働き方改革によるIT環境の見直しや、コロナ禍の感染症対策により、SaaS(Software as a Service)をはじめとしたクラウド利用や、ノートパソコン/スマートフォンなどのモバイル活用が、以前に増して進んでいます。これまで組織のネットワーク内に存在していたデータやユーザーは、インターネット上に分散している状況に変わりました。

(出所:123RF)
(出所:123RF)

 従来のサイバー攻撃対策は、組織が物理的なネットワークに境界を設け、外部からの侵入を防ぐという考え方が一般的でした。ネットワーク内部では、侵入された場合に備えて、端末単位のセキュリティー強化やネットワーク上の不審なふるまいの監視などをしていました。

 この考え方は、今もほとんどのサイバー攻撃に対し有効なアプローチといえます。しかし、インターネット上へのユーザーとデータの分散がさらに進むと、ネットワークの内部/外部を分ける前提の「境界防御」は、限界に達するでしょう。

 こうした状況に対応するのが、システムのユーザーが何者であるかを示すアイデンティティー(ID/パスワードなどの識別情報や、名前や肩書といった個人の属性情報)を前提とする手法です。このアイデンティティーは多くの場合、インターネット上に分散しているため、統合管理するIDaaS(Identity as a service)の必要性が高まっているのです。

 IDaaSは前回解説した、「ZTNA(ゼロトラストネットワークアクセス)」の中核技術といえます。内部ネットワークへの接続や過去の認証に依存しない「信頼せず、常に確認する」セキュリティーモデルを実現するため、利便性を保ちながらアイデンティティーを管理する仕組みを実現します。

増え続けるクラウドサービスとアイデンティティー

 SaaSをはじめとした多くのクラウドサービスは、新しいユーザーごとに個別のアカウント(ID/パスワード)を発行します。ユーザーから見ると、導入するクラウドサービスが増えるたびに管理すべきアカウントが追加されます。

 組織のIT管理者からすると、業務で利用するクラウドサービスごとに個々のユーザーのアカウントを管理しなくてはなりません。従業員の入社/退社が発生するたびに、クラウドサービスのアカウントの更新手続きが発生します。

 さらに組織変更や異動などがあると、部署名や肩書などの属性情報を書き換える作業が発生します。属性情報の変更に応じて、クラウドアカウントの権限を更新しなくてはなりません。

 従来の、ネットワーク内部を前提とする環境では、Active Directoryをはじめとする「ID管理基盤:IAM(Identity and Access Management)」でアイデンティティーを管理してきました。しかしクラウド利用が進むにつれて、様々な場所にアカウントが分散して存在する状況となり、組織内で管理するアイデンティティーと整合性を取りつつ、セキュリティーを保つ必要が高まりました。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。