IDaaSは「アイデンティティ・ガバナンス」とともに、IAM（Identity and Access Management）領域の主要なソリューションである。しかし、IDaaSとアイデンティティ・ガバナンスが混同され、役割の違いが理解されていないことも多い。それぞれのソリューションの特性や役割を理解することは、ビジネス上のゴールを実現する上で重要である。そこで、今回はIDaaSとは何か、アイデンティティ・ガバナンスとの違いは何かを解説する。

アイデンティティ・ガバナンスとの違い

　IDaaSはIdentity  as a Service の略であり、クラウド型のアイデンティティ（ID）管理サービスのことである。主な機能としては、「認証サービス（多要素認証＝MFA、リスクベース認証など）」「シングルサインオン（SSO）」「プロビジョニング」「ユーザーディレクトリ連携」「パスワード管理（主にパスワードリセット）」がある。

　SaaSが広く利用され始めた2010年ごろに登場した。複数のSaaSへのログインをシングルサインオンとして一カ所にまとめることによる利便性向上、また多要素認証の提供によるセキュリティ強化が導入における主要な利点である。従来から存在する社内ウェブのシングルサインオン製品と共に、アクセス管理に分類されることが多い。

　一方、アイデンティティ・ガバナンスはIGA（Identity Governance and Administrationの略）とも呼称され、アイデンティティの可視化とコントロールを提供する。主な機能としては、「アイデンティティのライフサイクル管理」「アクセス権の申請」「プロビジョニング」「ポリシー管理（職務分離＝SOD）」「棚卸（アクセス権のレビュー）」「ユーザーディレクトリ連携」「パスワード管理（リセット・更新・同期）」がある。

　米国のSOX法や日本のJ-SOXにより企業の内部統制が求められ、コンプライアンス強化の機運が高まっていた05年前後に登場した。アイデンティティの可視化とコントロールによる内部統制の適切な実施（コンプライアンス確保）、セキュリティ向上の実現、アイデンティティのライフサイクル管理の自動化による煩雑で人手に頼ったアイデンティティ管理（アカウントの作成・更新・削除）からの脱却、運用コストの削減、利便性向上が導入における主な利点である。

　05年以前から存在したアイデンティティ管理（ユーザープロビジョニング）と05年ごろに登場したアクセスガバナンス（アクセス権の可視化・コントロール）を包含し、10年ごろからはアイデンティティ・ガバナンスと呼称されている。国内においては、アイデンティティ・ガバナンスの認知度は最近まであまり高くなく、単にアイデンティティ管理と呼ばれることも多い。
 
　IDaaSとアイデンティティ・ガバナンスは、生まれた背景・主な導入メリットから違いが明白である。しかし、ゼロトラストセキュリティモデルへ向けたセキュリティ環境のイノベーションには双方とも必須とされていることや、互いに関連する製品ソリューション領域であり使われている単語や共通機能もあることから、混同されることも多い。なお、最近では単にアイデンティティ関連ソリューションをSaaS型で提供しているものを総じてIDaaSと呼ぶこともあるので、明確にするため図では「狭義のIDaaS」としている。

IDaaSとアイデンティティ・ガバナンスの役割

　IDaaSとアイデンティティ・ガバナンスを、情報システムにおいて果たす役割の観点からも説明したい。新たに従業員が採用され、業務で利用するアプリケーションへアクセスするまでにIDaaS およびアイデンティティ・ガバナンスがどのように動作するのだろうか。

　一般的には従業員が採用されると、人事などにより人事システムに情報が入力される。アイデンティティ・ガバナンスが従業員の人事システム上の属性情報や職務・職位などに基づいて、業務に必要なシステム・アプリケーション（IDaaSも含む）にアカウント（ユーザー情報）をプロビジョニング（作成）する。作成されたアカウントを利用して従業員は、IDaaSで保護されたアプリケーションにアクセスする。IDaaSや業務に必要なシステム・アプリケーションにはアイデンティティ・ガバナンスにより権限情報を含むアカウントが作成されているので、従業員はシングルサインオンでのアクセスを行うことができる。

　IDaaSとアイデンティティ・ガバナンスがそれぞれ違う役割を担っていることが理解できるだろう。
 

IDaaS ～これまで・これから～

　IDaaSはSaaS利用の広がりやゼロトラストセキュリティへの移行を目指す企業のセキュリティ強化の流れもあり国内でも広範に導入されてきている。筆者がメンバーになっている「JNSAデジタルアイデンティティWG（ワーキンググループ）」で昨年実施したウェビナーのアンケート結果では、多くのアンケート回答者が「導入済み」なものとしてIDaaSの機能であるSSO（シングルサインオン）、MFA（多要素認証）を挙げている。
 
　一方、筆者が所属するSailPointテクノロジーズジャパンとITRが共同で実施した調査の結果では、インシデントが発生する前に強化すべき項目として、アイデンティティ・ガバナンスがカバーするアクセス権の継続的な検知や、アクセスの無効化に加えて、IDaaSのカバー領域である全ユーザーへのMFA導入も3位に入っている。
 
　これら二つの結果は、企業がMFA自体の導入は進めているが、さらなる強化が必要であることを示唆している。想定外の行動をとったユーザーの検知や、認証時のデバイス情報の活用なども今後の強化ポイントとなっていくだろう。

IDaaSとアイデンティティ・ガバナンスどちらが重要？　どちらが先？

　ではIDaaSとアイデンティティ・ガバナンスどちらが重要で、どちらに先に着手すべきなのだろうか。筆者が最もよく聞かれる質問でもあるが、答えは「両方重要」「自社の対策が不十分な方を強化する」となる。

　双方ともゼロトラストセキュリティモデルへの移行に必須のものである。また、実は全く異なるものであり、組み合わせることで本来の役割や効果が得られるので両方整備することが重要である。一方、調査データが示しているように、国内においてはアイデンティティ・ガバナンスの整備がまだ実施できてない企業が多く、検討は今まさに始まったばかりである。

　まだ着手されてない企業はIDaaSとアイデンティティ・ガバナンスをバランスよく整備し、ゼロトラストセキュリティモデルへのセキュリティトランスフォーメーションを実現してほしい。