IDaaSとSASEの連携がカギのゼロトラスト対策とは？

前回、VPNを利用しないリモートアクセスについてご紹介しました。
これらは「ゼロトラスト」という社内ネットワークやVPNに依存しない新しいモデルで実現可能です。 

今回は、ゼロトラストを強化していくための重要事項である「ID管理」「クラウドサービスとの連携」をセキュアに行うためにIDaaS（Identity as a Service）とSASE（Secure Access Service Edge）の連携について解説します。

セキュリティの新しい概念としてよく耳にするこの二つの言葉ですが、簡単に説明すると、「ゼロトラスト」という考え方に基づいてサービスを提供する仕組みのことを「SASE」といいます。二つについてはトレンドワード解説にて詳しく説明をしていますのでこちらをご覧ください。

ゼロトラストについてはこちら

SASEについてはこちら

SASEにはIDPが必要？

実はSASEでは解決できないとされている問題があり、それが認証・認可です。
SASEは「SASEへの認証」はコントロールできますが、SASEより先にあるクラウドサービスやディレクトリへの認証を管理することはできません。

このため、認証情報を集中的に管理ができ、クラウドサービスやディレクトリへの安全な認証をサポートするIDP（Identity Provider）が必要なのです。

IDPを検討する際に必要なポイントは以下です。

• • • 認証できるサービスの多さ
    • コスト
    • 既存のシステムやおオンプレミスとの連携
    • サービスの利用・運用工数

ディレクトリとIDPを一緒に提供するにはオンプレミス版Active Directoryのクラウド版である「Azure AD」があるといわれています。しかしAzure ADはディレクトリとIDPが必ずセットで提供されます。このため、企業がIDPを必要としていてもディレクトリを気づきあげておかないとIDPを利用できないのです。その結果、コストや工数が非常にかかりやすいサービスとなってしまいます。

その中で注目を集めているのが、IDaaSと呼ばれる方法です。IDaaSとは既存のディレクトリと連携可能ですが、ディレクトリ構築を必要とせずにIDPを実現する方法とされています。

IDaaSについて

IDaaSは認証を行うシステムやアプリが社内ネットワーク内にあってもクラウド（社外ネットワーク）上にあっても統合的なID管理・認証サービスを提供するクラウドサービスであり、SaaSの一種だとされます。

かつて、IDパスワード管理SSOなどの認証サービスは、社内ネットワークを前提としたサービスとして機能していました。 ゆえに、クラウド化が進むことによって、社内利用のシステムを自社で築き上げずに、SaaSとして利用することが一般的になっています。

SaaSはネット上にあるので、社員が毎日利用するとしても、ADなどの管理対象外となっていました。しかしIDaaSは、社内ネットワークの内側もしくは外側なのか、ディレクトリに導入されているのかを問わずに、統合的なID管理と認証を提供できるのが特徴です。

したがって、ユーザーが各種SaaSのIDとパスワードを記憶していなかった場合も、IDaaSから複数のSaaSにログインできることにより、ユーザーの負担を軽減できIDやパスワードの漏洩や使いまわし防止に役立っているとされています。

クラウド化による脅威を前提条件とするゼロトラストでは、アイデンティティとアクセス管理は実現するため必須だと言えます。その管理方法には、クラウド化を前提としたアイデンティティとアクセス管理を行う手法であるIDaaSが必須です。

ゼロトラストを実現するには、さまざまな観点が必要ですが、その中でもID管理はゼロトラストを実現するために欠かせない要素だと考えれます。

弊社が提供するIDaaS製品のSeciossLinkはこれまでの記事でご紹介してきた通り、ゼロトラスト・SASE・CASBなどに対応したセキュアなIDaaS製品となっています。

SeciossLinkは、1ヶ月間の無料トライアル版をご用意していますので、実際に製品をお使いいただいて、お客様の環境にマッチしているかどうか直接ご確認をいただけたらと思います。