「 クラウドID管理 とは？」として、「IDプロバイダーとは？」「クラウドID管理ソリューションの特徴」「マルチプロトコル相互認証接続」「セキュリティ」「管理性向上」「オンプレミスID管理との統合」など、クラウドID管理の概要について紹介します。

「 クラウドID管理 」に関する近年の動向

ID管理環境の革新

過去数年間において、「デジタルトランスフォーメーション」「クラウドトランスフォーメーション」「リモートワーク」「セキュリティ」など、さまざまな理由があり、テクノロジーを革新する動きがありました。

特に、ビジネスとテクノロジーの分野において、クラウドコンピューティングでのID管理も大きな革新を遂げています。

「シングルサインオン機能」から「統合クラウドID管理」へ

クラウドID管理に関する初期の取り組みは、IDaaS(Identity as a Service)と呼ばれているWebアプリケーションへのシングルサインオン機能でした。

最近のアプローチでは、Active Directoryを拡張するだけではなく、オンプレミスのインフラストラクチャやアドオンを必要とせずに、クラウドで本格的なID管理システムを利用できるようになっています。

普及するクラウドID管理

多くの企業は、「昔ながらのオンプレミス環境」から「クラウドベース環境」に向かって進んでいます。

さまざまなベンダーを通じて、プライベート(パブリック)クラウドプラットフォームにビジネスプロセスを移行しています。

ビジネスプロセスの基盤となるID管理についても、多くの企業がIDの認証と承認のプロセスをクラウドに移行しています。

「クラウドID管理」の概要

クラウドベースフレームワーク

クラウドID管理サービスは、ユーザーがアプリケーションに接続できるようにするフレームワークを提供します。

クラウドID管理の成長

クラウドID管理(CIM)は、IDおよびアクセス管理(IAM)に属するセグメントの1つであり、ホスト型IDプロビジョニングサービスの自然な進化として成長しています。

クラウドID管理の成長の原動力には、クラウドサービスの「規模」「柔軟性」「弾力性」「エンタープライズセキュリティ」「豊富なID管理機能」が含まれます。

クラウドID管理の目標

クラウドコンピューティングにおけるID管理の主な目標として、次の2点があります。

①個人のID情報を処理
②ユーザーのアクセスを正確に制御—データ、コンピューターリソース、アプリケーション、サービス

次世代のID管理

クラウドコンピューティングにおけるID管理は、単純なWebアプリのシングルサインオン(SSO)ソリューションではなく、IDおよびアクセス管理(IAM)ソリューションの次のステップです。

各種ID管理技術のクラウド化

「各種ID管理技術」および「ID管理インフラストラクチャ全体」がクラウドへシフトしています。

・IDプロバイダー
・シングルサインオン(SSO：Single Sign-On)
・多要素認証(MFA：Multi-Factor Authentication)
・特権IDアクセス管理(PAM：Privileged Access Management)
・IDガバナンス管理(IGA：Identity Governance & Administration)　など

クラウド化によるメリット

クラウドID管理により、エンタープライズクラスのID管理は大きく進化しました。

これにより、多くのメリットを享受できます。
・ヘルプデスクのアウトソーシング
・アカウントのライフサイクル管理標準化
・セキュリティ向上
・コンプライアンス向上　など

DaaS

「DaaS：Directory-as-a-Service」とは、従来のオンプレミスで利用されていた「LDAP：Lightweight Directory Access Protocol」や「AD：Active Directory」をクラウドサービス化したものです。

従来のオンプレミスレガシーソリューションが提供する機能に加え、最新のクラウドID管理技術をサポートできます。

「IDプロバイダー」とは？

ユーザーがアクセスを取得しようとすると、アプリケーションは最初にIDプロバイダーに認証を確認します。

堅牢なIDプロバイダーソリューションを使用することで、複雑化しているIT環境においてID認証を実施できます。

ディレクトリサービスを提供

IDプロバイダー ≒ ディレクトリサービス

IDプロバイダーとは、基本的に、従来のディレクトリサービスと同様な機能を提供します。

ネットワーク上に存在する「リソース」「所在」「属性」「設定」などの情報を収集しており、エンタープライズユーザーの中央レジストリを提供し、適切なユーザーが必要なリソースに安全にアクセスできるようにします。

セキュリティ管理者は、この機能により、「ユーザー」「デジタルデバイス」「ネットワークリソース」などのIDを整理し管理できます。

管理対象リソースの例

IDプロバイダーは、さまざまなリソースを管理対象とします。

・クライアントソフトウェアアプリケーション
・サーバーソフトウェアアプリケーション
・PC、サーバー
・モバイルデバイス
・IoTデバイス—各種センサー類
・プリンター
・物理制御システム　など

