公開日:|更新日:
特に近年はサイバー攻撃の高度化やリモートワークの普及により、統合ID管理への重要度はかつてないほど高まっています。クラウドサービスにおいては、インターネットを前提とした「開かれた環境」であり、世界中の脅威にさらされる以上、国際的なセキュリティ基準に準拠したソリューションを選択することが不可欠です。次のサイバー攻撃を止めるための統合ID管理システムの選び方を紹介します。
ID管理を自動化して、手作業によるアカウント管理から解放されたい。でも、どの製品が自社の複雑なシステム環境や運用に合うのかわからない。そんなときは「自社が今抱えている課題」から選ぶのが正解です。管理対象システムの特性、人事ワークフロー、セキュリティ要件など、課題ごとにオンプレミスなのか、クラウドなのか、といった導入パターンは明確に分かれます。ここでは、オンプレミス・クラウドといった導入パターン別におすすめの統合ID管理システムをご紹介します。
オンプレミス型SaaSだけでなく
社内システムもID一元管理
複雑な社内システムと
人事フローを自動化するなら
引用元:アイピーキューブ公式サイト
https://ip3.co.jp/
既存状況や課題
特徴
クラウド型クラウドネイティブな
ID管理基盤
SaaS中心の環境で、
管理をスマートに自動化したいなら
引用元:Okta Japan公式サイト
https://www.okta.com/ja-jp/
既存状況や課題
特徴
従業員の入社、異動、退職。そのたびに繰り返されるIDの棚卸しと権限設定に、多くの時間を費やしていませんか?統合ID管理システムの「正解」は、すべての企業に1つではありません。なぜなら、企業ごとに管理対象のシステム、人事運用フロー、そして将来のIT戦略が違うからです。「Active DirectoryとSaaSの人事連携を自動化したい」「複雑な承認フローをシステム化したい」── それだけではありません。たとえば、こんな課題はありませんか?
自社の課題に合った統合ID管理システムを選ぶには、「オンプレミスが合うのか?クラウドが合うのか?」という視点が欠かせません。ここからは、オンプレミス対応の「EntryMaster」、クラウド管理の「Okta」について、それぞれ詳しく解説します。
オンプレミス型
SaaSだけでなく社内システムのIDも柔軟に連携
複雑な社内システムと人事フローを自動化して、
運用負荷を抜本的に削減したいなら
引用元:アイピーキューブ
https://ip3.co.jp/
EntryMasterは、Active DirectoryやSaaSはもちろん、クラウド型IDaaSでは連携が難しい独自開発の業務システム、各種パッケージソフト、メインフレームなど、社内に存在する多様なシステムとのID連携を柔軟に実現します。既存システムに合わせて連携方式を選択できるため、環境を大きく変えることなくID管理を統合できます。
EntryMasterは、日本企業に多く見られる複雑なIDライフサイクル管理に対応できるID管理ソリューションです。IDの登録・削除や権限・ロール設定などの申請・承認のワークフローも柔軟に構築でき、人事異動や組織改編に伴うIDの改廃を自動化。内部統制の強化と管理業務の効率化を支援します。
EntryMasterは、各種マスタ情報(組織マスタ、所属マスタ、権限マスタなど)と連携してID情報を管理することで、入社から退職までのIDライフサイクルを一元管理。社員だけでなく、非正規社員や出向者などのID管理にも対応します。オンプレミス型のため、機密性の高い人事情報を社外に出すことなく、セキュアな環境で確実なIDプロビジョニング(作成・更新・削除)を実行できます。
