クラウド時代の「ID管理地獄」にNO！ 解決のカギはクラウドIAMにあり

Office 365など便利なはずのクラウドサービスが情シススタッフを地獄に突き落とす――。その犯人は「増え続けるIDの管理」だ。セキュリティをも脅かしかねないこの大問題を解決するカギはクラウドIAMにあった。

[PR／ITmedia]

PR

　今や業務に欠かせないものとなりつつあるクラウドサービス。既にグループウェアやメール、営業支援システムや顧客管理システムなどをクラウド化している企業も多いのではないだろうか。

　しかし、クラウドの活用が進むに従って新たな課題が浮上し始めている。中でもやっかいなのが「ID（アカウント）管理」。利用するクラウドサービスが増えれば増えるほど、管理の工数も増えるという問題は、便利さの陰に隠れて案外、見落とされがちだ。

　一般的なクラウドサービスは、ユーザーごとにIDとパスワードを発行し、認証を行うが、利用するクラウドサービスが増えれば、当然、企業のIT部門が管理すべきIDの種類は、ユーザー数との乗算で増えていく。せっかくクラウドの導入でサーバ運用の手間が軽減されても、ID管理の手間が減らなければ、システム管理者の負荷は依然として高いままになってしまうわけだ。

　さらに、クラウドサービス特有のセキュリティリスクにも注意が必要だ。“インターネットにつながってさえいれば、どこからでもアクセスできる”というクラウドの利便性は、企業が従業員に使わせる場合には、セキュリティ面のリスクを高める要因にもなりかねない。

　おまけにこうした状況は、従業員のストレスを高めることにもなる。覚えなければならないIDとパスワードが増え、それぞれに定期的な変更を求められたら管理しきれなくなってしまうだろう。

利用するクラウドサービスが増えると、従業員も管理者もID、パスワードの管理に苦しむことになる

　そもそも、“複数のシステムに対するログインを一度の認証で実現する仕組み”は、オンプレミスの時代から、長くその重要性が議論されてきた。

サイバネットシステム ITソリューション事業部事業企画グループのグループマネジャーを務める三浦正裕氏

　そしてクラウドと合わせて活用することが当たり前になりつつある今、クラウド特有の事情も考慮して、複数サービスのアカウント管理やセキュリティの課題を解決できる「クラウドIAM」（Identity and Access Management）ソリューションが、広く求められるようになっている。

　「OneLogin」は、そんなクラウドIAMの1つ。世界で約1400社の導入実績があり、顧客にはSNS大手のFacebookやPinterestをはじめ、企業向けのOSSソリューションを提供するRed Hat、企業向けSNSサービスのYammer、ハイヤー配車サービスを提供するUberなどの有名企業も名を連ねる。

　今回、日本でOneLoginの代理店となっているサイバネットシステムのITソリューション事業部事業企画グループ、グループマネジャーの三浦正裕氏にOneLoginの特長と導入のメリットについて聞いた。

クラウド時代の“煩雑なID管理”を解決する「OneLogin」。セキュリティを確保しつつ、ID管理の工数を大幅に減らすことができる

クラウドIAMソリューション「OneLogin」とは？

　OneLoginは、面倒な複数ID管理の手間を大幅に軽減するさまざまな機能を備えたサービスだ。クラウドサービスと企業内Webアプリに対する「シングルサインオン」（SSO）を中心に、社内ディレクトリサービスとの連携機能、ユーザープロビジョニング機能、二要素認証やアクセスコントロールなどのセキュリティ機能、ユーザーイベントのレポート機能などを用意している。

従業員はOneLoginにログインすれば、ほかのクラウドサービスや社内サービスにはID、パスワードを入力することなくログインできる

　SSOは、SAMLやWS-Federationなどのフェデレーション認証が可能なクラウドサービスに対応。また、フェデレーション未対応のサービスについても、ブラウザのアドオンプログラムによってSSOを可能にしているのが特徴だ。

　このアドオンプログラムの設定はユーザー側で自由に定義できるため、社内のWebアプリと社外の複数のクラウドサービスに対するSSOをOneLoginで実現するといったことも可能だ。

　「SSOに対応するサービスについては、事前に4000種以上の設定が定義されています。SSOの仕組みとして、フェデレーションとブラウザアドオンの両方の方式が使えることによる対応サービスの多さは、OneLoginの優位点の1つです」（三浦氏）

　マイクロソフトの「Office 365」やグーグルの「Google Apps」、セールスフォース・ドットコムの「Salesforce.com」などの海外クラウドサービスに加え、サイボウズの「Cybozu.com」「kintone」、ネオジャパンの「desknet's」といった日本製クラウドサービスにもしっかり対応しているのがうれしい。特に「Office 365」については、マイクロソフトが提供する「Works with Office 365 - Identity プログラム」の認定を受けているので安心だ。

ID管理を強力にサポートする「ユーザープロビジョニング」

　クラウドサービスの数が増えると、入社や退社時のアカウント作成や削除に掛かる手間も無視できなくなる。こうした作業の工数を大幅に減らす機能を備えているのもOneLoginの特徴だ。