主なIDプロバイダー

主なIDプロバイダーとして、以下のようなものがあります。

・Azure Active Directory
・OKTA
・PingIdentity
・OneLogin
・Keyspider　など

フェデレーションIDによるシングルサインオン機能

IDプロバイダーを利用すると、ネットワーク全体で単一のIDを実装できます。

この単一IDは「フェデレーションID」と呼ばれ、シングルサインオン(SSO)に活用できます。

検証済みユーザーは、単一の資格情報セットを使用して複数のアプリケーションにアクセスできます。

通信規格

IDプロバイダーは「SAML」や「OAuth」を使用して相互に通信し、Webサービスプロバイダーと通信します。

SAML

「SAML：Security Assertion Markup Language」は、ドメイン間で認証情報を交換する一連のプロファイルです。

SAMLモデルでは、IDプロバイダーはプロファイルを使用して認証を発行します。

この方法は、Webアプリケーションで機能するように設計されていますが、デスクトップアプリでも機能します。

OAuth

「OIDC：OpenID Connect」を使用する「OAuth：Open Authorization」は、特別なタイプのOAuth2.0認証サーバーを使用するOAuth上のIDレイヤーです。

トークンを使用してユーザーを検証し、認証を提供します。

クラウドID管理ソリューションの特徴

マルチプロトコル相互認証接続

最新のクラウドID管理ソリューションは、事実上すべてのITリソースが「ネイティブ認証言語」で接続できるようにするマルチプロトコルであることに重点を置いています。

LDAPまたはSAMLベースの認証を使用するさまざまなリソースにユーザーを接続します。
・オペレーティングシステム
・オンプレミスアプリケーション
・Webベースアプリケーション
・クラウドサービス
・任意のデバイス　など

セキュリティ

ユーザーポリシー

クラウドID管理では、検証済みIDに対して「ユーザーポリシー」と「制限」を組み込むことにより、エンタープライズシステム内のリソースへのアクセスを制御します。

これは、ネットワーク上のユーザーに関する情報を制御するための優れた方法であり、「ポリシー」「ロール」「アクセス権限」を設定することにより、システム全体でユーザーIDを制御できます。

ゼロトラストセキュリティ

「ゼロトラストの原則」を使用して、クラス最高のセキュリティを活用できます。

トランザクション可視性

「セキュリティ」「プライバシー」「コンプライアンス」が最優先される時代において、最新のクラウドID管理プラットフォームは、すべてのアクセストランザクションの詳細な可視性を提供できます。

管理性向上

クラウドID管理により管理オーバーヘッドを制限し、セキュリティとユーザー管理性を向上できます。

一貫したアクセス制御インターフェース

クラウドID管理ソリューションは、単一のアクセス制御インターフェースを提供します。

管理ユーザーは、クラウドサービスを使用してすべてのサービスや機能を1か所で処理できます。

クイックプロビジョニング

実質的にすべてのITリソースに人事管理システムを統合して、「プロバイダー」「プラットフォーム」「プロトコル」「場所」などに関係なく、ユーザーをプロビジョニングできます。

また、オンボーディング(オフボーディング)プロセスの自動化も可能です。

オンプレミスID管理との統合

オンプレミスからクラウドへの拡張

既存のオンプレミスディレクトリ(LDAPやActive Directory)を、「AWS」「Google Cloud」「Azure」などでホストされているクラウドサーバーに接続することで、クラウド拡張できます。

クラウドコンピューティングにおけるID管理の最新アプローチとしては、コマンドを実行する使いやすいSaaSベースのソリューションを使用して、既存ディレクトリをクラウドに拡張します。

オンプレミス+クラウド両立の弊害

「クラウドID管理ソリューション」と「オンプレミスディレクトリを利用するレガシーID管理ソリューション」を同時にアクティブにすると、混乱と弊害が発生します。

クラウドとオンプレミスのIDを統合していない場合、ユーザーを管理するためのコストが増大し、最終的には大きなセキュリティリスクにつながります。

日本企業向けクラウドID管理サービス「Keyspider」とは？

Keyspiderオフィシャルサイトでは、Keyspiderに関する情報を紹介しています。

「日本企業向けである理由」「Keyspiderが必要である理由」「JSOX法対応」「業務自動化」などについて参照できます。

参考元サイト

• →jumpcloud.com　→What is Cloud Identity Management?
• →perforce.com　→Cloud Identity & Access Management Best Practices
• →loginradius.com　→Identity Management in Cloud Computing
• →bleuwire.com　→Why Is Cloud Identity Important for Your Business?
• →neovasolutions.com　→The role of Identity Access Management(IAM) in Cloud Security