top of page

Vol.02 ゼロトラスト時代のセキュリティ〜IDaaS導入とアイデンティティ管理〜

  • 執筆者の写真: atsu wada
    atsu wada
  • 5月8日
  • 読了時間: 11分


この記事であなたがやるべきこと


後述する「IDaaS導入のポイントと評価基準」を理解して、

自社のIT環境に適したIDaaS選定の考え方を把握し、

アイデンティティ中心のゼロトラストセキュリティを実現するための第一歩を踏み出せるようになること。




はじめに



前回の記事「ゼロトラスト時代のセキュリティ 1: 基本概念と設計思想」では、ゼロトラストの基本的な考え方と5つの設計原則について解説しました。その中で、「アイデンティティ中心のセキュリティ」がゼロトラスト実現の核となることをお伝えしました。


ゼロトラストへの移行を検討するとき、多くの組織がまず取り組むのが「アイデンティティ管理の強化」です。なぜなら、「誰が」「何に」アクセスするかを適切に制御することが、ゼロトラストの出発点となるからです。


そこで今回は、ゼロトラスト実現の第一歩となる「IDaaS(Identity as a Service)」の導入とアイデンティティ管理について解説します。IDaaSとは何か、なぜ今注目されているのか、どのように選定・導入すべきかについて、実践的な知識を提供します。




IDaaSとは?クラウド時代の認証基盤




IDaaSの基本概念

IDaaS(アイダース)とは「Identity as a Service」の略で、アイデンティティ管理の機能をクラウドサービスとして提供するものです。簡単に言えば、ユーザーIDや認証、アクセス権限などを一元的に管理するクラウドサービスと考えてください。


IDaaSの主な機能は以下の通りです


  • 認証機能:IDとパスワードの管理、多要素認証(MFA)

  • シングルサインオン(SSO):1回のログインで複数サービスにアクセス

  • ID管理:アカウントのライフサイクル管理(作成・変更・削除)

  • アクセス制御:各サービスの利用権限の管理

  • 監査・監視:ログイン履歴やアクセス履歴の記録・分析



従来のID管理との違い

IDaaSが注目されている背景には、以下のような企業のIT環境の変化があります:


1. クラウドサービスの増加:様々なSaaSを利用する企業が増え、IDの管理負担が増大

2. リモートワークの普及:場所を問わず様々なデバイスからアクセスする働き方が一般化

3. セキュリティリスクの高まり:ID・パスワードを狙った攻撃の増加により強固な認証が必要に

4. ゼロトラスト化の流れ:「社内は安全」という前提を捨て、常に認証・認可を行うアプローチの普及



IDaaSが注目される理由

従来、企業のシステムアクセスは主に「Active Directory(AD)」などのオンプレミスシステムで管理されていました。Active Directoryとは、Windowsサーバーで提供される、企業内のユーザーアカウントやPCを一元管理するシステムです。社内のユーザー情報やグループ、コンピューターなどの情報を階層的に管理し、認証の基盤として機能します。


IDaaSと従来のActive Directoryとの主な違いは以下の点です:


  • 導入・運用コスト:サーバー構築不要でサブスクリプション型の課金

  • 運用負荷:クラウドサービスなので保守・運用の負担が軽減

  • クラウド連携:SaaSアプリケーションとの連携が容易

  • 場所に依存しないアクセス:リモートワークなど場所を問わない利用に適している



IDaaSを導入するメリット

IDaaSをゼロトラスト戦略の一部として導入することで、以下のようなメリットが得られます


  • セキュリティの強化: 多要素認証やリスクベース認証による認証強化、アクセスポリシーの一元管理

  • 管理の効率化: ユーザーアカウント管理の自動化、複数システムのアクセス権限の一元管理

  • ユーザー体験の向上: シングルサインオンによる利便性、セルフサービスのパスワードリセット

  • コンプライアンス対応: 詳細なアクセスログの記録と監査、権限レビューの自動化



主要なIDaaSソリューションの比較


IDaaSの市場には多くのベンダーが参入しています。自社環境に合ったソリューションを選ぶために、主要なIDaaSの特徴を比較してみましょう

製品名

特徴

適している環境

Microsoft Entra ID (旧 Azure AD)

