ゼロトラストネットワークを構築するのに必要となる技術を解説する本特集「ゼロトラストを支える技術」。第5回はユーザーの認証や、アプリケーションやデータに対するアクセスの認可をつかさどるアイデンティティー&アクセス管理(IAM)を取り上げる。ゼロトラストにおいてユーザーの情報が集約される「ターミナル駅」となる存在だ。

 IAMはシステムを利用するユーザーのIDと氏名や所属、役職情報などをひも付けて保管する「IDデータベース」と、ユーザーが利用できるアプリケーションやデータなどを規定する「アクセスポリシー」に基づいて、ユーザーの認証やアプリケーションなどへの認可を管理する。

IAMの仕組み
IAMの仕組み
[画像のクリックで拡大表示]

 ユーザーがアプリケーションやデータなどのリソースへアクセスする際には、まずIAMがユーザーを認証する。IDに対し本人しか知り得ないパスワードや、スマートフォンなど本人の所有物に送ったSMSに記載した暗証番号を入力させることで、間違いなく本人によるアクセスだと確認する。

 認証に続いて、アクセスポリシーに応じてIDにリソースへのアクセスを認可する。アクセスポリシーとは例えば「開発部の社員に、開発用SaaS(ソフトウエア・アズ・ア・サービス)の利用を許可する」といったものだ。システム管理者はIDとひも付けて管理する所属情報などを基に、必要なリソースへのアクセスを許可したり、逆に不要なリソースへのアクセスを禁止したりするようアクセスポリシーを定める。

表 IAMの主な機能
機能名概要
プロビジョニング社員の入社時にIDを作成、データベースに登録し、所属や役職などの情報とひも付ける
ID管理退職や異動、組織改編があった際にデータベースの情報を更新する
ユーザー認証IDに対するパスワード入力やMFA(多要素認証)を通して、リソースへアクセスしようとしている人物が本人であることを認証する
ユーザー認可認証したIDにリソースへの適切なアクセスを認可する
SSOSAML認証を使って複数のSaaSに一元的にログインする

 IAMはSSO(シングルサインオン)の機能も担う。企業が複数のSaaSを同時に利用する際、SaaSごとにIDとパスワードを作成し、従業員に管理させるのは手間がかかる。加えて管理するIDとパスワードが増えると、情報流出や不正アクセスなどセキュリティー事故のリスクも高まる。SSOを使えば、ユーザーはIAMへのログイン方法さえ覚えていれば、複数のSaaSをパスワード入力せずに利用できるようになる。

多要素認証で不正アクセスを防ぐ

 テレワークが浸透しつつある今日においては、IAMが備えるMFA(多要素認証)がセキュリティー向上に貢献する。SaaSには社内、社外のロケーションを問わずアクセスできるが、悪意のある第三者にとっても同じことが言える。そこでIAMはSMSの他に、ソフトウエアトークンや生体認証を組み合わせたMFAを使って、本人の利用であることをより厳格に認証する。

 近年SaaSの利用はますます盛んになっており、1人の社員が数十のSaaSを使うのも珍しくなくなった。使用するSaaSの種類が増えるほどに管理の手間とリスクが増大する。生産性向上と安全両方の観点からSSOの利用は必要不可欠なものとなりつつある。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。