コンテンツ
midPointとは
ID管理の未来を、オープンに、スマートに。
midPointは、クラウドとオンプレミスの両環境でIDとアクセスを一元管理できる、強力なオープンソースプラットフォームです。ID管理の複雑さを解消し、ビジネスを加速させます。
導入のメリット
効率的なID管理
アカウント作成やロール割り当て等のタスクを自動化。管理者の負担を軽減し、人的エラーを削減します。
強化されたセキュリティ
ポリシーに基づいたアクセス制御(RBAC)で権限を厳格に管理。監査証跡機能でセキュリティイベントを監視できます。
コンプライアンス簡略化
GDPRやISO 27001など、各種規制要件への対応を支援。ポリシー適用ツールでコンプライアンスを維持します。
コスト削減
オープンソースのためライセンス料は無料。反復タスクの自動化と合わせて、総所有コスト(TCO)を大幅に削減可能です。
柔軟性と統合性
幅広いシステムやアプリと連携可能。既存のITインフラを活かしつつ、組織の特定のニーズに合わせて高度にカスタマイズできます。
真のオープンソース
全ソースコードが公開されており、高い透明性と監査可能性を保証。コミュニティと共に進化し続けるエコシステムです。
主な機能
ID管理のあらゆる側面をカバーする、包括的で強力な機能群を提供します。
プロビジョニング
ユーザーアカウントの作成・変更・削除を自動化。ConnIdコネクタを通じて様々なシステムに対応します。
同期
複数のシステム間でIDデータを一貫性のある状態に維持。ファジーマッチや重み付けされた相関ルールでスマートな照合を実現します。
ポリシー駆動型RBAC
静的な役割ではなく、動的なポリシーに基づいてアクセス権を制御。組織のルールを柔軟に適用します。
セルフサービス
ユーザー自身がパスワードリセットや権限申請を行えるポータルを提供。IT部門の負担を軽減します。
承認ワークフロー
権限申請などに多段階の承認プロセスを組み込み可能。ガバナンスを強化し、適切な権限管理を実現します。
監査証跡
「誰が」「いつ」「何をしたか」をすべて記録。コンプライアンス要件を満たし、セキュリティ調査を容易にします。
仕組みとアーキテクチャ
中核をなすリポジトリ
midPointの頭脳であり、心臓部。IDデータ、構成、ポリシーなど全ての情報を一元的に格納・管理する内部データベースです。データの整合性を維持し、システム全体の安定性を支えます。
ConnIdコネクタフレームワーク
様々な外部システムとの接続を担う仲介役。LDAP、AD、DB、Webサービスなど、多様なプロトコルやAPIを抽象化し、midPointとのシームレスなデータ連携を実現します。
歴史と進化
Sun MicrosystemsのIdentity Connector Framework (ICF)を起源とし、その複雑な歴史を経て、現在はApache Syncopeを開発するTirasa社とEvolveum社が中心となり、オープンなコミュニティ体制で「ConnId」プロジェクトとして維持・開発されています。
技術深掘り
midPointの強力なパフォーマンスと拡張性を支える技術的な詳細です。
スケーラビリティ
数百万〜数千万ID規模への対応を目指した「MidScaleプロジェクト」は2021年10月に完了し、その成果は本体に統合されました。このプロジェクトの核心は、汎用的なデータベースサポートから、オープンソースデータベースであるPostgreSQLに特化したネイティブ実装へと舵を切った点にあります。この戦略的決定により、大規模環境で最高のパフォーマンスを発揮できるよう設計されており、適切な構成で数百万ID規模の運用が可能です。
パフォーマンス
midPointはJavaプラットフォーム上で動作するため、パフォーマンスは環境要因に影響されます。最高のパフォーマンスを得るには、最新のJava長期サポート(LTS)バージョンでの実行が推奨されます。
主なユースケース
入社
人事システムと連携し、アカウントを自動で作成。必要なアクセス権を即座に付与します。
異動・昇進
役割の変更に応じて、アクセス権限を自動で見直し。不要な権限は削除し、セキュリティを保ちます。
退職
退職日をもってアカウントを自動的に無効化または削除。情報漏洩リスクを未然に防ぎます。
