2017.04.10

増え続ける認証情報、制御不能になる前にIDaaSで集約しませんか?

難易度
1
カテゴリー
技術ナレッジ
タグ
GMO
セキュリティ

170410_IDaaS_mv

こんにちは。フリーエンジニアの木下です。
仕事柄、システムをサービスイン(カットオーバー)する場面に立ち合うことがよくあります。その場面でユーザーから
「パスワードが複雑すぎる、覚えきれない。」
「パスワードが多すぎてどれがどのシステムか、覚えきれない。」
「そもそも、なんで何回もユーザー名とパスワードを入力しなきゃいけないの?」
といった話がよく出てきます。
最終的にはうんざりした様子で「またパスワードを覚えなきゃいけないのか…。」といったあきらめの声も。
せっかく業務を効率化するための道具としての新システム導入という、本来はうれしい場面のはずが、使う側としては”新しいユーザーIDとパスワードを覚えなきゃいけない”という事象に憂鬱な感情が先行してしまう方もいるようです。

そもそも、この「認証」という動作、もう少し便利にならないものでしょうか?

■まず、認証とは

一定の規模の企業ではActive Directoryによる認証を利用している一般的です。
例えば、業務端末であるWindowsのログオンにユーザー名とパスワードを利用しています。ちょっと進んだ企業では指紋認証といった生体認証の利用や、スマートカードと暗証番号(PIN)を組み合わせた二要素認証を利用している場合もあります。
企業内のイントラネットでは最終的にこれらの認証情報はActive Directoryの認証サーバーであるドメインコントローラに送られて、本人確認のために利用されることになります。
つまり、パスワードなり生体認証なりスマートカードなりで「本人であること」が確認され、本人であれば「その本人に許可されたシステム利用許可を付与する」という動作が認証の原則となります。

■近年の認証では

近年この認証が変化しています。主に使う側の負担が増えていると言えます。これは認証する対象のシステム(サービス)が爆発的に増えており、そのシステム(サービス)を使うために覚えておかなければならない認証情報も相対的に増加している、という現象です。
例えば、会社のPCを使うためのWindowsのユーザー名とパスワード、WindowsにログオンしてもそのPCで利用する社内システムは別途認証が必要というケースが多くあります。またインターネット上で展開されるサービスを利用するためには一般的にはメールアドレスをユーザーIDとした認証情報を入力しなければなりません。

前述のように認証の方法も多岐にわたることが多い現代では、あのシステムは生体認証、あのシステムはスマートカードが必要でPIN番号を入力して…、といった具合にシステムごとにどんな認証をしなければならないかを使う側が覚えなくてはならない、という側面もあります。
では社内で認証の方法を統一しよう、となった時に統一する方法はユーザー名とパスワードしかない、という状況になることが一般的です。

これは、どのシステム(サービス)であってもユーザー名とパスワードによる認証には対応しているのですが、別の生体認証やスマートカード認証には対応していないことが多い、というのがその理由です。つまり認証手順を統一したいのであればユーザー名とパスワードによる認証しか選択肢がない、ということになります。
使う側からすれば
「会社のコンピューターにログインすることで本人確認を済ませたはずなのに、どうして何回も同じ本人確認をしなきゃいけないの?」
という疑問が湧いてきます。

使う側の視点だけでなく、管理者側の視点でも、ユーザー名とパスワードをシステムの数だけ認証システムに用意しなければならない、という労力が増えています。例えば基本的な社内の認証はActive Directoryを利用しているのでドメインコントローラにユーザーの認証情報を登録しているのですが、Active Directoryで認証できない(例えばASPサービスやクラウド上のサービスなどの)システムは個別に認証情報となるユーザー名とパスワードを登録してActive Directory以外の認証情報を管理する必要があります。

例えば認証トラブルの際に、ユーザーから「ログインできないのですが?」と問い合わせを受けて対処する時に、どのシステムにログインできないのかを誤認してしまい、別のシステムの認証情報を一生懸命あれこれと触ってしまうこともあります。
管理する側も「なんで同じユーザーのIDとパスワードをあちこちのシステムに登録して回らなきゃいけないの?」という疑問が湧いてきます。

これだけ技術が進歩しているにもかかわらず、認証という分野においてはユーザーを識別する方法は「IDとパスワード」しかないことが主な要因です。結局のところ生体認証を導入するためには読み取りデバイスの導入と指紋や静脈のような生体情報の収集が必要になり、コストと労力が掛かります。スマートカードについてもカードを導入してカード情報を一括で管理する必要があり、そのためのコストと労力が掛かります。この認証のためのコストと労力を天秤に掛かると、他の方式と比べてユーザー名とパスワードは文字列をやり取りするだけで済むという手軽さによって広く使われています。
数十年もの間、このID&パスワード方式に取って代わる方法が主流とならないことから、「認証」においては今後もこのID&パスワードの管理からは逃れられないと言えそうです。

■逃れられないからこそ、IDaaSが注目

すべてのサービスは認証によって本人確認をしなければならない、しかしその認証に掛かる労力が増えている、こういった課題に対する1つのソリューションとして最近注目されているのが「IDaaS」という仕組みです。Identity as a Serviceの略でIDaaSと表記されます。認証(ID)に特化したSaaSのようなイメージです。

IDaaSはまずこの利用しているユーザー名とパスワードを一カ所に集約することができます。簡単に言えば「たくさんあって覚えられないのなら一カ所に束ねてしまおう」という発想です。「いくつも登録して回るのが大変なら一カ所に登録するだけで対象システム全部の認証情報を作成してしまおう」とも言えます。
IDaaSの対象システムであれば、IDaaSにユーザーの認証情報を登録することによって、IDaaSで認証できる範囲内のシステム(サービス)を利用する時には再度認証をする必要性がなくなります。これによってIDaaSにログインする方法をたった1つ用意すれば他のシステムへの認証はIDaaSにお任せすることができます。これをシングルサインオン(SSO)と呼びます。