Microsoft製品との高い親和性 条件付きアクセス機能 ADとの同期機能

Microsoft製品を多く使用している企業Office 365ユーザー ハイブリッド環境

Okta Identity Cloud

多数のアプリ連携 柔軟なカスタマイズ ベンダー中立性

マルチクラウド環境 特定ベンダーに依存したくない企業 柔軟なカスタマイズが必要な環境

OneLogin

使いやすいインターフェース 導入の容易さ 中小企業向け機能

中小企業 シンプルな管理画面を求める企業

Ping Identity

大規模環境向け 高度なカスタマイズ Enterprise向け機能

大規模な組織 複雑な認証要件がある企業 金融機関など

Google Cloud Identity

Google製品との連携 シンプルな管理 モバイル管理機能

Google Workspaceを使用する企業 モバイル管理が重要な企業



IDaaS導入のポイントと評価基準

IDaaSを選定する際の主な評価ポイントと、各項目の具体的な確認方法は以下の通りです


  • 既存システムとの互換性

    • 現在利用中の主要なSaaS/社内システムとの連携実績はあるか?

    • Active Directoryとの連携方式(同期、フェデレーション等)は何に対応しているか?

    • レガシーシステムへの対応方法は提供されているか?

  • セキュリティ機能

    • どのような多要素認証(MFA)オプションが提供されているか?

    • リスクベース認証の機能はあるか?また、どの程度カスタマイズ可能か?

    • セキュリティイベントの検知・対応機能はどうなっているか?

  • 管理性・操作性

    • 管理コンソールは日本語対応しているか?使いやすいか?

    • ユーザーのセルフサービス機能(パスワードリセットなど)は充実しているか?

    • ユーザーのライフサイクル管理(入社・異動・退職)の自動化機能はあるか?

  • 拡張性と柔軟性

    • APIは充実しているか?独自の連携開発は可能か?

    • ポリシー設定やワークフローはどの程度カスタマイズできるか?

    • 将来的な拡張性(ユーザー数、連携システム数)に制限はないか?

  • コスト構造

    • 基本料金とオプション料金の構成はどうなっているか?

    • ユーザー数増加に伴う追加コストは?

    • 初期導入費用(コンサルティング、構築支援)は必要か?

  • サポート体制

    • 日本語のサポート体制は整っているか?

    • サービスレベル(SLA)、特に可用性はどの程度か?

    • 導入支援、トレーニングプログラムは提供されているか?



導入プロセスのベストプラクティス

IDaaSを効果的に導入するための主なステップを紹介します


1. 現状分析と要件定義

  • 現状のID管理の調査(アカウント数、システム数、管理プロセス)

  • 必要な機能の洗い出し(優先度付け)

  • セキュリティポリシーの見直し

2. プロジェクト計画

  • 段階的な導入計画(フェーズ分け)

  • 移行計画とリスク対策

  • リソース配分と予算計画

3. パイロット導入

  • 小規模グループでの試験運用(IT部門など)

  • 主要アプリケーション3〜5個の統合テスト

  • ユーザー体験の評価とフィードバック収集

4. 本格展開

  • ユーザーグループごとの段階的展開(優先度の高い部門から)

  • トレーニングと変更管理(ヘルプデスク体制含む)

  • システム間連携の順次拡大

5. 最適化と継続的改善

  • 利用状況の分析と最適化

  • セキュリティポリシーの見直し

  • 新機能の評価と導入



よくある導入の課題と対策

IDaaS導入時によく発生する課題と対策をまとめました


課題1: 既存システムとの統合の複雑さ

対策:

  • 統合の優先順位を明確にし、段階的に進める(まずは利用頻度の高いシステムから)

  • 統合が難しいレガシーシステムは間接的な連携方法を検討

  • 業種・システム特性に合わせた統合実績のあるベンダーの選定

  • 十分なテスト環境で連携検証を行う


課題2: ユーザーの抵抗感

対策:

  • 事前の丁寧な説明とトレーニング(「なぜ必要か」の理解促進)

  • 利便性向上のメリットを強調(パスワード入力回数の減少など)

  • 段階的な機能導入(まずはシングルサインオンから始める)

  • サポート体制の充実(初期段階での手厚いヘルプデスク対応)


課題3: 認証ポリシーの複雑化

対策:

  • シンプルな基本ポリシーから始め、徐々に細かく調整

  • ユーザーグループとリソース重要度に基づく明確なポリシー設計

  • リスクベース認証の活用(リスクに応じて認証強度を変える)

