便利なSaaSの“落とし穴” 「アカウント管理」の手間を解決する手法とは

SaaSの導入が進む一方で、増えるアカウントをどう管理するか考えあぐねてはいないだろうか。アカウント管理が難しい背景を解き明かした上で、注目の管理手法「ユーザープロビジョニング」について解説する。

[PR／ITmedia]

PR

　読者の皆さんは、PCやスマートフォンで幾つのSaaSを利用しているだろうか。片手では数え切れないという人も多いだろう。

　SaaSに代表されるクラウドサービスの利用は年々広がっており、総務省の「令和5年 通信利用動向調査報告書（企業編）」によると企業のクラウドサービスの利用率は約80％になっている。情報システム部門が把握していない「シャドーIT」も含めると利用率はさらに高まるだろう。

HENNGEの圓 一樹氏（Product Planning & Research Division）

　働き方改革やDXの流れの中で、ITツールを組み合わせて使う「コンポーザブルアーキテクチャ」という考え方に基づいて複数のクラウドサービスを使い分ける動きが増えている。その結果、一社で2桁、時には3桁に上るSaaSを活用しているケースもあるという。

　業務に特化したサービスを場所やデバイスを問わず利用できるというメリットがある一方で、課題も生じている。利用するサービスの増加に伴ってアカウントも増え、ユーザーはもちろん情報システム部門も管理が困難になりセキュリティリスク化しているのだ。クラウドサービスの利便性を損なうことなく安全に使うにはどうすればいいのか。国産クラウドセキュリティベンダーのHENNGEの圓 一樹氏に聞いた。

増え続けるSaaS　利便性の裏にひそむ“アカウント問題”

　電子メールやファイル共有、顧客管理基盤、経費精算システムなど、かつてはオンプレミスに構築されていたアプリケーションをSaaSで利用できるようになった。SaaSにログインすれば、便利な機能をいつでもどこでも利用できる。

　いくら便利といえども、利用するSaaSの数が増えるにつれてアカウント管理の負荷が無視できなくなる。「経験がある人も多いと思いますが、アカウントのIDとパスワードを覚え切れないという問題が浮上しています」と圓氏は話す。

　問題をややこしくしているのは、SaaSごとにアカウント設定のルールが異なる点だ。IDは電子メールアドレスなのか社員番号なのかユーザー名なのか、パスワードは8桁なのか記号や大文字を使うのかといった具合だ。この状況はパスワードを覚え切れないという問題にとどまらず、企業のセキュリティリスクに直結する。

　「パスワードを覚えられないと、従業員は簡単で覚えやすいパスワードを設定したり、複数のSaaSで同一のパスワードを使い回したりします。その結果、パスワードが破られるリスクが高まり、使い回している場合は複数のSaaSに芋づる式に不正ログインされてしまう恐れがあります」

　パスワードの使い回し問題は、オンプレミスにもある。しかしオンプレミスシステムは社内アクセスに限定するなどといった運用が可能だった。クラウドサービスはインターネット経由で利用するためにパスワードが漏れれば社外から不正アクセスされる可能性がある。多くの企業はアカウントの管理ルールを定めているが、それが守られているとは限らない。

数十種類のSaaSアカウントを従業員の数だけ管理　高まる作業負荷

　管理すべきアカウントの増加は、システム管理者にも新たな課題をもたらした。「どのサービスのどのIDを、どのユーザーに振り分ければいいか判断して対応する作業の難易度が上がっている」と圓氏は指摘する。

　新入社員の入社や人事異動のたびに、業務や役職に合わせてSaaSのアカウントを払い出す必要がある。退職者が出たら、速やかにその従業員のアカウントを消去またはロックしなければならない。人事台帳などを見ながら手作業で行うと、抜け漏れやミスが生じる割合も高まる。

　業務に必要な権限のみを与える「最小権限の原則」に沿ってアカウントを管理する必要があるが、クラウドサービス利用の広がりに伴ってその難易度は高まっている。利用するSaaSが数種類なら対応できるかもしれないが、数十種類ものSaaSを数十人、数百人の従業員に常に適切に割り当てるとなると、その負荷は相当なものとなる。

「全社でSaaSを50種類利用」　HENNGEが開発したID管理サービスは

　セキュリティベンダーであるHENNGEも、クラウドサービスのアカウント問題に直面してきた。

　「HENNGEの社内システムのほとんどはクラウドサービスです。全体では50種類以上のSaaSを導入しており、私は30種類ほど利用しています。営業やカスタマーサクセスなど、部署や業務に応じてクラウドサービスを使い分けています」

　多数のSaaSに別々でログインすると手間がかかって仕方がない。手間を省き、利便性と安全性を両立させるためにHENNGEが開発したのが、クラウドサービスのID管理に特化した「HENNGE Identity Edition」だ。クラウドセキュリティサービス「HENNGE One」の中で提供している。