近畿労働金庫では、多様な社内システムと連携するID統合管理システムとしてEntryMasterを導入。従来、手作業で行っていた人事異動に伴うID管理作業を自動化しました。これにより、年2回の大規模な人事異動時における深夜作業が不要になるなど、日々の管理工数を「1時間」から「5分」へと劇的に短縮。金融機関に求められる厳格なセキュリティと業務効率化を両立しています。
※参照元:アイピーキューブ公式HP(https://ip3.co.jp/case/3378/)
株式会社イシダでは、Microsoft 365などのSaaS利用拡大に伴い、グループ会社ごとに異なるID管理の運用が課題となっていました。EntryMasterを導入することで、ID棚卸し業務やユーザーID数のレポート作成を自動化し、従来数日かかっていた作業を数分で完了。不要IDの放置を防ぎ、セキュリティリスクを大幅に低減しました。さらに、統一されたID管理基盤により、グループ全体での運用標準化を実現しています。
※参照元:アイピーキューブ公式HP(https://ip3.co.jp/case/3287/)
クラウド型
クラウドネイティブなID管理基盤
SaaS中心の環境で、管理をスマートに自動化したいなら
引用元:Okta Japan公式サイト
https://www.okta.com/ja-jp/
Oktaは、WorkdayやSAP SuccessFactorsなどの人事システムやActive Directoryを「正(マスター)」として連携し、従業員の入社・異動・退職に合わせて、Microsoft 365, Salesforce, Slack, Zoomなど多数のSaaSのアカウントを自動で作成・更新・停止(プロビジョニング)します。手作業によるミスやタイムラグをゼロにし、退職者のアクセス権も即座に剥奪できるため、セキュリティリスクを大幅に低減します。
「Okta Integration Network (OIN)」と呼ばれる7,000以上の事前連携テンプレートが用意されており、主要なSaaSであればプログラミングやAPI開発なしで即座に連携可能です。SCIM(ID管理の標準規格)に対応していないアプリケーションであっても、柔軟な連携オプションによりID管理の一元化をサポートします。
クラウドネイティブなアーキテクチャであるため、サーバーのメンテナンスやバージョンアップ作業は一切不要です。企業の成長に合わせて柔軟に拡張でき、常に新しい機能とセキュリティ対策が適用されます。世界中の先進企業で採用されているベストプラクティスを、そのまま自社の環境に適用できる点も大きなメリットです。
株式会社メルカリでは、組織の急拡大に伴い、従業員の入社時に発生する多数のSaaSアカウント発行作業が大きな負担となっていました。OktaのLifecycle Management(ID管理)機能を導入することで、入社手続きに伴うアカウント作成や権限付与を自動化(ゼロタッチ化)。手作業によるミスをなくし、新入社員が即座に業務を開始できる環境を整備するとともに、管理者の工数を劇的に削減しました。
※参照元:Okta公式HP(https://www.okta.com/jp/customers/mercari/)
株式会社NTTデータは、グローバル55カ国・約14万人の社員が利用するセキュリティ基盤としてOktaを採用。世界中の拠点やグループ会社でバラバラに管理されていたID認証システムをOktaに統合しました。これにより、グローバル全体での厳格なIDガバナンス(統制)を確立。退職者IDの適切な削除や、セキュリティポリシーの統一運用を実現し、大規模組織におけるID管理の課題を解決しています。
※参照元:Okta公式HP(https://www.okta.com/jp/customers/ntt-data/)
【マンガで徹底解説】
統合ID管理システムの選び方
オンプレミス型にするべき企業って?