　OneLoginの「ユーザープロビジョニング」（Unlimited Editionで利用可能）は、Windowsの「Active Directory」の情報と連携して、クラウドサービスに対するユーザー作成やアプリケーションのアサイン、ユーザーの削除といった操作を自動で行う機能である。

　社内のActive Directryに対してユーザーを追加すれば、その内容は自動でOneLoginに反映され、事前に設定したルールに従ってアカウントやアプリの利用資格をアサインする。

　Active Directoryからユーザーを削除すると、同様にOneLogin上のユーザーやアプリ用のアカウントも削除する。サービスアカウント発行の手間や退職した従業員のアカウント削除を自動化することで業務が省力化され、セキュリティリスクも抑えられる。

Active Directoryにユーザーを追加すると、ユーザーの職種に応じたクラウドサービスのアカウントが自動で設定される

　この機能は、近年、企業での導入が進んでいる「Office 365」の管理で威力を発揮する。企業内ディレクトリとOffice 365のSSOを実現するには、「ADFS」（Active Directory Federation Service）の利用が推奨されているが、そのためにはADFS用サーバを立てて管理する必要があり、“手間やコストの軽減”というクラウドの導入効果が失われるという声も挙がっている。またクラウドサービス利用の際にオンプレミスの要素を加えるとそこがボトルネックとなることも想定される。

　OneLoginを利用すれば、そうした仕組みが不要になるほか、OneLoginの99.99％という高いSLAが企業のクラウド利用を影から支える。「クラウドサービスはOffice 365のみを利用している」という企業でも、SSOとしてOneLoginを採用すれば効率化やコスト削減効果がえら得るというわけだ。

クラウドIAMに求められる多様なセキュリティ機能

　複数業務システムの入り口が“1つ”になる「SSO」システムでは、その入り口に対するセキュリティの確保が重要だ。OneLoginでは、こうしたセキュリティ周りの付加機能が充実しているのも大きなメリットだ。

　OneLoginは、金融系サービスのWebサイトでよく利用されている「ワンタイムパスワード」（OTP）機能を標準で利用できる。これにより、ユーザーが知っている「IDとパスワード」に加え、OTPトークン（スマートフォンアプリとして提供）に表示される一時的なパスワードを組み合わせた「二要素認証」が実現できる。

　さらに、ブラウザにPKIを導入することによる疑似的な端末認証にも対応する（Windowsのほか、Mac OS Xに対応。Enterprise Edition以上で利用可能）。加えて、アクセス元のIPアドレスによるアクセスコントロールも可能なため、「私用端末からのアクセスや、会社以外の場所からのアクセスを禁止したい」というセキュリティニーズにも応えてくれる。

IPアドレスによるアクセスコントロール機能を使えば、自宅や外出先からのアクセスを制限できる

　こうしたセキュリティ周りの機能は「ポリシー」として複数作成でき、ユーザーやグループ、アプリケーションといった単位で適用できるのも便利な点だ。

　企業によっては、監査などに対応するため、業務システムへのユーザーのアクセス状況をレポートとして出力したいというニーズもあるだろう。しかし、クラウドサービスは、ユーザーのアクセス状況を個別にログとして入手するのが難しいケースも多い。複数のサービスを併用している場合はなおさらだ。

　OneLoginには、ユーザーによるOneLoginへのアクセス状況を「イベント」としてリアルタイムに取得し、「ユーザー」「イベント」「アプリケーション」「ログイン」ごとの切り口でレポートとして出力する機能がある。OneLoginでのSSOを導入すれば、サービスへのアクセス状況をOneLogin上でまとめて監視できる。

人の入れ替わりが多い企業のID管理を大幅に効率化

　米国発のクラウドIAMであるOneLoginだが、国内の導入事例も増えている。ある数万人規模の日本発のグローバル企業では、OneLoginを利用してGoogle AppsやSSL VPNへのアクセス、社内WebアプリへのSSOを実現している。

　「この企業は事業の性質上、人材の入れ替わりが激しく、入ってきた人に必要なアカウントを発行したり、退職した人のアカウントを削除したりといった業務の負担が課題となっていました。それをOneLoginによるSSOとユーザープロビジョニングによって効率化し、セキュリティリスクも軽減しています。また、ITの運営方針である『業務システムのクラウド化を推進せよ』という要請にも、OneLoginが合っていたのです」（三浦氏）

---

　OneLoginは、Forrester ResearchによるクラウドIAM市場のプレーヤー比較で「Leader」という高い評価を受けている点でも安心感がある。クラウドサービスの活用が進む中、増える一方のID管理の手間とセキュリティレベルの維持に悩むシステム管理者にとって、検討すべきソリューションといえるだろう。

より詳しく知りたい方に

資料ダウンロード

記事を読んでクラウドIAMに興味を持っていただいた皆様へ、より詳しい情報を掲載した資料はこちらからダウンロードいただけます。

資料例

• Office 365運用の工数増大とセキュリティ懸念を解決するシングルサインオン・アカウント管理とは
• やっぱりIAMはオンプレミスが安心？クラウドベースIAMへの“誤解”に答えます
• クラウドアプリケーションとの最適なディレクトリ連携の手法を探る
• OneLogin 資料ダウンロード

その他、豊富な資料をご用意しています。

→詳細はこちらから