アクセス制御強化
RBACにより、「適切な人」に「適切な権限」のみを付与。不正アクセスやデータ漏洩リスクを軽減します。
コンプライアンス対応
各種規制要件(ISO 27001、GDPR等)を満たすための機能を提供。監査証跡で証明も容易です。
開発元とコミュニティ
midPointは、開発元であるEvolveum社と、活発なグローバルコミュニティによって支えられています。
開発元 Evolveum社
midPointを「完全オープンソース」として提供しつつ、Evolveumはサブスクリプション型の有償サポートで開発を持続可能にしています。
グローバルコミュニティ
世界中の開発者やユーザーが参加。メーリングリストやGitリポジトリを通じて、誰もが開発に参加し、貢献できる環境が整っています。
オープンな開発プロセス
ソースコードから課題追跡、設計ドキュメントまで全て公開。完全な透明性が、ソフトウェアの信頼性とセキュリティを高めています。
導入と運用
迅速なセットアップ
Evolveum公式のDocker Compose手順に従えば、依存関係を含めてmidPoint環境を迅速にデプロイできます。
トラブルシューティング
豊富な参照ドキュメントや、コミュニティのメーリングリストを活用することで、問題解決のための知見を得られます。
バグ報告と機能リクエスト
プロジェクト管理ツールを通じてバグ報告が可能。有償サポート契約者は製品ロードマップへ影響を与えることもできます。
導入成功の秘訣
段階的な導入
スモールスタートが成功の鍵。小規模なパイロットプロジェクトから始め、徐々に範囲を拡大していくことが推奨されます。
コミュニティ活用
活発なグローバルコミュニティに参加し、メーリングリストやドキュメントを活用。知見やベストプラクティスを共有できます。
パートナーとの連携
開発元Evolveumやパートナー企業と連携。商用サポートやコンサルティングを利用し、複雑な要件にも対応できます。
ID管理の基本概念を理解する
IGA(IDガバナンス&管理)とは?
IGA(Identity Governance and Administration)は、組織内のデジタルアイデンティティとアクセス権を管理・統制するためのサイバーセキュリティフレームワークです。その目的は、「誰が」「どのリソースに」「いつ」「なぜ」アクセスできるのかを明確に制御し、セキュリティ規制やコンプライアンス要件を遵守することにあります。
現代のIT環境は、オンプレミスの社内システム、複数のクラウドサービス(SaaS)、IaaS/PaaSが混在するハイブリッドな構成が一般的です。このような複雑な環境では、手動でのID管理はほぼ不可能であり、セキュリティリスクを増大させます。IGAは、この課題に対し、以下の主要機能を通じて解決策を提供します。
IGAは、単なるID管理ツール(IAM)の拡張ではなく、ガバナンスとコンプライアンスの視点を加えることで、組織全体のセキュリティ体制を強化する重要な役割を担います。「ID管理ブログ」では、IGAの具体的な適用例についても解説しています。
RBAC(ロールベース・アクセス制御)の原則
RBAC(Role-Based Access Control)は、ユーザーの組織内での「役割(ロール)」に基づいてシステムへのアクセスを制限する制御モデルです。個々のユーザーに直接権限を割り当てるのではなく、「営業部長」「開発エンジニア」といったロールに権限の集合を定義し、ユーザーにはそのロールを割り当てます。
このアプローチには、以下のような大きなメリットがあります。
RBACは、特に組織規模が大きくなるほど、その管理性とスケーラビリティの高さから、現代のアクセス制御における標準的な手法と位置づけられています。
自動プロビジョニングの仕組み
プロビジョニングとは、ITインフラをセットアップし、ユーザーやシステムがリソースを利用可能な状態にするプロセス全般を指します。IGAの文脈では、特に「ユーザープロビジョニング」が重要となります。これは、ユーザーのアカウントを作成、変更、削除し、適切なアクセス権を付与・剥奪する一連の作業です。