IP3-ACEでは、統合ID管理機能をID管理製品「EntryMaster」で実現しており、ユーザーを一元管理し、他のシステムやクラウドサービスにユーザー情報を連携することが可能。IP3-ACEの多要素認証(MFA)製品やSSO製品も自社開発しているため、UIなど運用管理機能の統合など管理者としての使いやすさの点で強みを持ちます。
LDAP Managerは、他システムに連携しユーザーの登録・更新・削除を一箇所で管理するが、他システムに連携増加するシステムに対しても拡張できる柔軟性は魅力。またエクスジェン・ネットワークスはID管理を専業で製品開発やサービス提供をしています。
ThemiStructは、アカウント情報を一元管理するOpenIDMベースのID管理ソリューション。SCIMの技術仕様に準拠したアカウントの登録・参照・変更・削除といったIDメンテナンスを行うことが可能です。
人事データベースの人事情報との連携やシステム管理者による新規ユーザーの登録、パスワードポリシーの設定などさまざまな機能を搭載しています。日本独特とも言える年度末での異動や階層構造にも対応している点も特徴です。
ID管理をメインとするID同期システム「結人」はさまざまなデータ形式の違いに合わせシステム間のデータ同期が可能。また、ID統合システム「束人」は、IDパスワードの一括登録、操作・変更ログ管理、閲覧システムなどによりID管理の運用を行えます。
企業の内部で使用されるID情報を管理するとともに、認証を一元化することが可能。ID・パスワードによって管理されているシステムと統合ID管理システムを連動することによって、全体の最適化を実現していきます。
統合ID管理とは、IDやパスワードなどのユーザー情報を一元管理するシステムのことです。統合ID管理システムから複数のアプリケーションにユーザー情報を配布・連携できるなど利便性を高めるとともに、セキュリティ対策面でも役立ちます。また、管理者の稼働や手間を大幅に減らすことが可能であり、利用者のパスワード管理などの利便性も向上するため業務の効率化にも繋がります。
クラウド型は初期費用も低コストで迅速な導入が可能なメリットがあります。一方オンプレミス型はカスタマイズ性が高く、ランニングコストを抑えられ、社内のオンプレミス型のシステム連携も柔軟に対応できます。それぞれ企業のニーズやシステム利用期間(例えば、5年間)でのトータルコストを考慮して、提供形態を検討しましょう。
統合ID管理を実現できるシステム範囲は、製品・サービスによって異なります。シングルサインオンとあわせて導入する場合、統合ID管理とシングルサインオンの両方の対象システムを網羅できるかが重要です。製品・サービスによってどのようなシステムと連携が可能かを確認し、自社のニーズを満たせる製品・サービスを選びましょう。
ライフサイクル管理は、IDの登録・変更・削除など、IDが生成されてから消滅するまでのライフサイクル全体を管理するものです。異動・休職・出向など様々なイベントへの柔軟な対応や対応コストなどを確認することも重要です。
拡張性と互換性を見極めて、ビジネス成長に伴うシステム変更や処理性能の向上などにも柔軟に対応できる製品・サービスを選びましょう。
IDの不正利用や情報漏洩を防ぐためにも、多要素認証などのセキュリティ機能が利用可能か、利用時のコストなどを確認しましょう。
ID管理を円滑に運用していくには、ベンダーの適切なサポートが欠かせません。不明点やトラブル対応をしっかり確認できる問合せ先があるかどうかも重要なポイントです。特に海外のサービスを利用するときは、日本語でのサポート対応が可能かどうかを確認しましょう。
GDPR、HIPAA、CCPAなど、地域や業界によって異なる法規制が存在します。これらの法規制に適合する必要があるかを検討し、適合する必要がある場合には、ユーザーの同意やデータの取り扱いに関する要件にも留意する必要があります。
自社に合った統合ID管理システムを選ぶ第一段階として、まず「オンプレミス型」と「クラウドサービス型」のどちらがふさわしいかを考えてから個別のシステムを検討する方法をおすすめします。
企業ごとに必要なシステムは異なっており、自社のセキュリティポリシーや規模、方針を把握することではじめて最適な製品やサービスを検討することが可能になります。
製品型の統合ID管理システムはオンプレミスやクラウドにサーバー環境を用意し、自社専用の統合ID管理システムを構築します。導入する際は初期費用が発生し、製品等の保守費用も必要です。
サービス事業者が提供するクラウド上に構成された統合ID管理システムを利用します。サーバー環境を用意する必要はありませんが、統合できるのはサービスを利用するアカウントのみで、毎月の利用料など定期的な支払いが必要です。
統合ID管理システムは、統合認証システムの構成要素のひとつです。
統合ID管理システムがユーザーのID情報・認証情報を管理し、シングルサインオンや多要素認証システムがその情報を利用して認証とアクセス制御を行います。
ここでは、統合ID管理システムも含む「統合認証システム」に焦点をあてて、オンプレミス型をえらぶべき企業の姿に迫ります!
