「ゼロトラストでのID管理、IDaaSで十分」の誤解 IDガバナンス強化に必要不可欠なIGAって何?

ゼロトラストにおけるIDの重要性とIDaaSが提供するIAMの世界

テレワークを含めたハイブリッドワークが加速し、かつての主流だった境界防御から、今では「Never Trust, Always Verify(決して信頼せず必ず確認せよ)」を前提としたゼロトラストを軸に企業におけるセキュリティ環境を検討する企業が増えています。具体的には、たとえ社内であっても信用せず、全ての通信を検証して、最小権限でアクセス許可を与えていくという考え方です。

そんなゼロトラストを実現するためには、「ユーザーの認証・認可」「デバイス状態の確認」「ゼロトラストアクセスの実現」「侵害を想定したセキュリティ運用」という大きく4つのポイントを押さえる必要がありますが、なかでも重要になってくるのがユーザーの認証・認可の領域です。ゼロトラストにおけるIDは、企業における新たな境界として位置づけられており、その環境づくりにおいて重要な役割となるのが、IDaaSと呼ばれるソリューションです。

IGA_1.pngIDaaSが提供する機能は、大きく4つがその中心です。SMSや生体情報を利用することでパスワード以外の認証方法に対応した多要素認証をはじめ、ポータル画面から利用できるSaaSへのシングルサインオンを可能にする機能、既存システムなど複数のディレクトリを統合する機能、そしてアカウント管理やサービス登録などを自動化するライフサイクルプロビジョニングといった機能です。これらの機能は、IAM(Identity and Access Management)と呼ばれる領域のソリューションです。

IGA_2.png

多くの企業が導入を進めるIDaaSの実態

IDaaSの重要性は、企業における取り組みからも見て取れます。マクニカが2021年に行ったゼロトラストに関する意識調査では、調査に回答した200社ほどのなかでも、IDaaSの導入率は33.33%と非常に高く、導入予定と合わせると45%を超える企業がIDaaSへの取り組みを進めているほどです。

IGA3.png多くの企業で利用が進むMicrosoft 365を利用する際には、Microsoftが提供するIDaaSであるAzure Active Directory (Azure AD)を利用するケースが多く、社内に設置されたディレクトリサービスと連携しながらIDaaSを利用する機会が増えているのが現実でしょう。

また、企業の業務システムとしてSaaS利用が進むなか、クラウド上にID情報を統合的に管理するOktaのようなIDaaSを活用する事例が増えており、IDaaSの利用率が高まっていると考えられます。

IAMだけでは足りないID関連ソリューション群

このようにIDaaSは広がってきているのが実態ですが、実はIDaaSに代表されるID関連ソリューションにはいくつかの種類があります。一般的なIDaaSはIAM領域をカバーするソリューションと位置付けられていますが、それ以外にも、IGA(Identity Governance & Administration)やPAM(Privileged Access Management)と呼ばれる領域もID関連のソリューションとして存在しています。OktaのようなIDaaSは、SaaSごとの権限も管理できるプロビジョニングなど本来はIGAが持つ機能も一部内包していますが、本来IGAが果たす役割はもっと大きなものとなっており、特権管理などPAMが持つ機能については、IDaaSには備わっていません。OktaはIGAやPAMの領域にまで機能拡張していくことをロードマップとして掲げているものの、現時点ではそこまで広範な機能は備わっていないのが実態です。

IGA_3.png
その意味では、IDガバナンス強化につながるIGAや特権アクセス管理を行うPAMへの対策も重要です。IDaaSの注目度は高いものの、本当にゼロトラストにおける新たな境界となるIDが、IDaaSだけで十分だとは言えないのも事実なのです。

なぜIDガバナンスが必要なのか

では、ゼロトラストにおいてIDガバナンスがなぜ重要になってくるのでしょうか。ゼロトラストの重要なポイントに「ユーザーへ最小権限のみを与えること」がありますが、実はIAMだけでは実現できない部分があるのです。

IAMでは、アクセス権の付与は可能ですが、アクセスが必要な理由を判断したうえでアクセス権の付与が行われているかどうかのプロセスが確認できません。また、誰がどのシステムにアクセス権を所持しているのかを権限レベルで可視化して管理するような機能も備わっていません。さらに、社員の異動やM&Aなどの環境変化に応じて適切なタイミングのみに権限を付与するような機能もIAMでは十分とは言えないのです。

IGA5.pngゼロトラストにおいてIDが重要になってくるからこそ、IDそのものを統制するためのIDガバナンスは厳格に行っていく必要があり、その意味でIGAへの対応も求められてくるわけです。

IDaaSと共存するIGAの機能

IDガバナンスを実現するIGAは、企業内の人事(HR)システムや社員からのリクエスト、そして各種アプリケーションのハブとなり、職務分離やリスク判定に基づいて適切なID情報を各サービスに連携させるソリューションです。

IGAは、IDaaSなどのIAMと競合せずに共存しながら活用するもので、オンプミスやクラウドサービスなどさまざまなシステムと連携しながら、権限レベルのプロビジョニングを行います。利用者から権限に対するリクエストを受け付けて承認するまでのワークフローをはじめ、システムを横断した権限情報の一元管理によるガバナンス強化、監査などに役立つレポーティング機能などを提供しています。

IGA_4.png

どんな課題にIGAが役立つのか

では、IGAを利用することでどんな課題に対して有効なのか、いくつか例示していきます。今回紹介するのは、マクニカが2022年4月より取り扱いを開始した、IGA領域のリーディングカンパニーであるSaviynt社のソリューションです。

例えば異動時期に不必要な権限を所有したままのユーザーが多く、管理者が全体把握できなくなってしまっている場合、権限の棚卸機能を使って管理者が承認していくようなフローを定期的に実施することができます。もちろん、システム横断的に権限の可視化が可能な機能も提供しています。

また職務分掌と権限を厳格に管理している場合でも、複数のアプリケーションにおいて職務分掌を軸にした権限管理を行うのは非常に手間がかかるもの。システムごとの権限を可視化して一元管理できるIGAであれば、アプリケーション間の職務分離を適切に定義したうえで管理できます。例えば、会計システムのなかで会計伝票を起票する権限を持つメンバーに対して、会計伝票の承認権限を持たせないなど、職務分掌に照らし合わせた権限管理が可能になります。コンプライアンスの観点からは、各種法令や規制に対応したリスク分析機能も備わっています。

さらにアクセス権に関する承認フローは確立されているものの流れ作業になってしまっている場合は、マシーンラーニングを用いてリスク分析を行い、リスクのスコアリングを行い、ユーザーへの権限付与や権限棚卸の際に管理者にリスク提示を行うことが可能になります。

ゼロトラストに必要なID管理の中心となるIDaaSの役割を補いながら、IDガバナンスの強化に大きく貢献できるIGA。IDaaSだけでは十分でないIDガバナンスの必要性とともに、IGAが果たすべき役割などについて理解を深めていきながら、ゼロトラスト実現に向けた環境整備に役立てていただければと思います。なお、Saviynt社が提供するソリューションの詳細については、WPをご参照ください。

このブログの内容は先日開催したMSFにて行った講演です。
講演動画をご覧になりたい方は下のボタンからお願いいたします。
講演動画はこちら.png

Saviynt社の詳細についてご紹介しているWP
「これからの企業のためのアイデンティティ・ガバナンス」のDLは下のボタンからお願いいたします。
資料のダウンロードはこちら.png

ランキング