IDaaSとは？機能とメリット、導入時の選び方、課題をわかりやすく解説

IDaaS（読み方：アイダースまたはアイディアース）は“Identity as a Service”の略称で、インターネット上のクラウドで複数のサービスやシステム、アプリケーションにまたがるIDやパスワードの管理を、一元的に行うサービスを指します。SaaSやPaaS、IaaSの一種ともいえるでしょう。

主な機能にはシングルサインオン（SSO）、多要素認証、ID管理などがあります（後述）。管理者はIDやパスワードなど認証に関する手続きを一括管理でき、従業員などのユーザーは複数のシステムやアプリケーションをシームレスに使えることからUX（ユーザーエクスペリエンス）を高め利便性を向上できます。また高度なセキュリティを備えていること、クラウドベースのためオンプレミスよりも固定費がかからないことなど複数のメリットがあります。

IDaaSの導入が急速に普及している背景を、以下にそって解説します。

1. 働き方の変化・リモートワーク普及の必要性
2. 従業員の利便性向上とアカウント管理業務の効率化を両立させる必要性
3. クラウドの利用増加に伴う「ゼロトラスト」によるセキュリティ環境の必要性

（1）働き方の変化・リモートワーク普及の必要性

日本では厚生労働省による「働き方改革」が2019年頃から進められていました。世界市場における需要の変化のスピードが上がる現状、オンプレミスのシステムからクラウドベースのサービス利用へと変遷・拡大する時代の流れによるものですが、その中でリモートワークについては普及が遅れていました。

しかし、コロナ禍を経た現在、在宅で勤務する「リモートワーク」は以前よりも急速に普及し、組織・企業の従業員や外部の関係者が、オフィス以外の場所から組織・企業のシステムやデータにアクセスする必要性が増加しました。「従業員がどこからでも安全に、企業のネットワークにアクセスできる環境」を整える必要が出てきたのです。

IDaaSはクラウドベースのID管理提供により、従業員がどこからでも安全にアクセスできる環境を整えられます。この特性によりアクセス管理の簡素化とセキュリティ強化が両立でき、リモートワークが容易に実現できます。リモートワークは今後ますます普及すると予測されるため、企業へのIDaaS導入を加速させる重要なポイントとなっています。

（2）従業員の利便性向上とアカウント管理業務の効率化を両立させる必要性

IDaaSはアカウント管理を一元化することから、業務効率化が期待できます。同時に、従業員のUX（ユーザーエクスペリエンス）を向上させます。この両立を可能にするIDaaSは、時代の要望に合致した性能を有しているといえます。

従業員はシングルサインオン用の認証情報（ID・パスワード）で認証を受けることによって、複数のサービスやアプリケーションにシームレスにアクセスできます。従来は企業や部署が新しいサービス等を導入するたびに、従業員自体も管理すべき認証情報が増えており、これが業務効率とモチベーションの低下、セキュリティリスクの増大を招いていました。認証における利便性が高まることも、IDaaS導入が加速している大きな理由といえます。

また、従業員のアカウント管理業務を効率化し、管理者側の負担を軽減するためにIDaaSを導入する企業も増えています。管理者側から見ても、多数のユーザーIDとパスワードの管理、それらが漏洩しないように監視する業務は大きな負担となっていました。さらにクラウドサービス利用機会の増加、従業員の雇用形態や働き方の多様化により、従来のような個別にアカウント情報を管理するやり方では業務がますます煩雑になることが避けられません。

IDaaSを導入すれば、利用するクラウドサービスが増えたり、多様な属性の従業員が増えたりしても、管理者は従業員一人につき1つのアカウント情報を管理するだけで済みます。またそれらを一元集約することでセキュリティリスクも軽減できるため、業務効率化が進められます。これら2つの立場からの要望を両立できることが、IDaaSの大きな特徴といえます。