また、IDaaSを利用すれば管理者は認証管理の対象をIDaaSに集約することができます。つまり内部ユーザーのアクセス履歴を監視・管理するためには、従来であれば個別にシステムの認証ログを確認する必要性がありました。システム(サービス)の数だけログを監視・管理しなければならなかったのがIDaaSで集約することによって、認証情報を監視するためにはIDaaSで集約された認証ログを監視すれば良い(※)、ということになります。
※ただし、権限を有する内部ユーザーを監視するためであり、悪意のある第三者の攻撃を検知するためには当然個別のシステム(サービス)側でのログ監視も必要となります。

ユーザー視点で言えば「会社のコンピューターで認証することで本人確認を実行したのだから、会社の資源へのアクセスにおいて再度認証をしなくて済む」という点が大きなメリットとなります。つまりユーザー視点で使うIDとパスワードは1つだけで済むことになります。
管理者視点で言えば「同じユーザーのIDとパスワードをあちこちのシステムに登録して回る必要がなくなる。」という点が大きなメリットとなります。つまり1人のユーザーに会社の資源を提供する場合に、IDaaSにユーザーIDを作成することで、他のシステム(サービス)にはIDaaSが自動的にログイン可能な認証情報を用意してくれるようになるからです。

■アクセスコントロール

IDaaSのもう1つの特徴がアクセス元の識別です。クラウドシステムを導入した企業で「私物のPCやスマートフォンからのアクセスは拒否したい」という需要をよく耳にします。クラウドシステムはインターネット上に配置されたリソースなので「どこからでもアクセスができることが最大のメリット」なのですが、これが仇となってしまうことがあります。どこからでもアクセスできるということはアクセス権を付与されたユーザー名とパスワードさえあれば私物PCに会社のデータをダウンロードすることも可能になる、ということです。

このような場合には例えば「会社貸与のPCやスマートフォン以外からアクセスはさせたくない、しかしモバイル利用はさせたい。」と相反する需要が出てきます。アクセス元となるネットワークは選ばないがアクセス許可するデバイスは制限したい、というケースです。このような場合、伝統的な方法ではアクセス元のIPアドレスで制限する以外に選択肢がありませんでした。しかしIPアドレスによるアクセスの制限はあまり融通が利かないため、利便性が損なわれてしまうor効果的な制限とならないというトレードオフの関係にあることが多くありました。

これがIDaaSですと、そのユーザーがアクセス可能なIPアドレスや時間帯、端末やそのアクセス方法を細かく設定することが可能になり、「このユーザーはモバイル許可ユーザーなのでIPアドレスは制限なし、端末を会社貸与のPCとスマートフォンに限定する。」「グループ会社の社員用にIDを発行する場合にはグループ会社のIPアドレスからのアクセスだけを許可する」といったアクセスコントロールが可能になります。つまり認証をするための前提条件として「あらかじめ承認されたネットワーク内」から「あらかじめ承認されたデバイス」を利用してアクセスすることを条件とすることができるようになる、という点も見逃せないポイントとなります。

■まとめ

■ 認証は「使っても良い本人」を確認するために、システムにおいて必要となる重要なアクションです。
近年、認証をする機会・回数が爆発的に増えています。またその方法も多様化・複雑化しており、使う側も管理する側も労力が増えていることが多くあります。
 生体認証やスマートカードなど、新たな認証方式が誕生してはいますが、導入や運用にハードルがあって、結局ユーザー名とパスワードをマッチングさせる方式が中心になっています。
 IDaaSはシステム(サービス)ごとに散在しているユーザー名とパスワードを一カ所に集約することが可能になります。
IDaaSで「承認されたネットワーク」や「承認されたデバイス」を条件として、アクセスコントロールで従来のようにIDとパスワードを使ってアクセス権を有する内部ユーザーが私物のデバイスから会社のシステムにアクセスすることを防ぐことも可能になります。

ID&パスワード方式の運用管理から逃れられないのであれば、せめてその運用管理を効率的に実施するためにIDaaSで集約する、という方法はオンプレミスからクラウドにシステム(サービス)の移行が促進されるであろう未来においては、検討の価値があるサービスと言えます。

この記事を書いた人

木下肇

木下肇

東京/神奈川を中心に、都内中堅企業ではシステム部門の一員として部内インフラ業務に、別の小規模企業ではインフラ全般について管理業務の委託を受けるフリーエンジニア。オンプレミスの企業内インフラからクラウド環境のサーバ/ネットワークまで、OS守備範囲はWindowsからLinuxまで、障害の診断や修復/修理であればソフトからハードまで、幅広い守備範囲で日々お客様の業務を遂行しています。
お仕事のご相談はコチラ⇒http://www.treedown.net/

インタビュー記事

この記事を書いた人

木下肇

木下肇

東京/神奈川を中心に、都内中堅企業ではシステム部門の一員として部内インフラ業務に、別の小規模企業ではインフラ全般について管理業務の委託を受けるフリーエンジニア。オンプレミスの企業内インフラからクラウド環境のサーバ/ネットワークまで、OS守備範囲はWindowsからLinuxまで、障害の診断や修復/修理であればソフトからハードまで、幅広い守備範囲で日々お客様の業務を遂行しています。
お仕事のご相談はコチラ⇒http://www.treedown.net/

IoTの窓口

docker-tips_bnr

writer