エンタープライズID管理コラム
ID管理の進化について考える〜クラウドにより高まるID管理の重要性
企業の業務にITが不可欠になるとともに、ID管理の重要度も増してきています。そして今日では、ID管理は組織運営とセキュリティ対策に欠かせないものとなりました。今回は、企業でのID管理の変遷と、ID管理の重要度が高まっている背景について取り上げます。
エンタープライズID管理の黎明期…2000年代
2000年以前の話ですが、システムの多くは限られた担当者が利用するもので、コンピューターやデータなどは鍵や入館証など物理的な壁で守られているものでした。専用線で拠点間を接続していることも多くあり、物理的な境界線を作って安全な環境を構築するというものでした。
2000年代初め頃から、企業にはクライアント・サーバーシステムが普及し、共用PCもありましたが、徐々に1人1台のPCが当然となる時代が訪れます。IDとパスワードで認証して利用する行為も始まっていますが、鍵や入館証などの物理的な境界、LANを守るファイアウォールなどの「境界の内側=社内は安全」という認識も強く残っていました。そのため、IDやパスワードの管理も現在ほど注目されているわけではありませんでした。
しかし、2002年〜2005年頃にかけて機密情報の漏えい事件が多発します。機密情報に社内から容易にアクセスしたり、デジタルメディアへのコピー、印刷できたりする環境が多かったこともあり、企業のセキュリティ対策が整備できていない脆弱性をついた攻撃でした。この頃から、外部から容易に社内環境にアクセスさせない、社内でも権限を持たない人が営業機密に関する情報にアクセスできないようにする…など、セキュリティ対策や内部統制、コンプライアンスの重要性が認識されるようになりました。法制度の整備も進み、個人情報保護法や、不正アクセス行為の禁止に関する法令が発令されました。
この時、企業がセキュリティ対策を進める上で重要な要素の1つとなったのが、社内のシステム閲覧権限や適切なアクセスコントロールです。それには、「役職や業務に応じた適切な情報公開・共有ができること」そして、「機密情報の漏えいを防ぐこと」という、2方向の取り組みが進められることになりました。
ここで必要となるのが、単に「誰であるのか」を表すだけの情報ではなく、「ユーザー情報(例えば自社の従業員であることを証明できる情報)」や、その「属性情報(部署や役職、認められているデバイス)」が何であるのかを含めたID(Identity)です。この、雇用形態・部署・役職などを含むID情報を企業が管理することで、重要な情報にアクセスできる人を制御する仕組みを持ち、それを統合的に管理する必要に迫られたのです。
こうして企業や団体にはIDを管理して重要な情報へのアクセスを制御することが求められるようになりました。しかし、まだ当時の情報システムは社内のオンプレミス環境が主流であったため、ユーザーのIDは社内用途に限られたものでした。
クラウド進化によるID管理の変化…統合ID認証基盤が求められる時代へ
2010年代に入ると、オンプレミスが中心だった企業のIT環境が大きな転換期を迎えます。SaaSをはじめとしたクラウドサービスと、スマートフォンなどモバイルデバイスの登場です。高速・広帯域のネットワークが整備・普及するとともに、エンタープライズITは企業内に閉じられていたネットワークの外側へとどんどん広がっていきました。そして、ID管理は大きな転換期を迎えることになります。
まずはクラウドサービス利用から考えてみましょう。はじめは導入しやすく、社外でも使えるSaaSの利用が進みました。メール、グループウェアなどを筆頭に、さまざまなビジネスアプリケーションがSaaSで提供されるようになると、今度は各サービスでIDとパスワードが必要になりました。これは、システム管理者にとってもユーザーにとっても混乱を招く結果となりました。
- いったいIDをいくつ作ればいいのか?
- また今度、利用SaaSが増えるらしい…
- 退職時は漏れなく消さなければならない。
- 人事異動にあわせてアクセス権の見直しが必要だ。
- 初期パスワードを新規登録者に伝えるのが毎度大変。
- 社外からのアクセスを制御できない。
- いったい何個IDを覚えればいいのか?
- まだIDがなくてシステムが使えない。
- 毎日いくつものクラウドサービスに、いちいちログインするのが面倒だ。
このような状況が生じるようになりました。クラウドサービスの急増による代表的な課題をまとめると、次の6つが挙げられます。
【課題1】利用者の負担増加:
- ID・パスワードを覚えたり入力したりすることに手間がかかる
- パスワードをアプリの数だけ自分で管理することによる負担が大きい
→負担が増えるため、覚えやすい同じパスワードを使い回す危険性が生じる
【課題2】管理者の運用負担増加:
- 複数サービスのユーザーIDのライフサイクルを管理しなければならない
- 異なるサービスでも、認証ポリシーを揃える必要がある(すべてのサービスに多要素認証を設定しなければならないなど)
→弱い認証ポリシーのクラウドサービスがサイバー攻撃の対象となりIDやパスワードを詐取されると、奪われたID・パスワードで他のクラウドサービスに不正アクセスされかねない。また不揃いな認証ポリシーは、自分のパスワードを管理しなければならない利用者にとっても負担の1つとなる
【課題3】アクセス範囲の拡大:社外からインターネット経由でのアクセスは不安
【課題4】ID削除漏れ①:不要なユーザーID残存で無駄な課金が発生する
【課題5】ID削除漏れ②:退職者IDや休眠IDによる不正アクセスが不安
【課題6】オンプレミスの管理:クラウド・オンプレミス双方の管理が必要
こうした課題に対応するために、ID管理のあり方にも変化が求められるようになりました。そこで登場したのが、シングルサインオン(SSO)と、ID管理システムからなる「統合ID認証基盤」という仕組みです。SSOは、上記課題の1〜3の解決策となり、統合ID認証基盤は課題2〜5の解決策となるものです。
この統合ID認証基盤では、課題6を解決できるよう、クラウド・オンプレミス双方の管理をする必要があります。また、このID認証基盤をクラウド上で行う、「クラウド型の統合ID認証基盤サービス」への注目も高まっています。このサービスは、「IDaaS(IDentity as a Service)と呼ばれ、新たな時代に求められるID管理の仕組みと考えられています。
その背景としては、さまざまな業務アプリケーションがサービスとしてクラウドシフトしていることが挙げられます。ID認証基盤(=ID管理とSSO)も同様に、ハードウェアの維持管理からの解放、クラウドサービス提供側が最新のセキュリティ対策や機能のアップデートを行うことなども要因と考えられます。
まとめ
今回は、企業におけるID管理の変遷をテーマに、企業のITのあり方や働き方の変化に呼応するように、ID管理の考え方やあり方が変化していることをお伝えしました。自社のITや新しい働き方に対応するID管理の仕組みを理解するためにもぜひ、このコラムの内容をお役立てください。また、新しい時代のID管理の形であるIDaaSについて、さらに詳細な情報を知りたいという方は、ぜひこちらより関連資料をダウンロードしてみてください。