  • 例外処理の仕組みと承認フローの整備




多要素認証とリスクベース認証




多要素認証(MFA)の実装

多要素認証(MFA)は、「知っているもの(パスワード)」に加えて、「持っているもの」や「本人の特性」を組み合わせた認証です。主な方式には以下があります


  • SMSワンタイムパスワード:携帯電話にコードを送信。導入は容易だが、SIMスワップ攻撃に弱い

  • 認証アプリ:Google Authenticatorなどで生成するコード。オフライン利用可能で比較的安全

  • ハードウェアキー:YubiKeyなどの物理デバイス。最も安全だが、紛失リスクと追加コストあり

  • 生体認証:指紋や顔認証など。利便性は高いが、専用センサーが必要


MFA導入のポイント

  • 特権アカウント(管理者)から段階的に導入

  • 複数の認証方式を用意し、ユーザーや状況に応じて選択できるようにする

  • デバイス紛失時や緊急時のバイパス手順を整備

  • ユーザーへの丁寧な説明とサポート体制の充実



リスクベース認証の活用

リスクベース認証とは、リスクレベルに応じて認証強度を動的に変化させる仕組みです。以下の要素を評価します


  • ユーザー要素:ログイン履歴、役割、権限レベル

  • デバイス要素:デバイスの種類、管理状態、健全性

  • 場所要素:IPアドレス、地理的位置、通常との一致度

  • 行動要素:アクセス時間、要求リソース、行動パターン


リスクレベルに応じた認証例

  • 低リスク:通常環境からの通常アクセス → パスワードのみ

  • 中リスク:未知の場所や時間帯 → パスワード + MFA

  • 高リスク:異常な行動パターン → 厳格なMFA + 追加確認


リスクベース認証を導入することで、セキュリティと利便性のバランスを取ることができます。



IDaaSとオンプレミス環境の連携

多くの企業では、クラウドとオンプレミス環境が共存しています。Active Directory(AD)とIDaaSの連携方法には主に以下があります


1. ディレクトリ同期

  • 仕組み:AD情報をIDaaSに定期的に同期

  • メリット:ユーザー情報の一元管理、既存AD資産の活用

  • 注意点:同期遅延、同期エラー対応

2. フェデレーション

  • 仕組み:認証リクエストをADに委任(ADが認証の主体)

  • メリット:パスワードをクラウドに保存しない、既存ポリシーの活用

  • 注意点:フェデレーションサーバーの可用性、構成の複雑さ

3. パスワードハッシュ同期

  • 仕組み:ADのパスワードハッシュをIDaaSに同期

  • メリット:フェデレーションサーバー不要、ADに依存しない可用性

  • 注意点:パスワードハッシュをクラウドに保存するセキュリティ考慮


選定のポイント

  • セキュリティポリシー:パスワード情報をどこで管理すべきか

  • 可用性要件:AD停止時のクラウドアクセスはどうあるべきか

  • 運用負荷:フェデレーション構成の維持・管理負荷は許容できるか




よくある疑問・注意点




Q1: IDaaSを導入すると既存のActive Directoryは不要になりますか?

A: 必ずしもそうではありません。多くの企業ではActive Directoryとの共存・連携モデルを採用しています。特にオンプレミスシステムが多い環境では、Active Directoryを維持しながらIDaaSと連携させるハイブリッド構成が一般的です。将来的にクラウド移行が進んだ段階で、徐々にActive Directoryへの依存度を下げていく方法もあります。



Q2: 多要素認証(MFA)を全社員に義務付けるとユーザーから不満が出ないでしょうか?

A: MFAの導入当初は「面倒になった」という声が上がることはよくありますが、適切な説明とサポートを提供することで受け入れられていくケースが多いです。導入のポイントは、①なぜ必要かの丁寧な説明、②できるだけ使いやすい方式の選択、③段階的な展開、④十分なサポート体制の確保です。セキュリティ意識の高まりとともに、むしろMFAがあることで安心という声も増えていきます。



Q3:  IDaaSの導入コストに見合った効果が得られるか不安です。ROIはどう考えればよいですか?

A: IDaaS導入のROI(投資対効果)は、直接的なコスト削減と間接的な効果の両面から考えるとよいでしょう。直接的には、①ID管理の自動化による運用コスト削減、②パスワードリセット業務の削減、③オンプレミスIDシステムの将来的な縮小などがあります。間接的には、①セキュリティ事故防止によるリスク低減、②ユーザー体験向上による生産性向上、③クラウド活用の加速などの効果があります。規模や環境によって異なりますが、特にセキュリティインシデントの防止効果は重要です。



Q4: クラウドにIDを管理させることにセキュリティ上の懸念はありませんか?

