schedule 2022/05/31 refresh 2023/11/09
近年では自社運用のシステムとクラウドサービスを併用するのが当たり前の時代になりました。それに伴い、アカウントを発行、変更、削除するといった業務の負担が増えるという問題に直面している企業が増えてきました。
またアカウントが増えれば増えるほど、セキュリティに関するリスクも増すものです。例えばある社員が退社したとき、その社員が業務で使っていたクラウドサービスのアカウントを残したままにしてしまうと、不正利用される危険があります。
こうした課題に対処するための仕組みの1つが、IDプロビジョニングです。
IDは「identity」の略で、文字通り、個人を区別するための情報です。
一方プロビジョニングは、準備する、設定するという意味の英単語「provision」の派生形です。「プロビジョニング」はネットワーク機器やサーバー機器に対して設定情報を流し込む際によく使われている言葉ですが、クラウドサービスの利用拡大に伴い、アカウント管理を行う「IDプロビジョニング」という表現がここ最近、急激に広まり、よく耳にするようになりました。
ちなみに同じものを指して、ID同期、アカウントプロビジョニング、ユーザープロビジョニング等と表現することもあります。
横文字ばかりで込み入っていますが、こうした用語を事前に整理しておくと、今後各サービスを調べる上で役に立つかと思います。
端的に言うと、「IDの作成や管理、削除に掛かる手間を、自動化により可能な限り削減する」ことを目的とした技術が、IDプロビジョニングです。
例えば役職や部署によって異なるクラウドサービスを使っている場合、人が増えるたびに手作業で各アカウントを作成したり、それぞれに権限を設定するのは手間が掛かります。また、作業が煩雑になる分、権限の設定ミスやアカウントの削除忘れなどのヒューマンエラーが発生するリスクも高くなります。
そこで、独自システムで複数のサービスのアカウントを一元管理できたら、と発想するのは自然な流れでしょう。
クラウドサービスを提供する側も、外部のプログラムからアカウントを管理できる仕組みがあれば、ユーザーを増やしやすくなります。
こうした背景から、IDプロビジョニングのために必要な情報を共有する仕様が定められています。Google WorkspaceやMicrosoft365をはじめ、主要なクラウドサービスの多くがこの仕様をもとに必要なデータを外部から安全に操作する命令(=API)を用意しています。
セシオスでも、公開されている各社のAPIを使ってIDの一元管理を実現しています。以下は、弊社製品SeciossLinkのサービスイメージです。
ちなみにSeciossLinkでは、以下のようなクラウドサービスと連携できます。
また、最近のクラウドサービスは「SCIM(System for Cross-domain Identity Management)」という複数のドメイン間(サービス間)でID情報のやり取りを自動化するために作られた規格に対応しているものも多くID情報、グループ情報をプロビジョニングすることができるようになっています。
もし、このような仕組みが無くても、ID情報をCSVファイルに出力し、サービス側で取り込んでもらうことで連携することができます。これらは全てSeciossLinkに備わっている連携機能です。
まとめると、IDプロビジョニング機能を導入することで概ね以下のようなメリットが得られます。
- 1. さまざまなクラウドサービスのアカウントを一元管理できる
- 2. ID作成・管理・削除といった手動プロセスの負担を軽減できる
- 3. 多くのIDを管理することによって発生するセキュリティリスクを軽減できる
既存のシステムにIDプロビジョニング機能を導入する場合、一から組み上げると膨大なコストと工数が掛かってしまいます。サーバーの構築、設定、更にはバックアップや監視など運用面の負担も大きくなってきます。
また、IDというデリケートな情報を扱うだけに、セキュリティ面にも継続的に配慮していかなければなりません。自社のビジネスに専心するためにも、外部サービスを利用するのが現実的と言えます。
IDaaSは、Identity as a Serviceの略で、文字通りIDの管理機能を提供するサービスです。
従来、ID管理はシステムの基本機能として組み込まれていることが多く、機能としてもアカウントの作成、変更、削除程度のシンプルなものが多くありました。しかし現在のようなクラウド時代では、IDの管理方法も複雑化し、利便性とセキュリティを担保することが簡単ではなくなってきました。
そこで登場したのが、主要なクラウドサービスの情報を高いセキュリティの元でまとめて管理するサービス、IDaaSです。
IDaaSは、おそらく現段階で最も手軽かつ低コストでIDプロビジョニング機能を導入する方法です。
課金前に無料のトライアル期間を設けているIDaaSは多くあります。また、IDの管理や認証に関する機能を提供するクラウドサービスですから、Webブラウザがあれば利用できます。また、導入の手間も掛かりません。実際に使いながら、自社の運用方法を検討することも手軽にできます。
ネットワークを介してさまざまなソフトウェアを利用できるクラウドサービスは、テレワークと相性がよく、コロナ禍も相まって急速に普及しています。
ただ、ある技術が普及すると、それを狙った攻撃も増えます。例えば情報処理推進機構(IPA)が発表している情報セキュリティ10大脅威2022でも、組織のランキングの3位に「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクインしています。
クラウド技術はまだ発展を続けており、開発する側も運用する側も、セキュリティには十分注意する必要がある、ということは知っておく必要があります。
セシオスでは、ID管理・認証のプロフェッショナルとして、昨今ではセキュリティ機能の開発も行い、常に次世代の技術を研究・開発に努めています。
SeciossLinkは総合セキュリティサービスであり、IDプロビジョニングやシングルサインオン(1つのアカウントで複数のサービスにログインする機能)といった利便性を高める機能のほか、いつもと違うアクセスを検知した場合に管理者にメールを送信する仕組み、ユーザーのアクセス状況、サービス利用状況を可視化する機能なども完備しています。
利用にあたっては、1ヶ月間の無料トライアル期間を設けていますので、IDプロビジョニングに興味をお持ちであれば、ぜひお気軽にご相談いただければと思います。
