はじめに
近年、クラスドサービスの利用が増加しています。そのため管理するIDも増加し、従来と変わらぬセキュリティを担保するためにはこれまで以上の取り組みが必要になりました。そこで本記事では、効率的なID管理のために基礎からシステム導入のメリットまでご紹介します。
目次
ID(アイデンティティ)管理とは
一般的に「ID」は個人を特定する識別番号や登録番号、身元証明などを意味し、IT用語としての「ID」は、システムやクラウドサービスの利用者を識別するユーザ情報(アカウントやパスワード)を指します。
ID管理とは、セキュリティを担保しつつシステムやクラウドサービスを適切に利用できるようにユーザ情報の登録や変更・削除、権限付与を行うことです。
セキュリティリスクから見たID管理
ユーザ情報の窃取は、多くのサイバー攻撃の糸口になっています。基本的な対策として「パスワードの使いまわしを避ける」「アカウントとパスワードを一緒に保管しない」などユーザ自身の注意も大切ですが、ユーザのID利用状況をチェックするためにもID管理は必要です。
また権限付与はセキュリティ対策のために不可欠です。たとえば、社内システムで管理する機密情報へのアクセスが制限されていない状態では、従業員すべてから情報漏洩が起こるリスクがあります。「必要な最小限のメンバー」だけがアクセスできるように制限することで、情報漏洩の発生リスクを低減できます。
これからのクラウド環境におけるID管理
ID管理の主目的は「情報セキュリティ対策」ですが、社内システムや利用するクラウドサービスが年々増加していることにより、管理者の業務負荷が課題になりました。そのため「セキュリティ対策」から「利便性とIT統制の両立」へと徐々にID管理の目的が変わっています。さらに近年はサイバー攻撃の増加により、2010年に米国で提唱された「ゼロトラスト」という考え方がセキュリティ対策の新たな考え方として実用されるようになり、ID管理にも影響を与えています。
ゼロトラストとは、「すべての要素を信頼せず、セキュリティを徹底する」という考え方です。社内と社外で境界線を引き、境界外からのアクセスを重点的に警戒する「境界型セキュリティモデル」に対し、社内・社外という区分をせずに対策することから「境界のないセキュリティモデル」とも呼称されます。
ゼロトラストセキュリティの基本的な考え方や必要な理由についてはこちら
「ニューノーマル時代に不可欠なゼロトラストセキュリティとは?」をご覧ください。
ゼロトラストセキュリティの実現にはID管理が欠かせません。境界を分けずにセキュリティ対策を講じるためにID管理の重要度は従来の「境界型セキュリティモデル」が主流だった時代よりも増しています。
ID管理システムが変える「セキュリティ」と「使いやすさ」のバランス
ID管理はセキュリティ担保のために必要ですが、過度なセキュリティ強化はユーザビリティや運用効率を低下させます。そのためID管理を始める前に、まず「セキュリティ」と「使いやすさ」の適切なバランスを考えることが必要です。
ID管理システムの導入はユーザビリティや運用効率を高め、セキュリティ強度が高い状態を低負荷で維持できるようサポートします。
ID管理システムがどのように一般ユーザと管理者それぞれの「使いやすさ」を向上させるのか、具体的な例をご紹介します。
- ・ユーザビリティ
- 近年では業務で利用するシステムやサービスが増加し、多要素認証(MFA)を使うといったようにログイン作業は複雑化しています。その結果、ID情報管理やログイン作業はユーザにとって以前より大きな負荷になってしまいました。管理システムに備わる1つのユーザ情報で複数のシステムやクラウドサービスにログインできるシングルサインオン機能を利用すれば、この問題を解決できます。
- ・運用効率
- 管理者は従業員の異動や入退社などのタイミングで、ユーザへの権限付与や制限をする必要があります。エクセルですべての従業員について、いくつものシステムやクラウドサービスのユーザ情報を把握し、権限の付与や削除の実施状況を確認しつつ手作業でID管理するのは非効率的です。管理システムを導入してユーザ情報を一元管理することで、業務を効率化できます。
単純な運用効率化に留まらないID管理システムの魅力
管理者から見たID管理システム導入のメリットは、一元管理による効率化だけではありません。エクセルでの手作業管理にはない魅力をご紹介します。
ID管理業務のピークシフト
ID管理業務には繁忙期があります。日本では人事異動が4月や9月に集中するため、入力更新作業もこの時期に集中してしまいます。ID管理システムを利用すれば、ユーザ情報や権限の変更準備を少しずつ進めて置き、設定したタイミングでまとめて変更を反映するといった方法で作業量のピークシフトが可能です。
IDのライフサイクル管理の自動化
IDはライフサイクルに従って適切に管理する必要があります。雇用に合わせて新規登録、昇進や異動といったタイミングで権限を変更、退職の際には削除といったように、人事情報の変更はID情報変更のトリガーになります。この従業員ライフサイクルに追従するID情報の継続的かつ適切なメンテナンスが、IDライフサイクル管理(ILM)です。
人事情報の変更に従って発生するID管理の準備することや、この作業の自動化機能をプロビジョニング(provisioning)と呼びます。プロビジョニング機能を利用してIDライフサイクル管理(ILM)の一部を自動化できます。
ID管理ツール比較のポイント
多くのID管理ツールは、基本的な機能に大きな違いがありません。そこでツール選択の際の比較ポイントを2つご紹介します。
特権ID管理機能
ID管理を考える際には、同時に「特権ID管理」についても考える必要があります。
テナンス時に一時的に使うといった場合が多く、権限が強いために一般のIDよりもさらに厳重な管理が必要です。特権IDの管理が複雑化してヒューマンエラーも起こりやすくなっているため、その対策としてさまざまな特権ID管理ツールが登場しています。
特権ID管理ツールにはさまざまなタイプがあります。「ID管理」と「特権ID管理」の2つの機能がセットになったタイプ、手元の端末とシステムをつなぐネットワーク上にゲートウェイとして設置するタイプ、手元の端末にインストールしてアクセスを制御するタイプなど、機能や安全の担保方法はさまざまです。そのため導入しようとしているID管理ツールについて、特権ID管理機能が備わっているのか、備わっていない場合はどのように特権IDを管理するのかを同時に考える必要があります。
アカウント数や連携先数
ID管理ツール選択の際には、利用予定のアカウント数や連携先の規模に注意が必要です。なぜなら各社がさまざまな料金形態でツールを提供しているためです。たとえば『LDAP Manager』は3000ユーザ以上定額、『ADMS』は5000ユーザ以上定額、「Soliton ID Manager』はユーザ数ではなく連携先の数でライセンスコストが変わる料金形態です。利用規模によって費用面で最適なID管理ツールは変わるため、将来的な利用規模を想定してツールを選びましょう。
まとめ
情報セキュリティ対策においてID管理は非常に重要です。しかし、業務で利用するクラウドサービス増加に対応してサイバー攻撃を未然に防ぐため、ID管理に関する要求は高まり続けており、手作業での管理は難しくなっています。ID管理システムを活用すればこの問題を解決できますが、ツール選択や使い方の社員教育など社内ですべて考えるのは容易ではありません。そこでID管理システムの導入を考える際に、「自社にマッチした製品・サービス選びに自信がない」「ID管理だけでなくシステム運用全般を見直したい」といった際にはぜひ一度当社にご相談ください。
