コロナ禍によりテレワークが急速に普及し、クラウドサービスの利用が増えてきている。しかし、クラウドサービスの利用にはさまざまなセキュリティリスクが伴う。対策を考えるうえで重要となるのが、ID管理を軸としたゼロトラストの概念だ。ゼロトラスト時代におけるID管理のあり方について、6月10日に開催されたTECH+セキュリティセミナー「専門家とベンダーの対話 第9回 理想と現実の“折り合い”を探る」で、アクシオ ゼロトラスト事業本部 技術部 部長 村上憲司氏が解説した。

  • アクシオ ゼロトラスト事業本部 技術部 部長 村上憲司氏

 IDaaSだけではID管理の本質的な課題解決にはつながらない

ID管理が日本で導入されるきっかけとなったのは2008年、内部統制報告書の作成と監査が義務付けられた日本版SOX法の施行であった。当時、クラウドサービスは希少であり、イントラネット内で完結することを前提にID管理システムが構築されていた。しかし、約10年ほど前にクラウドサービスが登場してからは、DMZに連携用のゲートウェイを設けベンダー提供の同期ツールを導入し、ここにID管理システムのデータを送って各種クラウドサービスに連携する形へと変わっていった。

近年では業務システムのクラウド化がさらに進行しており、1社あたり10程度のクラウドサービスを利用しているという報告もある。これにより、企業の重大な課題となっているのがセキュリティ対策だ。特に、ID・パスワード管理の不備、パスワードリスト攻撃などによる不正アクセスは大きな脅威となっている。ゼロトラストへの対応も求められるなか、これまでのID管理システムを見直す必要が出てきている。

こうした背景のもと、昨今ではID管理機能を持つIDaaSに注目が集まっているが、村上氏は、「IDaaSだけではID管理の本質的な課題は解決していない」と警鐘を鳴らす。そして「そもそもIT全般統制に対応する必要がある。そのうえで、クラウドサービス対応、ゼロトラスト、生産性向上につながるID管理を考えなければならない」と説明する。

セキュリティと利便性を両立させる「Keyspider」

そこでアクシオは販売総代理店として、IDaaSではカバーできないID管理に関する各種機能を搭載した「Keyspider」を提供している。Keyspiderは、クラウド型のID管理サービスで、クラウドサービスだけでなく、オンプレミスの社内システムも含め企業が保有するすべてのシステムにID連携することができる。

企画開発は日本国内で行われており、多くの日本企業で求められる要件に対応していることが特徴だ。村上氏は「多様化・複雑化してしまったID管理をシンプルにするもの。アクシオが20年間培ってきた150社以上のID管理システム実装ノウハウを注入し、日本で多く求められる機能から実装している」と話す。特に、監査で求められるアクセス管理の証跡データを出力できる「ID棚卸し機能」へのニーズが高いという。

「一時的に作成したIDが残っていると監査において指摘の対象になるが、それぞれのシステムから探し出すのは大変な作業になる。Keyspiderでは、長期間更新されていないアカウントや、有効期限を過ぎていてもシステム利用ができるアカウント、契約社員や外注業者の業務のために作成されたアカウントなどをリスト化できる。監査のための対応はKeyspiderの操作のみで完結する」(村上氏)

また、「SaaSプロビジョニング機能」も好評な機能の1つだという。Keyspiderでは、日本国内でよく使われているクラウドサービスとAPI経由で直接連携できるほか、APIを持たないサービスに関しては、KeyspiderのRPA技術によって直接連携することが可能となっている。

さらに、Keyspiderには、現場部門でID申請・管理を行える「ワークフロー機能」がある。村上氏は「従来は情報システム部門で担当していたIDのメンテナンスを現場部門に任せるもので、これを使えば、情報システム部門側での対応が必要なくなり、その時間を情シスが本来注力すべき仕事に充てることができる。セキュリティと利便性はトレードオフと言われがちだが、どちらも高めることができるソリューション」と、セキュリティ対策だけでなく、生産性向上につながるものであることを説明した。

Keyspiderは、ユーザーのニーズに応える形で新たな連携先や機能の検討を進めている。村上氏は、「ID管理は認証基盤の一機能として捉えられていたが、これからは組織内におけるセキュリティの基盤として、社内で導入するあらゆるセキュリティソリューションがKeyspiderのコントロールするID情報/アクセス権限情報を参照する世界を目指していく」と展望を述べた。

日本企業向けに開発された唯一無二のID管理サービス

セミナーでは、セキュリティ専門家である徳丸浩氏と根岸征史氏からのQ&Aセッションも行われた。ここからは、その様子の一部を紹介する。

徳丸氏:クラウドでの提供ということだが、オンプレミスの社内システムとはどのような形で接続するのか。

村上氏:イントラネット側にゲートウェイとなるサーバーをご用意いただく。ゲートウェイサーバーとKeyspider間は、常にセキュアトンネルを張った状態にしているので、そこでデータをやりとりする形となる。

徳丸氏:連携先のアプリケーションごとに作り込みが必要になるか。

村上氏:必要ない。KeyspiderはAPIを公開しており、それに対応しているものであれば標準化された仕組みで連携できる。SQLも利用できるほか、CSVファイルからのデータ取り込みも可能なので、いろいろなやり方に対応可能。

徳丸氏:権限は部門や役職で決まる場合がある。そうした要件への対応は可能なのか。

村上氏:「自動権限付与機能」で、ユーザーが所属している組織や役職、雇用形態などによって自動的に権限を振り分けることができる。

徳丸氏:監査に向けた資料作成ができることは興味深い。どのような形式で出力されるのか。

村上氏:現在はCSVでの出力だが、要望を多くいただいており、今後機能をバージョンアップしていく予定。また、利用されているかどうかわからないIDを検出した場合に該当ユーザーへメールを送信する機能、延長申請や削除申請をワークフローで行える機能なども盛り込んでいく予定となっている。

根岸氏:ユニークな製品だと感じた。Keyspiderを導入する企業が決め手にしている機能は何か。

村上氏:IDaaSは認証機能がメインであり「今」の情報を管理するものだが、Keyspiderは、ユーザーの過去・未来の状態まで管理することができる。特に未来の情報を先に入れておきたいというニーズが高く、好評をいただいている。

また、IDaaSでは、組織マスタや役職マスタなどのコードと名前を紐付けることができず、コードを自分で入力する必要があるが、Keyspiderではリストから選択する形で紐付けが可能。こうした使い勝手のよさも、採用のポイントになっている。

徳丸氏:ある程度大きな組織でメリットが出る製品だと思う。利用を想定している企業規模はどれくらいなのか。

村上氏:500-3000人程度の企業を想定している。ただし、それ以上の規模のお客様からの引き合いもある。機能・コストが見合えば、どんな規模の企業でもご利用いただけると考えている。その際には、ID管理業務をKeyspiderに合わせるという発想を持っていただくことが重要。

一部のIDaaSでは、簡易的なID管理の機能を持つものもあるが、組織や権限の管理はできず、また、APIを持たない国産のSaaSや社内システム連携に対応していないなど、日本企業の実情にあわないケースも多い。IDaaSに不足している機能を補完するものとして、Keyspiderはまさにかゆいところに手が届く製品といえるだろう。

[PR]提供:アクシオ