第1回:ゼロトラストセキュリティを実現するためのIDaaS、Oktaについて(1)IDaaSとは
浅葉 正史はじめに(本ブログについて)
このブログは、テクバンのOkta導入支援/サポートサービスを提供する部門の所属となった技術者が、Oktaについて学習し考えたことを、メモし共有するブログです。 不定期に更新をしていきます。
今回初回のブログは、 IT業界歴25年以上ではあるもののIDaaSに関わるお仕事は今回初めての経験となる浅葉が担当させて頂きます。 Oktaについては0からの勉強になります。
Okta(「オクタ」)とは
まず、これから学習していくOkta(「オクタ」)について、簡単な概要説明をと思い、改めてインターネット検索で調べてみました。
Oktaは、アメリカで2009年に創業し、急速にグローバルで成長している企業で、現在は日本にも法人を設立しています。
私達が「Okta」と日頃呼んでいるサービスは、実は正式名称は「Okta Workforce Identity Cloud」だったようです。(ですが本ブログでは、便宜上、以降も「Okta Workforce Identity Cloud」のことを「Okta」と省略して記載させて頂きます。)
「Okta」は、所謂、IDaaS(Identity as a Service)と呼ばれるサービスで、企業が利用する多数のシステムについて、ID管理や認証を集中して行うクラウド型ID管理・統合認証サービスです。
IDaaS (Identity as a Service)とは
IDaaSが提供する3つの機能
いったんここで、そもそもIDaaSとは?について、立ち返って整理してみようと思います。
私は「IDaaS」について、具体的なサービスに触れるのはこれが初めてで、これまでふわっとした抽象的な概念としてしか理解をできていませんでした。先日、社内の同僚が教えてくれた、IDaaSには主に3つの機能がありますという説明が、IDaaSという言葉のイメージをより具体化する上でわかりやすかったので記載します。
IDaaSが提供する機能は、主に以下の3つの機能であるという説明でした。
- ID統合管理
- SSO
- アクセス制御の強化
今日、企業でのIT利活用が進み、導入するシステムの数は増える傾向があり、その中でもクラウドサービスを利用する割合が増えていると思います。
弊社テクバンでも、入社した全社員に対し、メールやチャットのシステム、勤怠管理・経費精算システム、目標管理システム、e-Learningシステム、名刺管理システム、安否確認システム・・といったシステムのアカウントが付与されます。また職種によっては、これに加えてCRMや稟議のワークフローシステム、経理システムといったシステムのアカウントも付与されます。ただ、これでもだいぶ少ない方で、うちの会社はもっとたくさんシステムとアカウントがあるよという企業の方も多いのではないでしょうか。
そういった状況で発生する課題を解決するのがIDaaSと言えるわけですが、そのIDaaSの機能を主に以下の3つとして理解します。
➀ID統合管理
企業が導入している多数のシステムのユーザーID(アカウント)をまとめて管理する。
ID管理の負荷軽減と、不要なID削除漏れなどの人為的ミスを防ぐセキュリティ強化効果。
➁SSO(シングルサインオン)
ユーザーが多数のシステムにそれぞれ別のID・パスワードでログインする必要がなくなる。
ユーザーの利便性向上と、パスワードの使い回しなどを抑止するセキュリティ強化効果。
➂アクセス制御の強化
IDとパスワードによるアクセス制御だけでなく、様々な認証方法(多要素認証など)や条件(例えば接続元IPアドレスによるシステムのアクセス制限など)によるアクセス制御が可能
■IDaaSを導入すると何がうれしい?
IDaaSとは?の続きになりますが、IDaaSを導入すると、誰がどのような理由で嬉しいのでしょうか?
・情シス担当者が嬉しい
まず、真っ先に思いつくのが、企業の情シス担当者にとっては、ものすごくありがたいサービスだということです。
IDaaSを導入していない企業では、社員の入退社、組織変更や人事異動がある度に、情シス担当者がアカウント作成や削除、人事情報の反映などの作業を、多数のシステムそれぞれに対して行わないといけません。
各イベントでは、情シス担当者は以下のような対応を求められます。
①社員入社時
- 人事部門から連携された社員情報を基に、入社日までに各システムのアカウント登録(対象システムはAD、メール、チャット、勤怠、e-Learningなど多数・・・)
②社員退職時
- 退職者の利用システムの洗い出しと利用システム全てのアカウント削除(情報漏洩対策のため、漏れなく速やかにアカウントを削除しなければならない・・・)
③組織変更・人事異動
- 各システムへのアクセス権限の変更(組織毎に各システムへのアクセス権限を制御している場合、対象システム全てのアクセス権限変更が発生・・・)
- 組織情報の変更(各システム内に組織情報を入れている場合、全ての情報変更する必要あり・・・)
上記イベントは、いずれも情シス担当者泣かせのイベントです。
しかも、社員の入社・退職、組織変更は、時期による波があります。入社は月初、退職は月末に集中しがちです。組織変更は4月や1月にという企業が多いのではないでしょうか。ですので、多くの情シス担当者が月末月初は多忙となり、特に3月下旬から4月上旬は地獄だったりするかもしれません。
IDaaSを導入して、全てのシステムのアカウントをIDaaSで管理することが出来れば、社員の入社・退社・組織変更の際も、IDaaS上のIDを作成・削除・変更するだけで済むようになります。
しかも、人事部門の持つ人事情報を自動的にIDaaSに連携することが出来れば、IDaaSへのID登録削除もいちいち手作業でやる必要がなくなるかもしれません。
また、Oktaを含め一部IDaaSが持つ自動化機能を使用すれば、事前にわかっている入社や退職、組織変更に伴う作業を、事前にスケジュールすることも可能で、月末月初の業務集中を軽減することもできるでしょう。
また、もちろん、一番の目的としてIDaaSの導入はシステムのセキュリティ強化に繋がりますので、企業の情報セキュリティを担保する役割を担う情シス担当者にとって嬉しいことです
・ユーザーが嬉しい
一般的なシステム利用者にとっては、IDaaSの導入は、SSOによる利便性向上(自分が使用するたくさんのシステムのIDとパスワードをそれぞれ管理しなくてよい)の面で嬉しいことです。
また、IDaaS導入をゼロトラストセキュリティ実現への過程として捉えるなら、所属する企業が従業員の働く場所や使用するデバイスについて柔軟に選択できる環境整備を進めているということになります。所属する企業の「働き方改革」についてシステム面の環境が整うという意味で、従業員にとっては嬉しいことだと思います。
・経営者が嬉しい
IDaaSの導入は、企業にとって追加のコストとなります。いくら情シス担当者や、従業員にとって嬉しいことがあっても、企業の経営目線でも価値を見出だせないと、経営陣の承認を得るのは難しいかもしれません。
経営者視点だと、やはりIDaaS単体ではなく、もう少し大きなゼロトラストセキュリティの実現という文脈で考えるのが適しているのではないかなと思います。
ゼロトラストセキュリティを企業に導入することは主に以下のメリットがあります
- 情報セキュリティ強化
- 働き方改革(従業員が働く場所の多様化)の実現
昨今、全ての企業の経営者にとって、情報セキュリティと働き方改革というテーマは、無関心ではいられないテーマなのではと思います。ゼロトラストセキュリティの仕組みを導入を検討し、その取り組みの予算の中でゼロトラストの根幹であるIDaaSの導入も実施される企業が多いのではないかと想像しています。
「(2)Oktaの長所」につづく
