ゼロトラスト時代のID管理 IDaaS選定に欠かせない3つのポイント：輝ける情シスになるためには何が必要か〜求められる人材に変化しよう〜（4）

IDaaSはコスト面だけでなく情報システム部門の負担軽減という意味でも魅力的だが、ノークリサーチの岩上氏は「導入を提言する際に強調すべき点は別にある」と指摘する。その指摘から、 “自社が本当に守りたいもの”を浮かび上がらせる方策と、情報システム部門が経営層や事業部門と距離を縮めるためのヒントが見えた。

[PR／ITmedia]

PR

　情報システム部門担当者に寄り添い、変革のヒントを届ける本連載「輝ける情シスになるためには何が必要か〜求められる人材に変化しよう〜」。前回は「ゼロトラスト」というバズワードが生み出した誤解とまずやるべきセキュリティ対策を、ノークリサーチの岩上由高氏（シニアアナリスト）に聞いた。

　第4回の本稿は、ゼロトラスト構築の第一歩といえるIDaaS（IDentity as a Service）製品の導入で情報システム部門担当者が直面する課題やその解消法、IDaaS選定の際に注目したいポイントなどを前回に続き岩上氏に語ってもらう。

ID管理基盤の導入で情報システム部門が直面する課題

　前回はゼロトラスト構築を無理なく始めるための第一歩として、まずは対象領域を「業務システム」（サーバ側）と「エンドポイント」（PC／スマートデバイス側）に絞り込み、ID管理基盤を構築することでこれらを適切に保護することの重要性を伝えた。

　そもそもID管理という考え方自体は新しいものではなく、「昔、この管理や運用で大変な思いをした」と苦い思い出を持つ読者もいるはずだ。

　確かにこれまでの「Active Directory」や「OpenLDAP」を利用したID管理では、このためにわざわざサーバを立てて運用管理体制を整えたり、グループポリシーを設定したり、複数拠点をフェデレーションさせたり、人事異動の時期には徹夜覚悟で構成を更新したりなど、労働集約的な作業が多く発生していた。

　しかし今日、この領域でもIDaaSといったSaaS（Software as a Service）を利用することでID管理基盤を自力で構築・管理する必要はなくなった。コストだけでなく技術的な面でもハードルは大きく下がったといえる。

　では、ID管理基盤の構築はどこでつまずくのか。岩上氏によれば、情報システム部門担当者が経営層や事業部門にIDaaSの導入を説得するときにしばしば反論に遭うという。

ノークリサーチの岩上由高氏

　「経営層は収益を拡大することが責務ですから、それに直結しないものに費用をかけることに対しては後ろ向きになりがちです。『コストを増やすだけ』『今のままで問題ないのではないか』といった反論が予想できるでしょう。また、事業部門からは『IDaaSを入れなくてもパスワードはしっかりと管理している』といった意見が挙がりがちです。しかしこの裏には『ID管理の強化によって、会社に申告せずに利用しているITサービス（いわゆる「シャドーIT」）が禁止されてしまうのではないか』という本音が隠れていることもあります」

　経営層や現場部門のこうした意見に対して「サイバー攻撃など万が一の事態に備えてIDaaSを導入すべきだ」といった主張のみで一点突破するアプローチはあまりお勧めできない。岩上氏は「もしもの備えといった“リスク”やIDaaSによる"負担軽減"のみを強調しすぎると『情報システム部門が楽をしたいだけだ』と誤解されてしまうこともあります。導入に当たっては他社の動向を示しながら、経営や現場の“利益”につながる話をするのが得策でしょう」と指摘する。

　ではIDaaS導入の具体的なメリットとは何か。ノークリサーチが実施した調査「2022年版 サーバ＆エンドポイントにおけるITインフラ導入/運用の実態と展望レポート」によると、企業のITインフラにおける決裁や計画立案、選定・導入、管理・運用のいずれかに関わる従業員に「エンドポイント管理・運用の方針」を尋ねたところ、「ID管理や認証処理を統合できるサービスを利用する」と回答した企業が「在宅勤務中の端末を保護できるサービスを利用する」や「同じ端末をさまざまな場所に持ち運んで利用可能にする」と回答した割合は、ID管理や認証処理を統合できるサービスを利用していない企業と比較して高いという結果になった。

エンドポイント管理／運用の方針。青い棒グラフが全体の調査結果、オレンジの棒グラフがID管理や認証処理を統合できるサービスを利用する企業の調査結果（出典：ノークリサーチ「2022年版 サーバ＆エンドポイントにおけるITインフラ導入/運用の実態と展望レポート」）

　在宅勤務で利用される端末を保護したり社外持ち出しを可能にしたりすることで、働く場所の選択肢が増える。これはオフィス改革や従業員の働き方改革といった経営課題に直結する。IDaaS導入を提案する際は、これによって経営層や現場の利便性が高まり、より柔軟な働き方を実現できると伝えるといいだろう。