A: クラウドサービスにID情報を預けることへの懸念は自然なことです。しかし、多くの場合、専門のIDaaSプロバイダーの方が、自社で運用するよりも高いセキュリティレベルを維持できます。重要なのは、プロバイダーのセキュリティ認証(SOC2、ISO27001など)、データの暗号化、アクセス制御、監査ログなどをしっかり確認することです。また、特に機密性の高い情報に関しては、フェデレーション連携を使って認証自体はオンプレミスで行い、パスワード情報をクラウドに保存しない方式も選択できます。




まとめ:IDaaS導入のロードマップ



本記事では、ゼロトラスト実現の第一歩となるIDaaSの導入について解説しました。IDaaSは「アイデンティティ中心のセキュリティ」を実現する基盤となります。導入に際しては、以下のポイントを押さえましょう。


1. 現状分析と要件定義: 現在のID管理状況を把握し、必要な機能を明確にする

2. 適切なソリューションの選定: 自社のIT環境や要件に合ったIDaaSを選ぶ

3. 段階的な導入: 一度にすべてを移行するのではなく、段階的に進める

4. 多要素認証の実装: セキュリティ強化のためにMFAを計画的に導入する

5. 継続的な改善: 運用状況を監視し、ポリシーや設定を最適化し続ける


IDaaSの導入は、ゼロトラスト実現への重要なステップです。本記事を参考に、自社に最適なIDaaS導入を検討してみてください。


次回の「ゼロトラスト時代のセキュリティ 3: マイクロセグメンテーションの実装」では、ネットワークレベルでのゼロトラスト施策について解説します。

最後までお読みいただき、ありがとうございました!

​シリーズ

新卒エンジニア向けセキュリティ

新卒エンジニアの皆さんが押さえておくべきセキュリティの基礎を現場目線からわかりやすく解説しています。 ITセキュリティ分野について広く網羅しておりますのでこの記事さえ読んでもらえれば最低限エンジニアとしてのセキュリティの知識を得ることができるようになっています。 1. 社会人ITエンジニアとして最初に身につけるべきセキュリティの超基礎 2. 開発するなら知っておくべきセキュリティ設計の基本 3. 業務で使うツールのセキュリティリスクと対策 4. フリーWi-Fiは使っていいの?エンジニアが気をつけるべき通信の安全性 5. 新卒エンジニアのための脆弱性診断入門 6. ソースコード管理と情報漏えい対策 7. API開発時に気をつけるべきセキュリティの基本 8. ID・パスワードだけで大丈夫?認証・認可の基礎知識 9. Webアプリ開発者向け!SQLインジェクション・XSSの防ぎ方 10. もしもインシデントが発生したら?エンジニアのための緊急対応入門
新卒エンジニア向けセキュリティ

インフラセキュリティ

サーバーやネットワークを扱ううえで欠かせないインフラ領域のセキュリティ知識を、現場目線でわかりやすく解説するシリーズです。 サーバーやネットワークを中心としたインフラセキュリティ分野を広く網羅しており、本シリーズを通じて、エンジニアとしてインフラの安全を確保するために必要な基礎知識を、実践的な視点からしっかりと身につけることができます。 1. ゼロから始めるサーバーセキュリティの入門 2. 記事一本で押さえるネットワークセキュリティの基礎 3. まずはこれだけ!クラウドセキュリティの第一歩
インフラセキュリティ

ゼロトラスト時代のセキュリティ

このシリーズでは、「信頼しないことを前提とした設計思想」であるゼロトラストを軸に、実務で役立つ考え方や実装のポイントを、わかりやすく解説していきます。 単なる技術やツールの紹介ではなく、「なぜその考え方が重要なのか」「どんな視点を持つべきか」といった、本質的な部分に焦点を当てて解説します。このシリーズを通じて、これからの時代に求められるセキュリティ思考を身につけていきましょう。 1. 基本概念と設計思想 2. IDaaS導入とアイデンティティ管理 3. マイクロセグメンテーションの実装 4. エンドポイント保護の強化 5. ゼロトラストへの移行ロードマップ
ゼロトラスト時代のセキュリティ
bottom of page