新型コロナウイルス禍によってリモートワークが広がるなど、人々の働き方に変化が起きた。企業には、時間や場所にしばられない働き方の実現が求められるようになる。同時に、セキュリティ対策についても従来とは考え方を変えて取り組まなくてはならない。中でも重要な要素の一つとなるID管理に関して、IDaaSの利用が注目されている。IDaaSベンダーへの取材から、アフターコロナの働き方を見据えたIDaaS活用のポイントを探る。
（取材・文／谷川耕一　　編集／前田幸慧）

　新しい柔軟な働き方を安全に実現できる環境を構築する上で有効な「ゼロトラストネットワーク」といったキーワードが登場し、組織におけるセキュリティのあり方を再考するきっかけとなっている。将来的なゼロトラストの実現を含め、柔軟で多様な働き方をセキュアに実現するには、ID管理が重要な鍵となる。そして、ID管理の仕組みとして注目を集めているのが、クラウドで統合的にIDを管理する「IDaaS（Identity as a Service）」だ。

　従来のオフィスを中心とした働き方であれば、ユーザーやコンピューターリソースを管理する仕組みである「Microsoft Active Directory」などを社内LAN上に用意し、LANの中でID管理を統合できた。オフィスの外で働くのは基本的に“例外”で、出張時などに外部からアクセスできるようにするVPN接続環境などを用意し、限られた人がリモートで最低限の業務が行えればよかった。

　しかし昨年、新型コロナウイルスの感染拡大によって、企業は半ば強制的にリモートワーク体制に移行。多くの企業が一部の利用向けに用意していたVPNを増強し、これに対処しようとしたものの、一気に利用者が増えたためVPNゲートウェイの容量が逼迫し、十分なレスポンスが得られず、在宅では業務がまともに行えないというケースも散見された。

　インターネット経由でアクセスできるSaaSを利用していたことで、スムーズにリモートワークに移行できた企業もある。とはいえ出社を前提としていた企業は、SaaSにも社内LAN経由でのアクセスをルールとしているところもあり、VPN経由で一旦社内LANに入らなければならず、その結果十分なレスポンスが得られないという問題が浮上。窮余の策として、Active Directoryを利用せずにインターネット経由で直接SaaSにアクセスできるよう、セキュリティの縛りを一時的に緩和した組織もある。このような対応では、新たなセキュリティホールを生み出しかねず、そのためリモートワーク体制をあきらめ、従来通り出社する働き方に戻した企業も相当数あるとされる。

自社の働き方に合うIDaaSの選択を
 
　複数のSaaSを使うときに、それぞれのサービスのID、パスワードをユーザーが適切に管理するのは容易ではない。そのためにシングルサインオンが行えるID管理の仕組みが必要となる。それがLAN上にあれば、一旦社内LANに接続するしかない。この状況を解決できるのが、クラウドで提供されるIDaaSだ。コロナ禍以前から多種類のSaaSを使っていた企業は、IDaaSを導入してきた。オンプレミスのシステムはLAN上のActive Directoryで、SaaSはIDaaSの「Okta」で管理するというように、双方を連携させシングルサインオンを実現している企業もある。そのような企業の中には、ID管理の仕組みに特に手を入れずとも、今回の緊急のリモートワーク体制移行に対処できたところもある。

　IDaaSはシングルサインオンにとどまらず、リモートワークのセキュリティ強化やIDのライフサイクル管理を自動化するのにも活用される。IDaaSとデバイス認証を組み合わせたり、多要素認証を追加してセキュリティを強化したりできる。その際に、誰がどこからアクセスしていて、その人にはどのような権限があるかを一元的に管理できる機能は必須だ。また、将来的なゼロトラストを実現する際も、IDaaSが核となる認証、認可を担うことになる。

　とはいえ、IDaaSを入れさえすればリモートワーク環境がセキュアになるわけでもなければ、ゼロトラストが実現されるわけでもない。自分たちが求める柔軟な働き方を実現させるためには、どのようなID管理の仕組みが必要かを考えて、適切な機能、拡張性を持ったIDaaSを選択する必要がある。外資系IDaaSベンダーのOkta（オクタ）とSailPoint（セイルポイント）、日本のIDaaSベンダーであるHENNGE（へんげ）の3社のサービスおよびビジネスから、アフターコロナに求められるIDaaSの活用法を見ていく。

Okta
デバイスの正確な利用情報の把握・制御をIDaaSで支援　シングルサインオンの先にあるIDのライフサイクル管理も

　どの端末をどのような環境で、誰が利用しているか。それを管理するのが、IDaaSであるOktaの役割だ。同社では、グローバルでSaaSを積極的に利用し、自社のIDaaSを活用しながらエンドポイントのモニタリングなどを組み合わせ、働く場所に縛られない「ダイナミックワーク」を実現している。この環境ではゼロトラストネットワークが実現されており、「オーストラリアやシンガポールを拠点とするスタッフも日本の業務にあたっている」と、Okta Japanの井坂源樹シニアソリューションエンジニアは説明する。
 
　リモートワークでは、オフィスのLAN環境にあったネットワーク防御の仕組みが使えなくなる。そのため重要となるのが、それぞれのデバイスで実施するセキュリティ対策と、デバイスを誰がどこから利用しているかの正確な把握と制御だ。その上で安全性を担保するには、継続的な監視、管理が必要になる。その仕組みを構築する際の核となるのがOktaのIDaaSというわけだ。

　現状、Oktaへの問い合わせや相談の多くは、アフターコロナを見据えリモートワークを前提に考えている企業から寄せられているという。リモートワーク環境では、ファイアウォールのようなLANの内側を守る境界防御は役立たない。適切なID管理が多様な働く環境の安全性を確保するための共通の接点となり、それを発展させればゼロトラストの実現につながる。「実際に進んでいるかどうかは別として、ゼロトラストについては海外より日本のほうが意識は高いのでは」と井坂シニアソリューションエンジニアは指摘。この意識の高さが、Oktaへの関心につながっている。

製品統合の機能や可用性に強み

　Oktaは、SaaSなど7000を超えるアプリケーションなどとの統合機能を「Okta Integration Network（OIN）」として用意している。これにより、ユーザーは使いたい複数のSaaSがあっても、容易にシングルサインオン環境を実現できる。グローバルで実績あるSaaSの多くがOINに登録されており、20年9月から本格参入した日本市場でも、国内ISV（独立系ソフトウェアベンダー）に対しOINへの製品登録を積極的に促している。既に電子契約サービスの「クラウドサイン」やクラウド人事労務ソフトの「SmartHR」、サイボウズの各種クラウドサービスなど、日本のサービスもOINに登録されている。

　現状は、複数のSaaSを利用していてユーザーの利便性とID管理の安全性を両立したい、あるいは多要素認証を導入しリモートアクセスのセキュリティを強化したいといった理由からOktaが採用されるケースが多い。そこから一歩進めて、将来的なゼロトラストを目指すには、端末の管理がしっかり行われているかなども合わせて監視し、IDaaSと連携してアクセス制御ができなければならない。端末の監視、管理の仕組みなどとも連携しやすい点は、ゼロトラストの実現を見据えているような企業から評価されているポイントだと井坂シニアソリューションエンジニアは言う。

　もう一つのOktaの特徴が、エンタープライズレベルの安定性、可用性の高さだ。「ID管理の仕組みは万一止まると必要なサービスにログインできなくなる。Oktaは99.99％の高い稼働性を保証し、実績はそれを上回っている。安心して利用できるサービスだ」と井坂シニアソリューションエンジニアは説明する。

　その上で、IDの運用管理の自動化を実現しやすい点も評価が高いという。社員の入退社や異動に合わせ、手間のかかるIDの作成、削除、権限付与などの確実な実施に向けて、Oktaは単純なシングルサインオンだけでなく、「Workday」などの人事情報管理のサービスとも連携し、人事情報の変化をトリガーにID管理を自動化することができる。そのためにアプリケーションやサービスが用意する権限制御のAPIなどとも深く連携し、権限付与などを含め自動化できる。

ライフサイクル管理の認知拡大へ

　加えて、IDライフサイクル管理ができるというOktaの価値が、徐々に市場で認知されつつあると井坂シニアソリューションエンジニアは語る。7000を超えるOINに登録されているアプリケーションやサービスの多くはシングルサインオン連携だが、IDライフサイクル管理ができる深いレベルの連携製品も300弱ある。これは他のIDaaSに比べればかなり多いと言う。今後IDのライフサイクル管理を進めるためにも、セキュリティやコンプライアンスに対処した運用が自動化できる、踏み込んだレベルの連携にOktaはさらに力を入れることとなる。

　そしてIDのライフサイクル管理では「顧客の業務に根ざしたサポートができるSI系パートナーの力も必要だ」と井坂シニアソリューションエンジニア。IDライフサイクル管理では、顧客の利用しているアプリケーションや業務を理解した上でのアプローチが必要になる。それができるパートナー企業にOktaのスキルを持ってもらうべく、パートナー支援策も強化する。

　日本ではIDaaSの市場が盛り上がりを見せており、シングルサインオンのハードルはかなり低くなった。シングルサインオンの先として、企業がIDのライフサイクル管理を目指すようになれば、Oktaのビジネスはさらに拡大しそうだ。

[次のページ]HENNGE　日本発IDaaSの優位性を訴求　日本特有のニーズにもきめ細かく対応する