ゼロトラストネットワークを構築するのに必要となる技術を解説する本特集「ゼロトラストを支える技術」。第5回はユーザーの認証や、アプリケーションやデータに対するアクセスの認可をつかさどるアイデンティティー&アクセス管理(IAM)を取り上げる。ゼロトラストにおいてユーザーの情報が集約される「ターミナル駅」となる存在だ。
IAMはシステムを利用するユーザーのIDと氏名や所属、役職情報などをひも付けて保管する「IDデータベース」と、ユーザーが利用できるアプリケーションやデータなどを規定する「アクセスポリシー」に基づいて、ユーザーの認証やアプリケーションなどへの認可を管理する。
ユーザーがアプリケーションやデータなどのリソースへアクセスする際には、まずIAMがユーザーを認証する。IDに対し本人しか知り得ないパスワードや、スマートフォンなど本人の所有物に送ったSMSに記載した暗証番号を入力させることで、間違いなく本人によるアクセスだと確認する。
認証に続いて、アクセスポリシーに応じてIDにリソースへのアクセスを認可する。アクセスポリシーとは例えば「開発部の社員に、開発用SaaS(ソフトウエア・アズ・ア・サービス)の利用を許可する」といったものだ。システム管理者はIDとひも付けて管理する所属情報などを基に、必要なリソースへのアクセスを許可したり、逆に不要なリソースへのアクセスを禁止したりするようアクセスポリシーを定める。
| 機能名 | 概要 |
|---|---|
| プロビジョニング | 社員の入社時にIDを作成、データベースに登録し、所属や役職などの情報とひも付ける |
| ID管理 | 退職や異動、組織改編があった際にデータベースの情報を更新する |
| ユーザー認証 | IDに対するパスワード入力やMFA(多要素認証)を通して、リソースへアクセスしようとしている人物が本人であることを認証する |
| ユーザー認可 | 認証したIDにリソースへの適切なアクセスを認可する |
| SSO | SAML認証を使って複数のSaaSに一元的にログインする |
IAMはSSO(シングルサインオン)の機能も担う。企業が複数のSaaSを同時に利用する際、SaaSごとにIDとパスワードを作成し、従業員に管理させるのは手間がかかる。加えて管理するIDとパスワードが増えると、情報流出や不正アクセスなどセキュリティー事故のリスクも高まる。SSOを使えば、ユーザーはIAMへのログイン方法さえ覚えていれば、複数のSaaSをパスワード入力せずに利用できるようになる。
多要素認証で不正アクセスを防ぐ
テレワークが浸透しつつある今日においては、IAMが備えるMFA(多要素認証)がセキュリティー向上に貢献する。SaaSには社内、社外のロケーションを問わずアクセスできるが、悪意のある第三者にとっても同じことが言える。そこでIAMはSMSの他に、ソフトウエアトークンや生体認証を組み合わせたMFAを使って、本人の利用であることをより厳格に認証する。
近年SaaSの利用はますます盛んになっており、1人の社員が数十のSaaSを使うのも珍しくなくなった。使用するSaaSの種類が増えるほどに管理の手間とリスクが増大する。生産性向上と安全両方の観点からSSOの利用は必要不可欠なものとなりつつある。
この先は日経クロステック Active会員の登録が必要です
日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。