エンタープライズID管理コラム
セミナーレポート「今、必要とされる認証基盤とは」〜情シスサミット2021より
2021年10月19日〜29日にかけて情シス向けオンラインイベント「情シスサミット2021 ONLINE」が開催されました。弊社の代表取締役 江川 淳一も登壇しましたので、今回はそのセッション内容をダイジェスト版で紹介します。なお、セッション資料(抜粋版)も用意していますのでぜひ、ダウンロードしてご覧ください。
「難しい」認証基盤も、まずは基礎からわかりやすく解説
「情シスサミット2021 ONLINE」では、「DX時代のコミュニケーション&セキュリティ」をテーマに連日数々のセッションが配信されました。そのうち、10月25・26日は「ID&セキュリティDays」として、ゼロトラストやサイバー攻撃対策、ネットワークセキュリティなどのテーマとともに、ID管理や認証基盤、IDaaSをテーマとしたセッションが提供されました。
今回、今回、その中でも弊社 江川のセッション「今、必要とされる認証基盤とは」の内容をご紹介します。
本セッションは、昨今、クラウドの普及とともに認証基盤の整備が重視される実情があるものの、「認証」「認可」「ID管理」といったキーワードが難解と感じている方に向けた内容になっています。
冒頭に江川は次のように述べています。
「ITの中でもセキュリティ、セキュリティの中の認証基盤というものは、苦手な分野の1つという方も多いかもしれませんが必要な技術です。『基礎知識』でもわかりやすく解説しますので、皆さんもぜひ、今回のセッションを通じて、認証基盤のご検討をいただければと思います。」
「難しさ」はあるものの、基礎から分かりやすく紹介するために、セッションでは下図の6つの流れで紹介しました。本記事では、このうち前半部分の内容を中心にお届けします。
ニューノーマルと新たな境界線としてのID
まず、「世の中の流れ」としてIDが今注目されている理由について説明がありました。
江川はその背景として、昔のITとニューノーマルのITで異なる点を指摘しています。
「昔のITは、そもそも鍵・入館証など物理境界で守られていた中で稼働していました。しかし、ニューノーマルの中で、リモートワークが普及しました。これは外からデータ・アプリにアクセスする時代です。人もアプリも社内にない時代に、鍵や入館証はほとんど意味がなくなっていることがわかります。」
下図を見ると、かつては境界線が鍵・入館証の物理境界であったものが、ニューノーマルになると新たな境界線が必要になることがわかります。
では、新たな境界線はどこにあるのでしょうか?江川は次のように語ります。
「データやアプリが中にあっても外にあっても、その『人』が適切かどうかをIDで判断するしかありません。IDでセキュリティを確保することから、『Identity is the new perimeter』…つまり、IDが新たな境界線になっていると7〜8年前から言われるようになってきています。」
それを表すと下図のようになります。つまり、オンプレミス・クラウドいずれのデータ・アプリも境界線をIDに設定しているイメージです。
しかし、IDはセキュリティ対策となる一方で、セキュリティ課題にもなると江川は指摘します。
「クラウドが普及してくると、クラウドを使うためには、事前に正しい『人』かどうかを判断するために、クラウドに『IDとパスワード』を配布しておかなければなりません。しかし、セキュリティに脆弱性のあるクラウドがあり、そこから『IDとパスワード』がセットで漏れてしまうことは非常に危険な状態です。」
この内容と、世の中の流れを整理すると下図のようになります。
認証と認可・ID管理の違い、認証基盤の目的とは?
次に、境界線としてのIDには課題が残ります。この課題に取り組むにあたり、まずは「認証」と「認可」の違いについての解説がありました。一見、難しいそれぞれの違いとは何でしょうか?
「認証と認可は別物です。
『認証』は、IDとパスワードで本人確認すること、
『認可』は、そのアプリ・データへのアクセスをコントロールすること
です。」
「ID情報がなければ、『認証』、『認可』の突合ができません。では、IDとは何かというと、『実在する人などの情報をIT上で表現する属性情報の塊』と考えてください。属性情報の塊を分けると、識別子(Identifier・社員番号など)、認証で利用する情報(Credential・パスワードなど)、その他の属性情報(所属・役職など)の集合体を指しています。そして、認証・認可ともにID管理が必要になります。」
この基本的な部分が難解な部分と言われますが、まとめると下図のようになります。
この認証を行うためのシステムが認証基盤と呼ばれていますが、「その目的は2つある」と江川は述べます。
「認証基盤で実現できることは、適切な認証と認可(アクセスコントロール)です。これは、セキュリティだけを目的とするものではありません。アクセスコントロールは組織運営に密接に結びついています。例えば、営業部門の人は人事情報にアクセスできない、というような制御が必要です。つまり、組織では、役職や業務に応じた適切な情報の公開、共有を行う必要があります。」
この内容をまとめたのが下図です。認証基盤には、「セキュリティ」と「組織運営」の2つの目的があり、それぞれ必須の取り組みであること、それがニューノーマル時代の現在、企業にとって欠かせない存在となっている理由として挙げられるのではないでしょうか。
まとめ
今回は、「情シスサミット2021 ONLINE」より、江川のセッション「今、必要とされる認証基盤とは」のダイジェストとして、主にID管理の基礎知識を中心にご紹介しました。難解な内容も、1つずつ要素を解きほぐしていくことで理解が進むのではないでしょうか。
また、さらにステップアップしてセッション目次の4〜6の技術情報やIDaaS情報などを知りたい方に向け、下記にセッション資料(抜粋版)を用意しました。ぜひ、ご確認ください。