Netpress 第2205号 ID管理から始める クラウドセキュリティの「IDaaS」(アイダース)
1.ID管理は、システムやサービスごとのIDを一元的に統制し、アクセスを正しくコントロールする仕組みであり、企業がITをさらに活用するための重要な要素です。
2.複数のクラウドサービスにおけるID管理は、「IDaaS」(アイダース:Identity as a Service)の導入によって、セキュリティと利便性の両立が可能になります。
さくら情報システム株式会社
技術開発部
鈴木 優一
1.クラウドサービスの利活用における課題
昨今、企業では、DXの推進やテレワークの採用などを背景に、クラウドサービスの導入が加速しています。クラウドサービスの普及率は年々高まり、1社で複数のクラウドサービスを導入するケースも珍しくありません。
一方で、複数のクラウドサービスを利用することによって、以下のような課題が顕在化します。
① | クラウドサービスに関する運用管理コストが増大する | ・ | 各クラウドサービスを運用管理(各IDの管理や設定作業など)する時間や手間が増加する |
・ | 適正な運用を確保するため、多種多様なクラウドサービスごとに特性を理解する学習コストがかかる | ||
② | 利用しているクラウドサービスの全社統制が困難になる | ・ | 手軽に導入できるため、部署ごとにさまざまなクラウドサービスを契約することで、社内全体における正確な利用実態の把握が困難になる |
③ | セキュリティリスクへの対策が広範囲に及ぶ | ・ | 各クラウドサービスに対する設定不備や管理不備が招く不正アクセスへの対策など |
特に①と②の課題は、③の課題と密接に関係しており、セキュリティリスクが高まる要因にもなり得ます。そして、クラウドサービスが増えれば増えるほど、上記の課題解決には膨大な時間や労力がかかります。
一例として、従業員50名の会社がクラウドサービスを5つ利用している場合、250個(=50名×5サービス)のID管理をすることになります。この250個のIDは、ある時点の数であり、クラウドサービスの利用開始/停止、従業員の採用や退職によって、常に増減します。
日々の管理業務に、これら増減対応が加わることで運用負荷が高まり、退職者などの利用しなくなったIDが作業漏れによって残留し、放置されれば、無駄なコストになるだけでなく、不正アクセスに利用される可能性もあります。
したがって、いまのうちから複数のクラウドサービスの利用を前提とする管理業務の効率化と、セキュリティリスクを考慮した対策に着手することが大切です。クラウドサービスの適切な管理に向けたはじめの一歩として、まずは「ID管理」に取り組むことをお勧めします。
2.ID管理の重要性
クラウドサービスは、インターネット経由でどこからでもアクセスが可能であり、アカウント情報(ID/パスワード)を入力して利用する形態がほとんどです。そのため、ひとたびアカウント情報が漏洩すれば、外部から容易に不正アクセスができてしまう環境にあります。
不正アクセスに関する調査によると、「9割以上」を占める最も多い手口が、高度なサイバー攻撃ではなく、何らかの形で漏洩したアカウント情報を用いた不正アクセスであることがわかっています(総務省等「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」)。
ID管理は、システムやサービスとそれらの利用者を正しくつなぎ、一元的な統制を行う一方で、アクセスする権限を適切に制御する仕組みです。したがって、先述したとおり、クラウドサービスのような環境下における不正アクセスの予防として、効果が高いセキュリティ対策になります。
こうしたクラウドサービスのID管理を効率化する選択肢の一つとして、昨今では「IDaaS」(アイダース:Identity as a Service)というサービスが注目されています。
3.IDaaSとは
IDaaSは、主に複数のクラウドサービスにおけるID管理全般の仕組みや、ログインの自動化機能を提供するクラウドサービスです。
上図のように複数のクラウドサービスなどのIDを一元的に管理できる機能を備え、各クラウドサービスへの複雑なアクセスを制御し、アクセス履歴を管理するほか、パスワード以外の要素(保有するスマートフォンもしくは指紋や静脈などの生体情報など)を認証に取り入れ(多要素認証)、セキュリティ強度を上げる機能などがあります。
IDaaSの導入によって、利便性を高めつつセキュリティを確保することが可能となり、先述した各課題に対しても有効な解決策となります。特に多要素認証の機能を利用することで、正しい利用者(本人)であることがより確実に証明できるため、なりすましによる不正アクセスの予防に高い効果を発揮します。
ただし、IDaaSのデメリットとして、コスト(利用料)が発生することや、連携可能なサービスが限定的(自社所有のシステムが多く、クラウドサービスの活用が進んでいないと恩恵が受けられない)であることに留意が必要です。
4.最後に
今後、DXやデジタル化を効率よく進めていくためには、複数のクラウドサービスを利用するケースが多くなると見込まれます。そこで重要なことは、「適切に管理する仕組み」と「安全にアクセスする仕組み」を整えることです。
どちらの仕組みを整える場合にも、ID管理は土台となります。まずは安定した土台を築くことで、事業により集中できる状態(環境)を目指しましょう。
この記事はPDF形式でダウンロードできます
SMBCコンサルティングでは、法律・税務会計・労務人事制度など、経営に関するお役立ち情報「Netpress」を毎週発信しています。A4サイズ2ページ程にまとめているので、ちょっとした空き時間にお読みいただけます。
プロフィール
SMBCコンサルティング株式会社 ソリューション開発部 経営相談グループ
SMBC経営懇話会の会員企業様向けに、「無料経営相談」をご提供しています。
法務・税務・経営などの様々な問題に、弁護士・公認会計士・税理士・社会保険労務士・コンサルタントや当社相談員がアドバイス。来社相談、電話相談のほか、オンラインによる相談にも対応致します。会員企業の社員の方であれば“どなたでも、何回でも”無料でご利用頂けます。
https://infolounge.smbcc-businessclub.jp/soudan