新型コロナウイルス禍によってリモートワークが広がるなど、人々の働き方に変化が起きた。企業には、時間や場所にしばられない働き方の実現が求められるようになる。同時に、セキュリティ対策についても従来とは考え方を変えて取り組まなくてはならない。中でも重要な要素の一つとなるID管理に関して、IDaaSの利用が注目されている。IDaaSベンダーへの取材から、アフターコロナの働き方を見据えたIDaaS活用のポイントを探る。
(取材・文/谷川耕一  編集/前田幸慧)

 新しい柔軟な働き方を安全に実現できる環境を構築する上で有効な「ゼロトラストネットワーク」といったキーワードが登場し、組織におけるセキュリティのあり方を再考するきっかけとなっている。将来的なゼロトラストの実現を含め、柔軟で多様な働き方をセキュアに実現するには、ID管理が重要な鍵となる。そして、ID管理の仕組みとして注目を集めているのが、クラウドで統合的にIDを管理する「IDaaS(Identity as a Service)」だ。

 従来のオフィスを中心とした働き方であれば、ユーザーやコンピューターリソースを管理する仕組みである「Microsoft Active Directory」などを社内LAN上に用意し、LANの中でID管理を統合できた。オフィスの外で働くのは基本的に“例外”で、出張時などに外部からアクセスできるようにするVPN接続環境などを用意し、限られた人がリモートで最低限の業務が行えればよかった。

 しかし昨年、新型コロナウイルスの感染拡大によって、企業は半ば強制的にリモートワーク体制に移行。多くの企業が一部の利用向けに用意していたVPNを増強し、これに対処しようとしたものの、一気に利用者が増えたためVPNゲートウェイの容量が逼迫し、十分なレスポンスが得られず、在宅では業務がまともに行えないというケースも散見された。

 インターネット経由でアクセスできるSaaSを利用していたことで、スムーズにリモートワークに移行できた企業もある。とはいえ出社を前提としていた企業は、SaaSにも社内LAN経由でのアクセスをルールとしているところもあり、VPN経由で一旦社内LANに入らなければならず、その結果十分なレスポンスが得られないという問題が浮上。窮余の策として、Active Directoryを利用せずにインターネット経由で直接SaaSにアクセスできるよう、セキュリティの縛りを一時的に緩和した組織もある。このような対応では、新たなセキュリティホールを生み出しかねず、そのためリモートワーク体制をあきらめ、従来通り出社する働き方に戻した企業も相当数あるとされる。

自社の働き方に合うIDaaSの選択を
 
 複数のSaaSを使うときに、それぞれのサービスのID、パスワードをユーザーが適切に管理するのは容易ではない。そのためにシングルサインオンが行えるID管理の仕組みが必要となる。それがLAN上にあれば、一旦社内LANに接続するしかない。この状況を解決できるのが、クラウドで提供されるIDaaSだ。コロナ禍以前から多種類のSaaSを使っていた企業は、IDaaSを導入してきた。オンプレミスのシステムはLAN上のActive Directoryで、SaaSはIDaaSの「Okta」で管理するというように、双方を連携させシングルサインオンを実現している企業もある。そのような企業の中には、ID管理の仕組みに特に手を入れずとも、今回の緊急のリモートワーク体制移行に対処できたところもある。

 IDaaSはシングルサインオンにとどまらず、リモートワークのセキュリティ強化やIDのライフサイクル管理を自動化するのにも活用される。IDaaSとデバイス認証を組み合わせたり、多要素認証を追加してセキュリティを強化したりできる。その際に、誰がどこからアクセスしていて、その人にはどのような権限があるかを一元的に管理できる機能は必須だ。また、将来的なゼロトラストを実現する際も、IDaaSが核となる認証、認可を担うことになる。

 とはいえ、IDaaSを入れさえすればリモートワーク環境がセキュアになるわけでもなければ、ゼロトラストが実現されるわけでもない。自分たちが求める柔軟な働き方を実現させるためには、どのようなID管理の仕組みが必要かを考えて、適切な機能、拡張性を持ったIDaaSを選択する必要がある。外資系IDaaSベンダーのOkta(オクタ)とSailPoint(セイルポイント)、日本のIDaaSベンダーであるHENNGE(へんげ)の3社のサービスおよびビジネスから、アフターコロナに求められるIDaaSの活用法を見ていく。