SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

ID管理だけでは足りない? “IGA”でガバナンスを確立

認証基盤とIGAを担うID管理基盤、どう役割分担すべき? 2つのモデルから自社最適を考える

第3回:認証基盤のポータビリティについて


 連載「ID管理だけでは足りない? “IGA”でガバナンスを確立」では、ID管理にガバナンスという観点を加えた「IGA:Identity Governance and Administration」をキーワードに、これからの時代に必要なID管理を考えていきます。第3回となる本稿では、認証・認可の基盤とID管理基盤の関係性に注目。それぞれにどのような役割を分担し、どのような構成で運用するのが適切なのでしょうか。

認証基盤とID管理基盤の違いとは?

 IDガバナンスに焦点を当てた本連載。第1回は認証基盤の見直しにおけるID管理の課題としてシステム移行を中心に、第2回はガバナンス不全に陥りがちな運用課題をテーマにお届けしてきました。第3回となる本稿ではアーキテクチャ寄りのテーマとして、認証・認可基盤とID管理基盤の関係性について掘り下げていきたいと思います。

 認証基盤とID管理基盤を簡単な言葉で表現すると、「IDを使う」ものと「IDを作る」ものといった関係性にあるといえます。たとえるなら「ドアを開けるためにカギを使う」ことと「新しい住人に新しいカギを用意する」ことといったように表現できるでしょうか。

 こうして考えると明らかなように、この2つはまったくの別物ですが、デジタルな仕組みの上では認証基盤とID管理基盤が一元化できていると便利なケースも多いです。しかし一方で、気が付くと複雑性が増して、後々解けないパズルのようになってしまうこともあるので注意が必要です。

 同じ属性で括れるIDは1ヵ所で管理できていることが望ましく、同じ組織の中で利用されるIDは一つのレポジトリ(データベース)に集約されているのが理想です。「ここを見れば社員全員分のIDがわかる」といったような一覧があれば、IDの作成・変更・利用の一時停止などの管理運用が容易になり、問題発生時の調査もすぐに行えます。とはいえ、これはあくまで理想の運用。現実は多様なシステムがあるばかりか、認証の仕組みも一つでは済まないケースが多いため、そう単純にはいきません。

図1:色々なパターンのネットワーク(NW)
[画像クリックで拡大]

認証基盤は柔軟性が大切も、ポリシーは適切に守るべし

 アプリケーションを利用したいという要求やネットワーク上の利用者の配置、場合によってはシステム構成上の理由などで認証の入り口が複数にわたることが増えています。大きな組織であれば、大多数がインターネット上の認証の入り口と内部ネットワークでの認証の入り口をそれぞれ持っているのではないでしょうか。

 認証は複数使われることが多いだけでなく、変更・更新のサイクルがID管理と比較して短い傾向があります。もちろん、ID管理も何らかの修正が必要になることはあるものの、「あるシステムを使うために新しいIDaaSサービスを使わなければいけない」「多要素認証導入のために認証の方式を変える必要がある」といったように、変更や更新をかけるきっかけが多くなる傾向にあるのが認証基盤の特徴です。 

 こうした点を踏まえると、IGAとIAM(Identity and Access Management)はシステムを分けて疎結合にしておくことが望ましいといえます。認証は機動的に変更できるようにしておくことが大切で、IGAは独立したシステムとしておいた方が良いです。これは、IGAがセキュリティルールをID管理基盤に落とし込むためのもので、組織が合併したり、統廃合したりしない限り大きな変更は必要ない一方、認証は組織に合わせたカスタマイズを行うことが多いため、入れ替えを容易にできる方が使いやすいからです。

 ただ、認証の入れ替えが容易であったとしても、セキュリティポリシーは適切に守られる必要があります。環境の変化にシステムは追随する必要がありますが、その柔軟さに引きずられてセキュリティポリシーの管理が甘くなってはいけないわけです。そのため、組織のガバナンスを集約して管理するためにIGAは一元化し、認証基盤や特権ID管理基盤は企業のセキュリティポリシーに則ったルールを設定できるような仕組みになっていることが重要なのです。

次のページ
“統合されたID管理”を実現するシステム構築のポイントとは

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
ID管理だけでは足りない? “IGA”でガバナンスを確立連載記事一覧

もっと読む

この記事の著者

福田 秀紀(フクダ ヒデキ)

NTTデータ先端技術株式会社 セキュリティ&テクノロジーコンサルティング事業本部 セキュリティイノベーション事業部 DXセキュリティソリューション担当 担当部長。ネットワークエンジニアや営業を経て、20年余りにわたってシステム構築の現場でプロジェクトマネージャを務めている。現在は、自社製品である統合...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19901 2024/09/02 15:55

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング