本連載では日本ヒューレット・パッカード(HPE)のさまざまな社員の「こぼれ話」を綴ります。→過去の「マシンルームとブランケット」の回はこちらを参照。

新たな統合ID管理「クラウドIDガバナンス」

これまでB2E(Business to Employee)環境における「統合ID管理」といえば、社内の信頼できるデータソースである人事システムやワークフローなどからユーザ情報を集め、1ユーザ1アカウント化や、ライフサイクルの管理を行い、ユーザ属性に基づきロールや権限を割り当て、Active Directoryや業務システムなどの連携先システムにアカウントや権限を配布する形式のものが主流でした。

クラウドサービスを活用する場合は統合ID管理からアカウントや権限を連携したり「IDaaS」(Identity as a Service)を利用してプロビジョニングを行ったりすることが一般的でした。

そこへ最近、新たにゼロトラストやクラウドサービスの活用におけるアカウントの権限管理とコンプライアンスを目的として「クラウドIDガバナンス」という分野のソリューションが出てきました。これまでの統合ID管理やIDaaSとどう違うのでしょうか?

「統合ID管理」や「IDaaS」と何が違うのか?

統合ID管理もIDaaSも、ID管理の運用業務をシステム化することにより、セキュリティ向上と利便性向上、および運用コストの低減を図るソリューションです。

適切なシステム化を行うことにより、例えば入社や異動時に、必要なシステムにアカウントを自動で準備したり、退職と同時に当該アカウントを無効化したりすることができるようになります。クラウドIDガバナンスのポイントは、各クラウドサービスの独自の「権限」の管理ができるかどうか、です。

また、これまでの統合ID管理では対象外になりがちだった、アプリケーションやクラウドサービスの独自の権限も含めて、一元的に可視化および管理することができるようになっています。

一般的な統合ID管理における権限の管理では、人事システムなどをベースに構成したユーザマスタから、ユーザアカウントの有効・無効や、当該システムの使用権、ユーザ属性値に基づくロール情報など、上流側で組み立てられるデータを連携先システムに対して提供し、それらの情報を受け取った連携先システム側で、必要な権限を付与するという形式で管理を行ってきました。

しかし、これでは連携先システム側で設定された個別の権限の内容までは統合ID管理側で把握できないうえ、連携先システム側で追加設定された権限は見ることができないため、ガバナンスの効率や精度の観点で課題が残ります。

クラウドIDガバナンスを使うと、連携先システム上で設定されている個別の権限を収集し、集約して、ツール上からユーザに付与されている実際の権限の可視化を行うことができます。これらの情報を基に、複数の連携先システムをまたがって権限を管理するロールなどを構成し、また適用することができるようになります。

また、それだけでなく、たとえば経費の申請者と承認者が同一人物に割り当てられているなどの、職務分掌で問題があるケースに対しても、警告を発したりすることができます。 クラウドIDガバナンスでは、連携先システム上で実際に割り当てられた権限の情報を収集して、その結果をもとに実現可能な範囲でのガバナンスを実現します。

  • マシンルームとブランケット 第18回

    統合ID管理とクラウドIDガバナンスの管理範囲

統合ID管理

  • 人事ライフサイクルに基づき、ユーザ情報を最新・正確・承認された状態に保つ
  • 組織、役職などに基づき、ロールや権限を計算する
  • 連携先システムにユーザ情報、ロールや権限情報を配信する

IDaaSのプロビジョニング機能

  • クラウドサービスに対し、IDaaSに登録されているユーザを出力する
  • SAMLなどの認証連携を自動的に設定する
  • 権限の管理は限定的

クラウドIDガバナンス

  • 連携先システムから個別の権限の情報を収集し、1つのビューで「見える化」する
  • 実際の権限の割り当て状況に基づき、複数のシステムにまたがったロールモデルを構築する
  • 承認時に、実際の権限の付与事例を参考に承認支援を行う(あなたの部下の70%が同じ権限を保有していますなど)
  • 経費の申請者や承認者の権限が同じユーザに割り当てられていないか、職務分掌の観点でチェックを行う
  • ロールの割り当て条件を設定することで、自動的にプロビジョニングを行う

“最強のIDガバナンス環境”

クラウドIDガバナンスが有効な環境においては、クラウドサービスの利用開始を迅速に行い、しかも後からガバナンスを利かせることができるようになります。

従来型の統合ID管理だと、重厚長大でクラウドサービスと接続するためには、いろいろと準備に時間がかかります。IDaaSのプロビジョニング機能を使えば、クラウドサービスを迅速に利用開始できますが、どちらかといえば便利機能であり、アカウントの作成および認証連携に特化したものが多いようです。

クラウドIDガバナンスであれば、スピードを優先し、先にクラウドサービスを一部ユーザのみ、手動登録で利用開始してから、後からでもガバナンスを有効化させることができます。ビジネスのチャンスをつかむために、どんどん新しいクラウドサービスを取捨選択するようなモデルにも、適した形式といえると思います。

もちろん、これまで通り上流のデータをもとに権限を付与することも可能です。クラウドサービス利用開始後に十分に実績を積み、全社展開を計画したタイミングでロールモデルを構築し、適用するもの良いでしょう(これをわれわれは「後からガバナンス」と呼んでいます)。

とはいえ、クラウドIDガバナンスがアカウントのプロビジョニング時に前提とする元データはきれいである必要があります。出向、派遣、転籍、役員兼務といった、日本企業において特徴的な、人事システムの都合を吸収し、システム利用者観点でのユーザIDのマスタを作る部分に関しては統合ID管理にしかできません。

ライフサイクル管理に長けた統合ID管理と、権限の管理が得意なクラウドIDガバナンスをつなぐことで、現時点で“最強のIDガバナンス環境”を作ることができます。

また、IDaaSを活用することで、多要素認証、認証連携、端末識別など、ゼロトラストを踏まえた「認証から始まるセキュリティ」を実現することができます。

まとめ

クラウドIDガバナンスのメリットを以下にまとめます。

  • これまでになかった、連携先システム固有の「権限」を収集し「見える化」する
  • 実際の「権限」の付与状況をもとに、迅速にロールモデルを構築し、適用する
  • サービスを迅速に利用開始することで、ビジネスの足を引っ張らない

おまけ

ID&アクセス管理の環境において、今後ゼロトラストを前提として、端末からアプリケーションまでのアクセス経路が全体的にサービス化される未来を想像しています。

アプリケーションも、対象ユーザの公開範囲や対象端末、公開方法が決められた環境に、コンテナやワークロードを配置するような形式になること予想しています(このような形式にすることで、誰もがわかりやすく、ユーザもIT担当者もアプリ担当者もみんながセキュリティを意識し、また説明しやすく対応しやすいというメリットがあります)。

こういった未来予想図の中で、最後まで企業のIT組織に残るのは、データ、アプリ、ID管理、コンプライアンス、ガバナンス、ユーザ教育であると考えています。つまりID管理はとても大切です。技術的には地味な役割ではありますが、非常に重要なので、苦労の多い担当者の方を大切にしてあげてほしいと願っています。

日本ヒューレット・パッカードの社員によるブログをぜひ一度ご覧ください。製品やソリューションの紹介だけではなく、自身の働き方や日々のボヤきなど、オモシロ記事が満載です。

宮本 幸長

宮本 幸長

日本ヒューレット・パッカード クラウドサービス事業統括 ネットワーク&セキュリティソリューション部 シニアコンサルタント
CISSP/情報処理安全確保支援士(登録番号:005836)。ID&アクセス管理の領域全般を担当するプリセールス。元々開発者だったので、足らないものはついつい作ってしまいがち。

この著者の記事一覧はこちら