　HENNGE Identity Editionに含まれる「HENNGE Access Control」はIDとパスワードの一元管理やシングルサインオンが可能なIDaaSだ。自社のセキュリティポリシーに準拠したパスワードを1つ覚えるだけで必要なSaaSにシームレスにアクセスできるため、これまでの煩わしさから解放される。

　多要素認証を組み合わせることで、パスワードが漏えいしたり解読されたりしても不正ログインを防げる。「会社支給の端末からのアクセスのみ許可したい」という要望に応えて、デバイス証明書を用いた認証も提供している。これによって必要なセキュリティ要件を確保していると圓氏は説明する。

　ユーザー認証の標準規格「SAML」や「OpenID Connect」などに対応しており、国産SaaSを含む300種類以上のSaaSをサポートしていることも特徴だ。

　すでにHENNGE Access Controlを活用しているサーラビジネスソリューションズは、複数の業態にまたがる子会社も含めて100種類以上のクラウドサービスを利用している。同社はHENNGE Oneの Identity Edition と多くのクラウドサービスを連携させてID管理を簡素化し、ログインの手間を省くことに成功した。

HENNGE Identity Editionの概要（クリックで拡大／出典：HENNGEの提供資料）

管理者泣かせのIDライフサイクル管理　「ユーザープロビジョニング」で解決

　システム管理者の負荷に目を向けると「ID基盤を利用して、従業員の入社から退社までの適切なライセンス管理をする『IDライフサイクル管理』を実現したいという要望が高まっています」と圓氏は説明する。

　こうしたニーズに応え、HENNGE Access Controlで新たに提供する機能が「ユーザープロビジョニング機能」だ。ユーザープロビジョニングは、ID基盤に基づいてアカウントの作成や権限付与、削除などを半自動的に行う仕組みを指す。

　HENNGE Oneに登録されているユーザーグループを指定するだけで、グループの定義に基づいてSaaSのアカウントを管理できる。アカウントやアクセス権限が不要な従業員に割り当てられている場合は、その権限を削除することも可能だ。これまで手作業かプログラムを書いていたユーザープロビジョニングの処理が、ボタンを押すだけ実現する仕組みだと圓氏は胸を張る。

HENNGE Access Controlのユーザープロビジョニング機能のメリット（クリックで拡大／出典：HENNGEの提供資料）

　日本企業はIDライフサイクル管理における手作業の比率が高いと圓氏は言う。入社や退社、人事異動に伴うアカウント変更の依頼は、あるときはワークフローシステムで、あるときは電子メールで、場合によっては口頭で情報システム部門に伝わる。

　「多くの情報システム部門は、アカウントの台帳を表計算ソフトなどで作成して、実際のアカウント数と照らし合わせる作業も定期的に行っていました。この手間は非常に大きく、情報システム部門の業務を圧迫していました」

　ユーザープロビジョニング機能はこうした作業を半自動化することで、情報システム部門の負荷を大きく軽減する。依頼や承認などのワークフローを搭載したサービスもあるが、HENNGEはあえてユーザープロビジョニング機能に絞った。

　「ワークフローをどのタイミングで起票するかは企業によって異なります。ワークフロー自体を改革するのはお客さまにとって大変なことなので、今の業務を残しながら自動化できるところを自動化するというコンセプトでお客さまを手助けしていきます」

HENNGE Oneは年間100回以上もアップデート

　HENNGEは盤石な体制のサポートサービスやカスタマーサクセスを通して、連携対象のサービスやシステムごとのくせを踏まえた最適な連携方法を提案してきた。こうしたノウハウも生かし、より便利に同期できる仕組みを提供する。

　さらなる利便性や使いやすさを求めて、HENNGE Oneの改善にも注力している。HENNGE Oneは1年間に100以上のアップデートを行い、機能やUI（ユーザーインタフェース）、UX（ユーザー体験）を追加、改善している。

「IDとパスワードの管理から解放される」　HENNGE Oneで利便性と安全性を両立

　SaaSを導入する目的は業務をより楽にすることだが、数が増えるにつれてユーザーにもシステム管理者にも負担がかかるケースが出てきた。IT人材の不足も相まって、情報システム部門の人的リソースは豊富とは言えない状況だ。

　圓氏は「HENNGE OneにさまざまなSaaSをつないでいくことでIDとパスワードの管理から解放されます」と述べ、人材不足を解決し、作業に費やしていた時間を創造的な業務に有効活用してほしいとした。

　「セキュリティツールを導入すると業務に制限がかかり、利便性が下がったり運用が面倒になったりするのではないかと懸念する方も多いと思います。HENNGE Oneは、ユーザーと管理者に楽をしていただくためのセキュリティツールです」

　増え過ぎたアカウントの管理に悩んでいる企業や、SaaSを巡ってヒヤリとする出来事があった企業はHENNGE Oneの利用を検討してはいかがだろうか。HENNGE Identity EditionによるID管理を含む総合的な対策ができるはずだ。