（3）クラウドの利用増加に伴う「ゼロトラスト」によるセキュリティ環境の必要性

上記のとおり、働き方改革、コロナ禍によるテレワークの加速、クラウドサービス利用の増大により、従来は社内にのみ構築されていたシステムが外部ネットワーク環境と接続・連携することも必須となっています。またモバイルデバイスの普及により、従業員一人が複数の異なる端末を所持していることも当然となっているのが現状です。これらの理由から、いつ、どこからでも、安全に社内ネットワークにアクセスできる仕組みが必要になっています。

従来、「社内ネットワークは安全、外部ネットワークはリスクが高い」という考えでセキュリティ構築することが一般的でした。しかし現在はクラウドの普及により、これまで企業の「外側」とされてきたインターネット上に、企業のデータなどが置かれている状況は一般的になっています。

近年、「ゼロトラスト」の概念による新しいセキュリティ対策が広まっています。ゼロトラストとは「何も信用しない」、すなわち「ネットワークの内部・外部関係なくすべての通信アクセスを信用しない」という考え方です。例えばユーザー認証の強化、ネットワークにアクセスするすべてのユーザーや端末の監視とログの記録などを行う必要があります。

「クラウドは外部サービスだからセキュリティが不安」と、クラウドやIDaaSの導入を迷っている企業も見られます。しかし、仮にクラウドを使わず、全てを従来のようにオンプレミスで社内構築した場合でも、社外からのアクセスは起きているのが現状です。社内と外部ネットワークとの接続には結局のところ一部穴をあけねばならず、それがサイバー攻撃者の侵入経路となるリスクもあり得るため、セキュリティ対策にも多大なリソースがかかるでしょう。

またそもそもオンプレミスの場合、運用やシステム更新にも大きなリソースが必要です。以上から、クラウドを全く使わずに社内だけでシステムを運用することは難しいとわかります。

IDaaSを導入することで、クラウドの運用とともに高度なセキュリティ基盤を実現できます。企業が必要とするさまざまなシステムやその運用、セキュリティ対策など、時代に合った機能を提供できることがIDaaSの強みです。

ここでは具体的に、IDaaSの主な機能を紹介します。以下のようなものがあります。

1. シングルサインオン（SSO）
2. 多要素認証
3. アクセス認可とコントロール機能
4. ID管理機能
5. ログ管理・監査機能

順番に解説していきます。

（1）シングルサインオン（SSO）

シングルサインオンは、一つのIDとパスワードで複数のクラウドサービスやシステムにおける認証を連携し、効率化を実現する仕組みです。IDaaSの場合は一度IDaaSに認証されれば、連携している複数のクラウドサービスやアプリケーション、組織内の業務システムへのサインインは自動的に行われます。シングルサインオンを利用することでUXの向上と同時にITセキュリティも強化できるため、パスワードの漏洩リスクも軽減できます。

（2）多要素認証

シングルサインオンは認証の三要素のうち一つの要素（ともに知識情報であるIDとパスワード）を二段階で使い行う認証方法で、いわゆる二段階認証です。一方、多要素認証は、主にクラウドサービスへのサインインを行う際、認証の三要素のうち二つ以上の複数の要素（例えば、IDとパスワードに加えて指紋などの生体情報）を用いて行うため、よりセキュリティを強化することが可能です。IDaaSではこの多要素認証を簡単に導入できます。

（3）アクセス認可とコントロール機能

企業や組織の管理下にあるクラウドサービスにアクセスできる範囲を制限できます。制限をかける範囲はユーザー、端末、アクセスする場所やネットワークなど、条件ごとに管理者側で設定できます。例えばあるクラウドサービスを利用できるユーザーを「社員のみ」に制限するなどです

条件は複数設定でき、利用の可否を細かく決められます。これにより、そのクラウドサービスを使う人だけが権限を持てるので、外部からの不正アクセスや情報漏洩のリスクを低減できます。また社内ネットワークへのVPN接続の代わりに使用することも可能です。