　もちろんIDaaSの導入は情報システム部門にとっても大きなメリットがある。先ほどの調査結果によれば、「ID管理や認証処理を統合できるサービスを利用する」と回答した企業は「OSの自動更新を管理／制御するサービスを利用する」割合も高くなっている。これまでWindowsの大型アップデート（Feature Update）などに割いていた業務リソースを軽減できるのだ。

　「しかし経営層に上申する際は、情報システム部門の業務負荷低減を伝えるのは後回しにしましょう。あくまで本題は経営課題の解決であり、ユーザーの利便性向上であるべきです。まず現場の理解を得るために、伝え方の順番は非常に重要です」

IDaaSを選定する際の3つのポイントとは？

　次にIDaaSを選定する際のポイントを幾つか解説しよう。

　1つ目は多要素認証をはじめとした強固な認証手段に対応していることだ。サイバー攻撃が激化する昨今、IDやパスワードはいつ盗まれてもおかしくない。そのとき頼りになるのが多要素認証で、デバイス証明書やアプリ認証、ワンタイムパスワード、生体認証などを備えているといい。「IDaaSによって一本化されたアカウントは当然ながら従来のIDやパスワードのみによる認証よりも強固である必要があるわけです」と岩上氏は指摘する。

　2つ目は連携できるシステムが豊富であることだ。ID管理基盤は複数のサービスをつなぐハブの役割を担うため、連携できるシステムは多ければ多いほどいい。近年はSAML（Security Assertion Markup Language）認証による連携を実現しているSaaSが大半であるため、連携対象がSaaSの場合はまずSAML認証が可能かどうかを確認すべきだ。連携対象がオンプレミスでも、SAML認証以外に連携可能なソリューションを用意している製品もある。セキュリティやパフォーマンスの懸念からオンプレミスを選択せざるを得ない場合はSAML以外の連携手段を用意している製品にも注目しよう。

　3つ目はIDやパスワードの統合以外にどのような機能を備えているかだ。網羅的なログの取得と解析は、継続的な運用改善に必要不可欠だ。その他、よりきめ細かな管理や運用を実現するためにもアクセス制御機能の有無をチェックしておくとよいだろう。

　「ID管理が進めば、『特定のユーザーに対して、“社内にいるときと社外に出ているとき”“就業時間とそれ以外の時間”といった“TPO”でアクセスを制御したい』というニーズが生まれる可能性があります。個人的には、ID管理は将来的に単なる人のアカウント管理を超えたものになると予想しています。多くのIoT（モノのインターネット）端末が導入されてモノとシステムの連携が必要になったとき、意図した制御ができなければ大きな事故につながりかねません。その意味でもアクセス制御機能には期待したいと思っています」

重要性を理解した後にまずやるべきことは？

　どのようなプロジェクトも最初は現状調査から始まる。ID管理基盤の導入も事業部門が今どのようなSaaSやシステムを利用し、どのように業務を進めているかを知ることが第一歩になる。しかしこれは非常に労力が掛かるのに加え、ID管理強化のためと分かると先の理由から素直に話してくれない可能性がある。

　そこで岩上氏が提案するのが「まずはスモールスタートする」だ。無料の評価環境を提供しているベンダーもある。それを利用して“ゼロトラスト時代のID管理”をまず体験してみるといい。

　岩上氏は「最近はローコード／ノーコードツールの普及によって、事業部門主導でIT導入を進める動きが広がっています。こうした中で、この先情報システム部門がどのようにプレゼンスを発揮するか。全社を俯瞰（ふかん）し、全体最適の視点から物事を進められるのは情報システム部門ならではの強みです。ID管理の知見を身に付けるためには、やはり自ら実践するしかありません」と語る。

　スモールスタートでもいいので、実行することで「自社のセキュリティが今どのような状況にあるのか」が可視化され、自社が本当に守りたいものが浮かび上がる。ここまで来れば、ゼロトラストに照らしたグランドデザインを描くことも容易になり、その先すべき施策の方向性も見えてくるはずだ。

　岩上氏は最後に「情報システム部門担当者は『ユーザーに寄り添う気持ち』を持つことが大切です。ゼロトラストとは“誰も信用しない”という考えに基づいたアーキテクチャですが、情報システム部門は経営層やユーザーに寄り添う気持ち、一緒に業務をより良い方向に発展させる姿勢を忘れるべきではありません。ユーザーが隠れて利用している製品やサービスをただ“シャドーIT”と断じるのではなく、どうしたら会社として公式に使えるかを考えたり、代替になるサービスを一緒に探したりする。こうした姿勢を取ることで、ID管理基盤導入は事業にとってプラスの取り組みとなり、情報システム部門と事業部門の距離は自然に縮まると思います」とエールを送った。