自動プロビジョニングは、このプロセスを自動化する仕組みです。例えば、人事システムに新しい従業員が登録されると、その情報をトリガーとして、Active Directory、Microsoft 365、Salesforceなど、業務に必要なすべてのアカウントが自動的に作成され、RBACに基づいて初期権限が設定されます。逆に、退職情報が登録されれば、すべてのアカウントが即座に停止または削除されます。
この自動化により、手作業による設定ミスや対応漏れを防ぎ、セキュリティを大幅に向上させると同時に、情報システム部門の運用負荷を劇的に軽減します。
IT監査の重要性
IT監査は、組織のITシステムが適切に管理・運用され、ポリシーや規制を遵守しているかを独立した立場で評価するプロセスです。ID管理の領域における監査では、特に以下の点が重要視されます。
midPointのようなIGAツールは、これらの監査要件を満たすための詳細なログ記録機能やレポーティング機能を備えており、J-SOX法などの内部統制報告制度への対応を強力に支援します。
midPoint導入実践ガイド
midPointの導入は、単なるツールインストール以上の戦略的なプロジェクトです。ここでは、開発元であるEvolveumが提唱する段階的な導入アプローチと、オープンソースソフトウェア(OSS)ならではの落とし穴、そしてその対策について解説します。
段階的導入アプローチ
Evolveumは、大規模な一括導入(ビッグバンアプローチ)ではなく、価値を早期に実現し、リスクを最小化する反復的な導入方法論を推奨しています。このアプローチは、「接続 → クリーンアップ → 自動化」のサイクルを繰り返すことで、着実にID管理基盤を構築していきます。
まずは小規模に始めます。最も信頼できる情報源(例:人事システム)と、影響範囲を管理しやすいターゲットシステム(例:テスト用のActive Directory)をmidPointに接続します。この段階では、実際のデータ変更は行わず、シミュレーション機能を使って現状のデータを読み込み、アカウントの不整合やデータ品質の問題点を可視化することに注力します。
パイロット導入で明らかになったデータ品質の問題(例:退職済みアカウントの残存、部署名の不一致など)を修正します。データがクリーンになったら、入社・異動・退職(JML)といった基本的なライフサイクルプロセスの自動化に着手します。成功体験を積み重ねながら、接続するシステムを一つずつ増やしていきます。
パイロットで確立したモデルを全社に展開します。重要なのは、IDガバナンスは一度構築して終わりではないという点です。新しいシステムの導入、組織変更、ポリシーの見直しなど、ビジネスの変化に合わせて継続的にID管理プロセスを改善していくプログラムとして位置づける必要があります。
OSS-IGA導入における一般的な落とし穴と対策
オープンソースであるmidPointは、ライセンス費用がかからないという大きな魅力がありますが、その自由さには相応の責任が伴います。導入を成功させるためには、以下の「落とし穴」を事前に理解し、対策を講じることが極めて重要です。
サポートと専門知識の確保
落とし穴:
OSSには、商用製品のようなベンダーによる公式サポートは含まれていません。問題が発生した場合、自力で解決する必要があります。
対策:
解決策は主に3つです。
セキュリティとメンテナンスの責任
落とし穴:
ソフトウェアの脆弱性管理は、すべて利用者の責任です。過去にOpenSSLのHeartbleed脆弱性などが大きな問題となったように、OSSの脆弱性が発見された場合、迅速なパッチ適用が求められます。
対策:
脆弱性情報(CVE)を常に監視し、セキュリティパッチがリリースされた際に迅速に適用できる運用体制を構築する必要があります。ソースコードが公開されていることは、多くの目でレビューされるという利点がある一方で、攻撃者にとっても分析が容易であるという側面を常に意識しなければなりません。
長期的な持続可能性の評価
落とし穴:
OSSプロジェクトの中には、開発が停滞したり、コミュニティが活動を停止して事実上「放棄」されてしまうリスクがあります。
対策:
プロジェクトの健全性を評価することが重要です。midPointの場合、Evolveumという企業がフルタイムのエンジニアを雇用して開発を主導しており、GitHubのアクティビティも活発であることから、持続可能性は高いと評価できます。しかし、採用を検討する際には、常にプロジェクトの最新動向やコミュニティの活発度を確認するべきです。Evolveumは、製品開発とコミュニティ/パートナーによるサービス提供という持続可能なエコシステムを志向しています。
ライセンスコンプライアンス
落とし穴:
「無料」だからといって、無条件に利用できるわけではありません。midPointはApache License 2.0とEUPL(欧州連合公衆利用許諾契約)のデュアルライセンスで提供されています。これらのライセンス条件を遵守しない場合、特にソフトウェアを改変して再配布するようなケースでは、法的な問題に発展する可能性があります。
対策:
自社での利用方法がライセンス条件に違反していないか、法務部門や専門家と確認することが推奨されます。特に、派生物の取り扱いや著作権表示の要件には注意が必要です。
midPointの技術アーキテクチャとエコシステム
midPointの柔軟性と拡張性は、その巧みなアーキテクチャ設計に由来します。ここでは、midPointを技術的に支える中核要素と、そのエコシステムの健全性について解説します。
オープンソース(OSS)の力と実態
midPointは、ベンダーによる特定機能の制限などがない「真のオープンソース」ソフトウェアです。ソースコードはすべてGitHub上で公開されており、midPointはApache License 2.0 と EUPL のデュアルライセンスで提供されています。この透明性は、特定のベンダーにロックインされるリスクを回避し、ユーザーが自社の要件に合わせてシステムを深くカスタマイズできるという大きなメリットをもたらします。
統合エンジン「ConnIdフレームワーク」
midPointが多様なシステムと連携できる秘密は、「ConnId(Connectors for Identity Management)」フレームワークにあります。midPointは直接ターゲットシステムと通信するのではなく、このConnIdを介して連携します。アーキテクチャは以下の階層構造になっています。
midPoint (クライアント) → ConnId Framework → Connector → ターゲットシステム (リソース)
この設計により、midPoint本体と個々のシステム連携ロジック(コネクタ)が完全に分離されます。その結果、以下のような利点が生まれます。
プロジェクトの健全性:コミュニティとスケーラビリティ
OSSを採用する上で、プロジェクトが活発であり、将来的な拡張性に対応できるかは重要な判断基準です。
コミュニティ
midPointは、企業主導の開発と活発なコミュニティによって支えられています。GitHubリポジトリには多数のスターとフォークがあり、開発は継続的に行われています。技術的な質問や議論は、主に公式メーリングリストで行われており、世界中のユーザーや開発者と情報交換が可能です。
スケーラビリティ
当初、midPointは中規模組織を主なターゲットとしていましたが、「MidScale」と名付けられた大規模な性能改善プロジェクトを経て、そのスケーラビリティは飛躍的に向上しました。このプロジェクトの結果、現在では数百万ID規模の大規模環境にも対応可能であることが実証されています。
全ての新規導入においてPostgreSQLの利用が強く推奨されています。MidScaleプロジェクトの成果であるネイティブ実装により、最高のパフォーマンスを発揮します。OracleおよびMicrosoft SQL Serverのサポートはバージョン4.4以降「非推奨」とされており、将来的に終了予定です。MySQL/MariaDBは4.3で、H2データベースは4.9でサポートが終了しています。
選択肢の評価:国産クラウドID管理「Keyspider」の紹介
midPointは非常に強力で柔軟なツールですが、その導入と運用には高度な専門知識と相応のリソースが必要です。ここでは、別の選択肢として、マネージドサービスである国産クラウドID管理「Keyspider」を紹介し、IGAソリューションを選定する際の比較観点を提示します。
Keyspiderとは?
Keyspiderは、日本企業の複雑な組織構造や人事制度に特化して開発された、クラウドネイティブのID管理サービスです。クラウドサービスとオンプレミスの社内システム間に散在するID情報を一元管理し、プロビジョニングやアクセス制御を自動化します。その市場での注目度は高く、法人向けIT製品比較サイト「ITトレンド」が発表した年間ランキング(ID管理ツール部門)では、2022年から3年連続で第1位を獲得しています。このランキングは、サイト経由の「資料請求数」に基づいて集計されるため、製品選定の初期段階にある潜在顧客から極めて高い関心を集めていることを示しています。(出典:公式サイト)。
IDM/IGAソリューション選定の重要ポイント
midPointのようなオープンソースを自社で構築・運用するモデルと、KeyspiderのようなSaaSを利用するモデルには、それぞれメリット・デメリットがあります。単なる機能の多寡だけでなく、自社の状況に合わせて以下の観点から総合的に評価することが重要です。
以下の表は、これら2つのアプローチにおける意思決定要因を比較したものです。どちらのモデルが自社にとって最適か、この比較表を参考に検討してみてください。
(例: midPoint)
(例: Keyspider)
midPointに関するよくある質問(FAQ)
はい、ソフトウェアライセンス自体はApache 2.0およびEUPLに基づき無料です。しかし、導入設計、サーバー構築、カスタマイズ、継続的なインフラ管理、セキュリティパッチ適用、そして運用保守にかかる人件費や外部パートナーへの委託費用といった「総所有コスト(TCO)」を考慮する必要があります。「無料」なのはライセンス費用のみと考えるのが適切です。
新規導入ではPostgreSQLの利用が強く推奨されています。旧「汎用SQLリポジトリ」(Oracle/SQL Serverなど)はmidPoint 4.4以降で非推奨となっており将来的に削除予定です。なお、MySQL/MariaDBは4.3でサポート終了済みです。
midPointは、ConnIdという独立したコネクタフレームワークを利用して外部システムと連携します。これにより、Active Directory、LDAP、SCIM、REST API、各種データベースなど、多種多様なシステムに対応する豊富なオープンソースのコネクタが利用可能です。連携したいシステム用のコネクタを導入・設定することで、プロビジョニングや同期を実現します。
安定した運用には、Javaウェブアプリケーションの管理、データベース(特にPostgreSQL)の知識、ID管理の基本概念(IGA/RBAC)、XML形式の設定ファイルの読解・編集スキルなど、広範で高度なITスキルが求められます。導入手法としてはコンテナ(Docker)を利用する方法と、手動でWebコンテナにデプロイする方法があります。
管理画面(GUI)の多言語対応はサポートされており、日本語を含む各言語への翻訳はコミュニティの貢献によって行われています。ただし、最新バージョンのすべての文言が翻訳済みとは限らず、特にエラーメッセージやログなどの診断情報は英語のまま表示されることがあります。完全な日本語環境を保証するものではない点に注意が必要です。
はい、利用可能です。開発元であるEvolveum自身がサブスクリプション形式のサポートを提供しているほか、国内外の認定パートナー企業が、導入コンサルティング、設計・構築支援、運用サポートなどの商用サービスを提供しています。自社に専門知識が不足している場合は、これらのパートナーと契約することが現実的な選択肢となります。
基本概念は標準的なRBACに準じていますが、midPointはそれを大幅に拡張した「ポリシー駆動型RBAC」を実装しています。例えば、ロールの割り当てに時間的な制約を加えたり、パラメータを付与したりできます。これにより、類似の権限のために多数のロールを作成する「ロール爆発」問題を回避し、より柔軟で効率的な権限管理が可能です。
Keyspiderに関するよくある質問(FAQ)
主に日本国内の企業様を対象としています。特に、複数のクラウドサービス(Microsoft 365, Google Workspaceなど)と社内システム(Active Directoryなど)が混在し、ID管理が複雑化している中堅〜大企業様に最適です。日本の商習慣や複雑な人事制度に合わせた柔軟な設定が可能です。
クラウドサービス(SaaS)であるため、インフラ構築は不要です。お客様の環境や連携するシステムの数にもよりますが、標準的な構成であれば、ご契約から数週間〜2ヶ月程度で利用を開始いただけます。専門スタッフによる導入支援も提供しております。
ご利用になるユーザー数に応じた年間サブスクリプションモデルです。初期費用と年間利用料が必要となります。詳細な料金については、公式サイトの「お問い合わせ」フォームより、お気軽にご連絡ください。
はい、可能です。Keyspiderは、社内ネットワークに設置する専用のエージェントソフトウェアを通じて、Active Directoryや各種サーバー、社内開発システムといったオンプレミス環境のリソースとも安全に連携し、ID情報を一元管理できます。
最大の違いは、「導入の容易さ」と「手厚い日本語サポート」です。オープンソース製品は自社でサーバー構築から保守・運用まで行う必要がありますが、KeyspiderはSaaSとして提供されるためインフラ管理が不要です。また、国内の専門チームが導入から運用まで日本語で一貫してサポートするため、安心してご利用いただけます。
ID管理戦略を次のレベルへ
適切なIDガバナンス戦略は、企業のセキュリティを強化し、業務効率を飛躍的に向上させます。
オープンソースの活用からクラウドサービスの導入まで、
貴社の状況に最適なソリューションを見つけるための第一歩を、私たちがお手伝いします。
まずはお気軽にご相談ください。