近年、クラウド型統合認証サービス(IDaaS)を導入する企業が増えていますが、データセキュリティやプライバシーへの懸念、既存システムとの互換性の問題などから、すべての企業がIDaaSを選んでいるわけではありません。特に、大手企業や金融機関、公共機関などでは、セキュリティやコストの観点からオンプレミス型統合認証システムが最適と考えて採用しています。
オンプレミス型統合認証システムを選ぶ場合でも、必ずしも社内にサーバを設置する必要はありません。クラウドサービス(IaaS)上に独自の統合認証システムを構築することも可能です。
いずれにせよ、自社に合った統合認証システムをしっかり選択することが重要です。そこで、オンプレミス型統合認証システムが選ばれる”4つの理由”を解説します。
オンプレミス型統合認証システムは、既存のオンプレシステムと緊密に連携できるため、一元管理がしやすくなります。IDaaSではオンプレとの連携が難しい、あるいは制限がある場合がありますが、オンプレミス型ならネットワーク遅延やセキュリティリスクを最小限に抑えながら統合管理が可能です。
特に、既存のオンプレシステムを統合したい企業には適しています。また、オンプレミスだけでなく、クラウドサービス(SaaS)も統合管理できるのもメリットの一つです。
オンプレミス型統合認証システムは、IDaaSに比べてカスタマイズの自由度が高く、自社の運用や特定のニーズに応じた基盤を構築できます。IDaaSでは標準化された機能に制約される場合がありますが、オンプレミス型なら独自の要件やセキュリティポリシーに合わせた柔軟な設計や設定が可能です。これにより、業務効率の向上やセキュリティ強化が図れ、自社に最適な統合認証基盤を作ることができます。
また、オンプレミス型統合認証システムを選ぶ理由として、「データの保護が重要」「最新技術の追従・採用に優れている」といった意見があります。セキュリティ性と最新技術の取り入れやすさの理由から、一度はIDaaSに移行した企業でも、オンプレミス型に戻るケースが見られます。
IDaaSは、1ユーザ当たりの利用料金(月額・年額)によるサブスクリプションプランが一般的です。そのため、ユーザ数が増えると、ランニングコストが大幅に跳ね上がることがあります。また、オンプレシステムとの統合や追加機能の利用により、初期費用も含めたトータルコストが高額になる場合があり、数年間で見た場合にはオンプレミス型統合認証システムよりも高くなる傾向があります。
統合認証システムは企業の重要な基盤であり、簡単にリプレースすることはできないため、初期費用だけでなく、中長期のトータルコストを考慮して選ぶことが大切です。特に、ユーザ規模が大きい場合は、トータルコストを抑えやすいオンプレミス型統合認証システムが有効な選択肢となります。
さらに、企業が成長しユーザ数が増加した場合の追加コストも重要なポイントです。ユーザ数無制限のライセンスプランを提供するオンプレミス型統合認証システムを選ぶことで、将来的なコスト削減につながるでしょう。
自社内でデジタル資産を管理することで、セキュリティとガバナンスの両面を強化できる点も、オンプレミス型統合認証システムを選ぶ大きな理由の一つです。IDaaSにおいてもセキュリティに大きな差がない場合はありますが、デジタル資産を自社管理下に置く方が適切と考える企業が多いのも事実です。特に、オンプレミスのノウハウや体制が整っている企業では、セキュリティの要となる認証情報やID情報を自社で管理する方がベターだと判断することがよくあります。
また、クラウドサービスの運用スキルが不足している場合、セキュリティやガバナンスを十分に確保した運用が難しいため、オンプレミス型統合認証システムを選択するケースも少なくありません。
セキュリティ・ガバナンスを強化できる
オンプレミス型製品をチェック
自社のデータ管理において、セキュリティやパフォーマンスに対する要求が高い場合や、中・長期的なコスト効率を重視する場合、オンプレミス型統合認証システムが最適な選択となるケースも多いでしょう。IDaaSは手軽さや初期費用の低さが魅力ですが、重要なのは自社にとって最も優先すべき要素を見極め、最適なソリューションを選ぶことです。IDaaSの利用が進む一方で、オンプレミス型統合認証システムは依然として最適な選択肢の1つとして存在し続けています。
統合ID管理とは、複数サービスのIDを一元管理することを指します。ユーザビリティの向上だけでなく、セキュリティの強化もできるため複数のサービスを運営しているならぜひ取り入れたい管理方法です。