（4）ID管理機能

IDaaSを導入することで、組織・企業に所属しているユーザーすべてのIDとパスワードを手間なく一括管理できます。例えば新規ユーザーIDの追加、退職などで不要になったIDの削除や無効化なども簡単に行えます。

（5）ログ管理・監査機能

組織・企業内のIT部門、また管理者は、この機能を用いて各ユーザーの利用状況を確認できます。また不正アクセスが無いかどうかもアクセスログによって追跡できます。

参考｜国内No.1のWebシングルサインオン製品「HPE IceWall」

1. Webシングルサインオン
   一度の認証で複数のWebアプリケーションへのログインを可能にし、セキュリティとアクセスコントロールの4A（認証・認可・管理・監査証跡）の統合を実現します。
2. 多要素認証
   生体認証をはじめ、多様な方式と組み合わせた認証強化が可能です。FIDO2に準拠した生体認証などによるパスワードレス認証にも対応しています。
3. 適用型認証
   ユーザー、デバイス、アプリケーションのリスクに基づいた柔軟な認証ポリシーの設定・運用を実現します。
4. クラウドフェデレーション
   パブリッククラウド/プライベートクラウドとの認証連携を実現します。SAMLやOpenID Connectの方式に対応しています。
5. 複数認証レポジトリ
   複数の認証DBの中からID情報を検索します。複数のActive Directoryにも対応しています。

（出典）SCSK｜HPE IceWallの主な機能

IDaaSを導入することで管理者、ユーザーともにメリットが得られます。それぞれのメリットについて解説します。

【表1】IDaaSを導入するメリット

管理者側のメリット

（1）ID管理がシンプルになり管理者のリソースが軽減できる

IDaaSにはシングルサインオン機能があるため、ユーザーごとに一つのIDとパスワードがあれば、連携されている複数のクラウドサービスやアプリケーション、オンプレミスの業務システムなどへ一括ログインが可能です。従来はユーザーの人数×利用するサービスやアプリ、システムの数だけIDとパスワードが必要で、それらを管理する部門や担当者のリソースを圧迫していましたが、これを大きく軽減できます。煩雑なパスワード問い合わせへの対応業務なども減らせるでしょう。

またIDを一括管理できるため、新入社員のID追加や退社社員のID削除も手間がかかりません。従来のように、すでにいない人のIDが削除されずにずっと残っているリスクや、それらを一つ一つ調べて対応する作業時間も大きく減らすことができます。

（2）セキュリティの強化と情報漏洩リスクの大幅な低下が見込める

IDaaS導入によるシングルサインオンのほか、生体認証などを利用した多要素認証により、セキュリティが高まり不正アクセスなどのリスクを防ぐことができます。またユーザー側が管理することでこれまで大きな問題となっていた「パスワードの使い回し」「IDやパスワードの紛失」も防げるため、情報漏洩のリスクが軽減できます。

さらに、ID管理機能での利用者・端末へのアクセス制限や権限割り当て、ログ管理（監査）機能によるユーザーごとの利用状況把握により、常に安全性を確認できます。

（3）メンテナンスやアップデート等の管理が不要

IDaaSはクラウドサービスのため、オンプレミスの構築システムと異なり、サービス使用者がアップデートやメンテナンスを都度行う必要はありません。また多くのIDaaS提供元ではセキュリティや運用に多くの投資を行っており、自社システムと比較しても安全性が高く、運用の手間がかからないとされています。

ユーザー側のメリット

（1）利便性が向上し業務効率が上がる

これまで利用するサービスの数だけ必要だったIDとパスワードが、IDaaSに登録する一つの組み合わせだけになります。異なるアプリケーションやシステム、サービスにログインするたび必要だったパスワード入力作業が不要になるため、業務効率が上がります。また手間が軽減されることで、業務へのモチベーションアップも期待できます。

IDaaSにもデメリットやリスクはあります。ここではIDaaSのもつ課題と、その解決策について解説します。

【課題1】パスワードが漏洩すると連携サービス全体に被害が拡大する

IDaaSはシングルサインオンによりIDとパスワードを一元管理しています。認証情報は強固なセキュリティで守られていますが、万が一パスワードが漏洩すると、IDaaSで連携するすべてのサービスやシステムなどに不正にアクセスされるおそれがあります。

