企業が抱える課題の根本はIDaaSではなく“ID管理”に
福田氏は現場におけるSE(システムエンジニア)の経験が長く、ネットワークエンジニアや営業を経て、プロジェクトマネージャを20年余りにわたり実践してきた。現在は、NTTデータ先端技術で提供する統合ID管理ソリューション「VANADIS Identity Manager(以下、VANADIS)」のプロダクトマネージャーとしても活躍している。VANADISの案件に関わる各種システムの構築に携わり、昨年は20年の歴史があるこの製品のリニューアルプロジェクトもリードした経験を持つ。
VANADISの開発チームは製品の開発・構築だけでなく、脆弱性を診断する仕組みや電子証明書を用いた契約書管理など、セキュリティに関連したシステムの開発も行っている。このような取り組みを行う中、最近はますます企業におけるID管理の重要性を感じると福田氏は話す。
「特にコロナ禍以降、『ゼロトラスト』が多様な働き方に対応するためのキーワードとして注目され、ゼロトラストを契機に、セキュリティのために何を見直すのかを考える企業が多くなっています。その際に認証基盤を見直したいという要望もあり、そこにID管理も含まれます」(福田氏)
実際、「既存の認証基盤を見直したい」との要望は増えている。しかし具体的な課題をヒアリングすると、その問題の根本は認証基盤よりもID管理にあることがしばしば。また、新たな認証の仕組みとしてIDaaSが登場しており、その採用をきっかけにID管理を見直すことも多いという。「IDaaSを導入して認証の問題を解決したいと考えていたが、そもそもID管理がしっかりなされていなかったことが判明し、認証基盤を含むID管理の全面的な見直しから取り組むことになった」というケースがここ3年ほどで特に増えていると福田氏は指摘する。
認証の“ハイブリッド構成”によって生じるリスクとは
コロナ禍以前は、リモートワークを実施できる企業がそれほど多くなかった。リモートワークを導入している企業でも、利用できる社員が一部に限られていたり、リモートワークで利用できるアプリケーションが限定されていたりと、何らかの制約がかかっている状況は珍しくなかったと福田氏。そこからコロナの感染拡大によってリモートワークが急速に普及し、現状では3~4割ほどの企業において、全社員がリモートで仕事ができる環境を整備している、あるいは今後導入する予定との調査結果もある。このようなITシステムやアプリケーションを利用する環境の変化は、ID管理の見直しにも大きく影響しているのだ。
認証ソリューション担当 担当課長 福田秀紀氏
また、現状ほとんどの企業が何らかの形でIDaaSの仕組みを導入しているという調査結果もある。しかしIDaaSが導入されたとしても、それだけでゼロトラストネットワークが実現されるわけではない。ローカル環境でID管理の仕組みを利用しており、それを見直そうと新たにIDaaSを導入する企業は増えているものの、ローカル環境にある自前のアプリケーションの認証にクラウドのIDaaSを利用するため、内部にあった情報が一旦外部のネットワークに出ることとなる。結果として、IDaaSにトラブルが起きた際に上手く連携できないといった問題が起きてしまうのだ。
こうした点から、すべての認証を外部のIDaaSで行わずに、一部のアプリケーションを認証する用途でローカル環境での認証の仕組みを残す“ハイブリッド構成”を取り入れる企業は多いと福田氏。「クラウドサービスの認証はIDaaSで行い、内部システムの認証はローカル環境で行うといった運用の例はよく見られます」と話す。認証の仕組みが複数ある場合でも、IDが統合されていない構成では、ゼロトラストネットワークを実現し、正しく運用するのは難しい。認証の仕組みがばらばらな上にIDも統合されていない状態では統制が効きづらく、これがリスクとなってセキュリティインシデントにつながりかねない。
セキュリティポリシーを組織に落とし込むIGA(Identity Governance and Administration:IDガバナンス管理)についても、「ID管理が統合化されていないと、中央でガバナンスをかけるのは難しいです」と福田氏は話す。よくIGAと一緒に議論されるものにIAM(Identity and Access Management)があるが、これは主に社内システムやクラウドサービスの認証を行い、IDやアクセス管理を運用する仕組みを差す。「Okta」のようなIDaaSの特長は、IGAとIAM両方の機能を備えていることだが、「ID管理のすべてをOktaに依存すると、コストが高くなってしまいがちです。また、組織ごとにセキュリティポリシーが異なる場合、それに合わせてシステムのカスタマイズをしたくても、IDaaSだとカスタマイズの自由度がなく融通が利かないこともあります」と福田氏は指摘する。