統合ID管理を行う場合には、MicrosoftのActive Directory(AD)やLDAPといったディレクトリサービスを利用することによって、ユーザー情報を階層構造で整理します。この点により、認証やアクセス制御を容易に行えるようにします。 さらに、近年ではOktaやMicrosoft Entra ID(旧Azure AD)などのようなクラウドベースの統合ID管理プラットフォームも普及しているため、オンプレミスとクラウドの両方の環境をシームレスに接続できるようになっています。
企業が顧客向けに複数のサービスを提供している場合に、そのサービスで使用する複数の顧客IDをひとつのIDとして統合することを「顧客ID統合」と呼びます。
例えば、ある企業でECサイトやアプリの提供など複数のサービスを運営しているとします。それぞれのサービスで個別の会員登録を行っている場合、利便性が高いとはいえません。このような場合に、顧客IDをひとつに統合することで、利便性を高められます。
企業では、さまざまなサービスの提供によって顧客との接点を作ってきました。しかし、その中では同じ企業にもかかわらずサービスごとにID登録が必要になるケースも出てきます。そうなると、ID登録に手間がかかることに加えて、どのIDやパスワードを使用していたのかわからなくなってしまい、利便性や顧客満足度の低下を招く可能性があります。
さらに、近年ではサードパーティクッキーの規制や販売チャネルの多様化、人口減少などの背景から、企業が顧客データを自社で入手した上で活用する機会が増えているなどの点も背景として考えられます。企業側が顧客データを一元化することによって、さまざまな規制やプライバシーに配慮しながら適切な管理を行えるようになる点に加えて、ターゲティングの精度を高める、顧客のニーズに対応したサービスの提供が可能になるといった面もあります。
ID管理とは、企業において社員が業務に利用しているシステムやPC、アプリケーション、サービスなどを利用する際に必要となるアカウント情報の管理を行うことを指します。例えば、アカウント情報の登録・変更・削除やアクセス権限の付与などが該当します。ここで管理される情報には、「ID」「パスワード」「メールアドレス」「社員番号」「所属」「役職」「内線番号」など、さまざまなものが含まれます。
近年では、企業は不正アクセスをはじめさまざまな脅威にさらされている状況です。セキュリティを高めて企業の重要な情報を守るには、上記のような情報をしっかりと管理することが非常に重要であるといえます。
ID管理システムの活用によってユーザ認証やアクセス権限の管理を一元化できますし、リアルタイムでの監視・レポーティングも行えるようになります。そのため、不正アクセスの防止やデータ漏洩リスクを低減させるなど、セキュリティ面での強化につながります。
コンプライアンスの観点からも、ID管理の徹底には大きなメリットがあります。例えば、不適切なID管理を行っているとコンプライアンス違反と見なされるケースがあるように、業界規制や法律ではデータ保護・アクセス制御に関して厳格な要件を定めています。ID管理システムの導入によって、企業のコンプライアンスを確保しながら、システムの運用効率を向上させられます。
新しいユーザーのオンボーディングから、アクセス権の変更作業、退職者が出た際の処理など、アカウントにまつわる業務にはさまざまなものがありますが、ID管理の一元化によって管理業務の効率化につなげられます。この点から、ITチームでは負荷を軽減でき、他のタスクに集中できるようになります。
ID管理システムの導入は、従業員の利便性向上にもつながります。例えばシングルサインオン(SSO)機能が使用できるようになると、1回のログインにより複数のサービスやアプリケーションを使用できるようになります。従業員はいくつものIDやパスワードを記憶しておく必要がなくなるため、業務にもつながっていきます。
現在、リモートワークを導入している企業も多くあります。このような企業の場合、ID管理システムの導入によりリモートワーク環境における安全なアクセスを実現できます。この点から、場所に左右されることなくセキュアなリモートアクセスの実現が可能となるため、より柔軟な働き方につなげられます。
ID管理システムを導入・運用するにあたっては、システムの購入費や設定・管理・運用に関わるコストが発生するため、この点が負担となる可能性があります。また、導入と運用にあたってはリソースも必要となりますが、専門的なスキルを持つスタッフがいない企業の場合は新たな人材を雇用するなど、人件費も発生するといったケースも考えられます。