【対策】複数のセキュリティ対策を併用する

シングルサインオンだけでなく多要素認証との併用、IPアドレスや端末ごとのアクセス制限などによるセキュリティ対策が必要です。また継続した従業員へのセキュリティに関する教育も重要です。

【課題2】パブリッククラウドに依存すると問題が起きた際に復帰まで何もできない

例えばIDaaSのシングルサインオンや多要素認証システムに障害が起きた場合、組織内の全員が全てのサービスにログインできなくなるおそれがあります。

この問題には二つの視点があります。一つは問題が起きた際、オンプレミスであれば自社内で復旧作業ができるけれど、クラウドサービスであるIDaaSはサービス提供者の復旧対応を待つのみで、自社対応がほぼ不可能なこと。もう一つは、クラウドそのものへの信頼性に不安があることです。

一つめ、クラウドはインターネット上にあり、組織や企業の内部にはありません。IDaaSのサービス提供事業者はセキュリティに万全を期していますが、実際に重大な事故が起きた例もあります。ここから、事故が起きた際、自社では能動的に対応ができない点がデメリットといえます。

二つめ、海外クラウドサービスの利用については、国産クラウドよりも注意が必要です。海外クラウドも万全を期した対策を行っているところがほとんどですが、それでも「国内にデータが無い」ことをどうとらえるかは重要です。「何かあったときに対応をスムーズに行ってもらえるかどうか」は、海外クラウドと国産クラウドを比較する際のポイントになるでしょう。さらに、海外クラウドの場合はその国・地域の法令等によって、想定していなかった規制にかかることもあり得ます。対応依頼や取次ができる専門チームが自社内にあるかどうかも、非常時に明暗を分けるかもしれません。

【対策】信頼のおけるソブリンクラウド（国産クラウド）を利用する

ソブリンクラウドとは、現状、規格が定義・一般化されているものではありませんが、おおむね「自国内の事業者が運営している」「セキュリティ面での安全性が高い」ことを要件として満たしているクラウドサービスを指します。

ソブリンクラウドには、「クラウドに置かれる企業の重要データが国内にあることで、海外の国や地域の法令等の影響を受けない」という大きなメリットがあります。

「ソブリンクラウドは費用が海外クラウドに比べて高い」と考えている企業やユーザーも多いかもしれません。しかしソブリンクラウドでも機能とコスト、安全性が十分に見合うものもあります。最大のメリットはやはり安全性であり、また非常時におけるサービス対応のスムーズも海外クラウドには無い利点といえるため、IDaaS導入の際、選び方で重視したいポイントです。

【課題3】既存システムによっては全システムと連携できない・シングルサインオンにできない可能性がある

IDaaSは、全てのクラウドサービスや既存のシステムと連携できるわけではありません。特に社内固有の既存システムがある場合、せっかく導入しても連携できずコストや手間が無駄になった…となるおそれもあります。

また「全社的なシングルサインオン移行をIDaaS導入で期待していたのに、実際はシングルサインオンに対応できないシステムがあった」ということもあり得ます。

【対策】導入前の確認を行い、信頼できるベンダーへ導入やシステム構築を依頼する

IDaaSを導入する前にトラブルを回避するには、「利用している（今後利用したい）クラウドサービスと連携できるか」「社内の既存システムと連携できるか」「どの範囲ならシングルサインオンで連携可能か」を確認しておきましょう。

なお、実際に社内でこの作業を行うとかなりのリソースを消費します。可能であれば実績ある外部ベンダーに一任し、確認やシステム構築を依頼する方法も検討してみてください。導入後のトラブルが最大限抑えられ、スムーズに運用を開始できるでしょう。また一部シングルサインオン連携が適用できない既存システムがある場合のセキュリティ対策についても、提案をもらえるかもしれません。

