際して複雑な作り込みが発生する恐れもあります。
──Oktaはデータ連携に関する柔軟性も高いと聞きました。
はい。IDaaSを利用するためにはユーザー情報が必要です。ユーザー情報をどのように改廃し鮮度を保っていくかは非常に重要なのですが、Oktaは改廃手段が豊富かつ柔軟なので、業務に合わせた運用を無理なく可能にします。
たとえば、社員のユーザー情報はWorkdayなどの人事システムから同期し、委託先ユーザーの情報はファイルから定期的に取り込むといった連携や、グループ会社がそれぞれ運用する複数のAD(Active Directory:Windows Serverが持つ機能の1つでネットワーク上のさまざまな資源、ユーザーを一元管理するもの)を1つのOktaテナントに同期するといった連携を容易に実現できます。
また、Oktaに集めたユーザー情報を外部システムへ連携するIDプロビジョニング機能も非常に強力です。
新しい社員が入社した場合など、自動的にMicrosoft 365にユーザーを作成し、メール利用のライセンスを付与、配属された部署が営業部門なら追加でSalesforceにもユーザーを作成する、といったことを追加のプログラム開発などせず、ノーコードで実現できます。
IDプロビジョニング機能を備えているIDaaSはOkta以外にもありますが、対応しているクラウドサービスが非常に限定的だったり、対応内容が不十分でプログラム開発で補完しないと運用できなかったりするケースが少なくありません。Oktaはノーコードでさまざまなサービスに対し、深い連携まで実現できますので、お困りの方は是非Oktaを試していただければと思います。
──OktaがほかのIDaaSと比べて優れているのはどういった点でしょうか?
最大のアドバンテージは可用性、つまり“きちんと動く”ことでしょう。稼働率は99.99%*²で、とにかく止まらず安定稼働します。認証は組織におけるITの基盤ですから、止まってしまうと業務がストップする可能性もあるので、やはり可用性は注目すべきポイントです。
──Oktaが止まらない理由には、どういったことが考えられますか?
私個人の考えも含めますが、止まってしまうサービスは、サービスとしてよりもソフトウェアとして設計されているのではないかと思います。もともとはソフトウェアとして販売していたものをクラウドサービスに移植しているということです。ソフトウェアとしてのアーキテクチャに優れたものがクラウドサービスとしても優れているかというと……、これはまったく別の話だと思っています。
その点、Oktaはクラウドサービスとして生まれたクラウドネイティブなサービスなので、あくまでサービスであることが徹底されています。ひとつの例がモニタリングです。Oktaには、ユーザーから使い方などのフィードバックを受けて改善を施していく仕組みが最初から設計されており、毎月20もの新機能を欠かさずリリースし続けています。そうしたスピード感もほかのIDaaSを圧倒していると感じます。
日本初のディストリビューターとして、Oktaを含むさまざまなソリューションを提供する
──ここからは“日立ソリューションズが提供するOkta”という観点から、強みやメリットを教えてください。
当社は国内初のOktaのディストリビューターで、豊富な導入実績を持っています。その背景にあるのが、当社自身がOktaの利用を続けてきたことです。日立グループでも導入しており、30万ユーザーの環境で運用してきました。この運用実績をもとに、2018年9月からOktaのディストリビューターをスタートしています。
当社自身が運用してきたからこそ蓄積できたスキルやノウハウ、それに裏づけられた導入実績の多さに加えて、当社ではゼロトラストセキュリティを実現するための製品・サービスなど、ほかの多様なソリューションと一緒にOktaを提案できる点も強みと考えています。当社が提供する「秘文 統合エンドポイント管理サービス」、次世代SWG・CASB・リモートアクセスソリューション「Netskope」、統合エンドポイント管理ソリューション「MobileIron」などとの連携もその一例です。つまり、「ゼロトラストセキュリティを実現したい」ということに限らず、Oktaを中心にネットワーク・エンドポイントなどさまざまな分野をカバーしたトータルなソリューションを提供することができます。
──最後に、IDaaSを導入するうえで、どういった点に着目すべきかを教えてください。
前段でも触れましたが、多くのセキュリティ施策を実施したとしても、それらの施策は正しい認証があってこそ成り立つものです。
だからこそIDaaS導入時は、機能だけでなく、長い期間にわたり高いパフォーマンスを出せるソリューションであるか、それを支えるサポートは充実しているかといった視点から製品を選定・導入することをおすすめしています。
──ありがとうございました。
*¹ 出典: Gartner, Magic Quadrant for Access Management, Henrique Teixeira, Abhyuday Data, Michael Kelley, 1 November 2021
Gartnerは Gartner リサーチの発行物に掲載された特定のベンダー、製品またはサービスを推奨するものではありません。また、最高のレーティング又はその他の評価を得たベンダーのみを選択するようにテクノロジーユーザーに助言するものではありません。 Gartner リサーチの発行物は、 Gartner リサーチの見解を表したものであり、事実を表現したものではありません。 Gartner は、明示または黙示を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の責任を負うものではありません。 GARTNER および MAGIC QUADRANT は、 Gartner Inc. または関連会社の米国およびその他の国における登録商標およびサービスマークであり、同社の許可に基づいて使用しています。 All rights reserved.
*² Okta, Inc.調べ
クラウド型ID管理・統合認証サービス「Okta」に関する詳細、お役立ち資料、お問い合わせは、日立ソリューションズのHPにてご確認ください。
Okta
Identity as a Service:IDaaS-クラウド型ID管理・統合認証サービス
https://www.hitachi-solutions.co.jp/okta/sp/
[PR]提供:日立ソリューションズ