さまざまな機能を搭載しているID管理システムは、導入により多くのメリットが得られますが、設定や管理が複雑になるケースもあります。さらに、組織が成長するに伴ってユーザーの管理やポリシーの更新を行う必要があり、さらに複雑になっていく可能性が考えられます。
システム障害が発生した場合のリスクも考える必要があります。ID管理システムの場合、ひとつのIDデータリストによって複数のシステムを管理するため、サーバの障害などが発生するとシステムを利用できなくなる可能性もあります。
また、地震や火災などの災害によってシステムがダウンした場合にも、登録しているサービスやアプリが全て利用できなくなる可能性も否定できません。そのためダウンした場合のサポートなど、万が一の状況が発生した場合の対応はあらかじめ確認しておくことが大切です。
管理システムが一元化されていることから、セキュリティのリスクが集中してしまう点はデメリットといえます。もしひとつのシステムが攻撃を受けた場合、全体のデータが危険にさらされてしまうといった面があります。
ID管理システムに限らず、新しいシステムを導入する場合にはそのシステムを利用する従業員に配慮する必要があります。中には、新しいシステムになかなか慣れられなかったり、使い方がわからなくなってしまったりするケースもあるかもしれませんが、システムを効率的に運用するには、ユーザーの慣れと受け入れがポイントのひとつといえます。
そのため、あらかじめ操作マニュアルを用意する、導入に際して説明会を行う、社内の問い合わせ窓口を設置しておくなど、スムーズな使用につなげるための対応が必要となります。
現在、さまざまなID管理システムが各社から提供されています。しかし、それぞれの企業における特定の要件や、IT環境などに合ったシステムを選ぶのが難しい可能性もあります。場合によってはシステムのカスタマイズや調整を行うことが必要となってくるケースもあり、追加のコストと時間がかかることにもつながります。
ID管理ツールの導入において、適切にトレーニングや研修が行われていないと従業員が正しくツールを使用できず、結果としてコンプライアンス違反が発生してしまう可能性も考えられます。システムの操作方法やポリシーの理解が十分ではない場合には、データの入力を誤ったり、アクセス制限において不適切な設定が行われたりすることがあります。
さらに、企業のニーズや業務フローに合わないシステムを選んでしまった場合には、運用上の問題が発生してコンプライアンスの遵守が難しくなる可能性も考えられます。
以上の点から、システムの導入にあたっては事前に十分な検討と準備を行い、コンプライアンス要件を満たせるシステムを選択することが大切です。
自社のサーバにシステムを導入するタイプが「オンプレミス型」です。このタイプを導入する場合には、サーバの構築や初期設定を行う必要がありますが、カスタマイズ性が高いこと、さらに企業で使用している既存システムとの連携が行いやすい点が特徴といえます。
システムとサーバがセットで提供されるタイプが「アプライアンス型」です。このタイプを導入する場合には、自社でサーバを用意する必要がありませんので、上記で紹介しているオンプレミス型と比較すると導入時のコストが抑えられる点がメリットです。
インターネットを介してサービスが提供されるタイプを「クラウド型」といいます。このタイプの場合、システムはクラウド上に構築されることから比較的安価に構築可能です。また、高い拡張性を持っている点が特徴のひとつであり例えば企業規模が大きくなった場合や将来的な事業展開などに対しても柔軟に対応できます。
加えて、他のクラウドサービスとの連携や、シングルサインオン(SSO)での認証も行えます。
企業においてはさまざまなシステムやサービスを使用しながら業務を進めていくことになるため、ID管理が煩雑になりがちです。しかし、ID管理システムの導入によってIDやパスワードを効率的に管理し、さらに業務効率の向上も可能となります。
このように、導入によってさまざまなメリットが得られるシステムですが、導入にあたっては自社に合ったものを選ぶことが大切です。どのような目的に応じた機能を備えているかといった点に加えて、システム連携ができる範囲やシングルサインオンに対応しているか、アクセスコントロールや認証方法の強化が可能かなどさまざまな点について確認した上で、導入するシステムを検討することが大切です。
ID管理システムの導入・運用によって情報システム管理の担当者の負担を軽減し、さらに従業員にとっても使いやすい環境の構築が可能となります。ぜひ自社に合ったシステムの導入を検討してみてください。