【課題4】コストが継続して発生する・費用体系によっては高額になることもある

IDaaSはクラウドサービスのため、コストが毎月または年単位でかかります。利用する人数によって価格が決まるか、一括で同額かはサービスによって異なります（一般的には利用人数によって決まる方式が多い）。

【対策】機能に見合ったコストかどうかを認識する

仮にオンプレミスでIDaaSのようなシステムを構築した場合、構築にかかる費用だけでなく、運用開始からのメンテナンス費用、サーバを置く物理的な場所にかかる費用なども必要になります。

一般的にはクラウドサービスを利用するほうが、オンプレミスよりも費用がかからない傾向があります。IDaaSにはサーバの運用管理費用、セキュリティ対策費用、システム更新にかかる費用などが含まれています。またハードウェアの劣化もなく、ハードウェアを据え置く場所の確保なども不要です。これらを考慮したうえで、IDaaS導入にかかる費用が適切かどうかを判断する必要があります。

こちらも課題3同様、導入実績の豊富な外部ベンダーに調査を依頼することも可能です。自社の現状に合ったIDaaSの選定や導入にもアドバイスをもらうこともできるでしょう。

コラム｜すべての課題を解決できるIDaaSは存在しない？SCSKが提案する最適な認証基盤のかたち

IDaaS導入で全てのニーズが満たせるわけではないことを前章で解説しました。
大前提として、IDaaSのような「サービス」に依存した認証基盤では、障害等でサービスが停止した場合、全てのシステムやアプリケーションに全社的にアクセス不可能になるという大きなリスクがあります。これを回避するためには、サービスに依存しすぎない、障害が起きにくい環境を構築する必要があります。

そこでSCSKは、SSOを実現する「HPE GreenLake with IceWall」と国産クラウド「USiZE」を組み合わせた、新しい認証基盤サービスを構想しています。

「IceWall」は国内No.1のWebシングルサインオン製品で、既存のアプリケーションを改修せず、各システムの用途に応じた多要素認証を柔軟に設定できます。また、データの預け先としてSCSKのクラウドサービス「USiZE」をご提案。安心のソブリンクラウドとして「Amazon Web Services」や「Microsoft Azure」「Google Cloud」といったマルチクラウドやハイブリッドクラウドにも対応しています。さらに、長年にわたる認証基盤の構築・運用実績があるSCSKのサポートにより、IDaaSに依存しない、企業毎の柔軟でセキュアな認証システムを実現します。

この記事ではIDaaSとは何か、IDaaSの求められている背景、IDaaSの主な機能を紹介しました。また、メリットと課題、対策についても解説しました。

クラウドの活用の普及、テレワークなどの労働環境の変化、ゼロトラストの浸透に見られるサイバーセキュリティの考え方の進化は、現在の市場を取り巻くIT環境とその課題解決に重要な役割を果たすIDaaSを必要としています。

今後IDaaSの導入を検討している企業においては、社内システムと外部サービスの連携や従業員のアカウント管理の安全性確保、IT管理部門の業務効率化など、迅速に取り組むべき課題が多いかもしれません。これらを解決できるソリューションとしてIDaaSの導入は効果的といえます。しかしIDaaSならではのデメリットがあるのも事実です。

IDaaSの利用において課題となるのは、利用するサービスの安全性です。クラウドサービスは自社構築せずにシステム投資不要な点がメリットですが、設定を誤ると障害に発展するケースもあります。ソブリンクラウドを活用し、安全性の高い環境を構築することでそのリスクも大きく軽減できます。運用の不安をなくし、安全性を高めるためにも、自社に合った認証基盤の導入と選定が不可欠。運用にあたっては自社内に技術者を用意するほか、信頼のおけるベンダーに設定等を任せた方がよいでしょう。

国内No.1Webシングルサインオン製品｜HPE IceWall｜SCSK

クラウド移行だけでは描けない、理想のDXを実現する｜SCSK