マクニカ

ゼロトラストによる対策を支える
IDaaSに求められる不可欠な要件とは

DX推進を背景にクラウド活用が進み、一方ではコロナ禍に伴いテレワークが企業の間に浸透している。
そこでは「ゼロトラスト」に基づくセキュリティー対策が不可欠となっている。
「Okta」は、対策の中核となるユーザーの認証・認可を担うIDaaS(Identity as a Service)として、
グローバルな市場で高い評価を獲得。
強固かつ柔軟な認証基盤を、より俊敏に構築し効率的に運用していける各種機能を提供している。

ゼロトラストの対策を支える
IDaaSのグローバルスタンダード

株式会社マクニカ ネットワークス カンパニー 第3営業統括部 第2営業部第1課 原 昂汰氏
株式会社マクニカ
ネットワークス カンパニー
第3営業統括部 第2営業部第1課
原 昂汰
 DXの推進やコロナ禍を受けてクラウド活用やテレワークが企業の間に浸透する中、「ゼロトラスト」の考え方に基づくセキュリティー対策へのシフトが加速している。ゼロトラストは、ネットワーク境界内部を“トラスト(信頼できる)”、外部を“アントラスト(信頼できない)”状態にあるとする従来の境界防御の考え方とは異なり、「Never Trust, Always Verify(決して信頼せず必ず確認せよ)」、すなわち境界の内部/外部を問わずアントラストな状態であるとの前提に立ち、常にユーザーやデバイスについて明示的な検証を行うべきという考え方だ。

 「ゼロトラストによる対策の核となるのがIDで、『IDが企業の新しい境界になる』ともいわれています」と語るのはマクニカの原 昂汰氏だ。言い換えれば、IDの基盤をしっかり整備することが、ゼロトラストによる対策の前提といってもいい。そして、同領域を担うソリューションとして、企業の間で急速に導入が進んでいるのが「IDaaS」である。

 IDaaSのパイオニア的存在として、グローバル市場でも高い評価を獲得しているのが、マクニカが一次代理店として提供している「Okta」だ。Oktaは全世界で1万5,000社の採用実績があり、国内でも既に数百社が採用しているという(図1)。

既存システムの
統合を行わず
共通認証基盤化

 そうしたIDaaSに求められる要件の1つ目に挙げられるのが、「複雑な既存ID環境の統合に対応できるか」という問題である。現在、多くの企業が、グループ企業ごと、海外拠点ごとにActive Directory(以下、AD)を運用している。さらにほかのLDAPベースのディレクトリシステムや人事システムなど、AD以外のユーザー情報ソースが存在していることも少なくない。

 「そうしたケースで、IDaaSを全社共通の認証基盤として使おうとすると、まずは散在するユーザー情報のソースをオンプレミス環境で単一のADに統合した後、それをIDaaSに同期する形となります。しかしそうしたプロジェクトは、拠点間の様々な調整など、きわめて大きな困難を伴うものになることは、容易に想像いただけると思います」と原氏は言う。

 これに対しOktaでは、必ずしも単一のADに統合することなく、分散化された既存のユーザー情報ソースからIDaaSへの同期を可能にしている。したがって、乱立するADを事前に統合する作業は不要となり、プロジェクトが簡素化できる。「あるお客様企業では、IDaaSへのID環境統合プロジェクトで、300時間以上の短縮を実現し、工数も6分の1に圧縮できました」と原氏は紹介する。

 また、「マルチドメインやグローバル環境における認証ガバナンスの統制に対応できるか」も、IDaaSの重要な要件だ。これは要するに、IDaaSが海外を含むグループの各拠点で運用されているケースで、統一化された認証統制をいかに実現するかという問題だ。

 「認証におけるグローバルガバナンスの統一を目指す場合、これまでのアプローチとしては、各拠点で運用されているIDaaSを、本社側のIDaaSに統合してシングルテナント化するというのが一般的。こちらもユーザー情報ソースの統合と同様、非常に大がかりなプロジェクトになってしまいます」と原氏は指摘する。

 これに対しOktaでは、シングルテナント構成以外に、Hub&Spoke構成による統制アプローチがとれるようになっている(図2)。テナントを親(Hub)とその配下の子(Spoke)で構成し、Spokeとして配される各拠点のテナントの認証のポリシーを本社側のHubテナントから集中で管理するというものだ。テナント自体の統合を行うことなく、各拠点にIDaaSの運用をある程度委任しながら、統一化されたグローバルガバナンスを担保することができるようになる。

コンディションに応じた
多彩な認証を実現

 さらにもう1つ、IDaaSで重要な要件となるのが、「単純なSSO(Single Sign On)機能にとどまらず、認証機能についての拡張性を有しているか」である。IDaaSはSSO機能のみを提供するものと誤解されがちだが、実際には単にSSOによってID・パスワードのみでログインするという運用では、やはり厳密に本人確認が行えているとはいえずリスクも高い。

 これに対しOktaでは、認証時のユーザーのコンディションに応じた形で、パスワード以外の認証要素を組み合わせた認証ポリシーを定義し、柔軟に適用していくことが可能だ。例えば、ユーザーがどのグループに属しているか、また接続してきているIPアドレスはどこか、さらには利用しているデバイスは会社の管理下にあるものなのか、といった条件に沿って認証の方法をコントロールすることができる。

 「Oktaでは、SMSやメール、ワンタイムパスワード、あるいは指紋認証や顔認証などの生体認証などを含め14種類の認証要素をサポートしています。ユーザーの属性やデバイスのコンディション、利用するサービスなどに応じて、単純にパスワードだけでログインさせるのか、ほかの認証要素を用いるのかをポリシーとして設定し、適切に制御することができます」と原氏は説明する。

 認証ポリシーの設定に関しては、「ほかのセキュリティー製品と柔軟に連携できるか」ということも大切なポイントだ。「Oktaでは、例えば任意のMDM(Mobile Device Management)製品と連携して、当該MDMが導入されているデバイスのみアクセスを許す、あるいはEDR(Endpoint Detection and Response)と連携して、脅威検知されていないデバイスだけがアクセスできるようにするなどの認証ポリシーに基づく運用も可能です」と原氏は言う。

 マクニカは一次代理店としてOktaを取り扱っている。同社は、世界中の先進技術を持った商材を発掘して、国内の顧客に提供することを主要なビジネスとしているが、それらの商材について一次代理店として取り扱うというのがマクニカのこだわりだ。商材ごとに専任チームを組織し、高品質な提案活動や手厚いサポートを、責任を持って行える体制を整えている。Oktaに関しても、マクニカはその製品価値を最大化してくれる心強いパートナーとして期待できるだろう。
セキュリティマネジメント Summit 2021 Winter ~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~
お問い合わせ
株式会社マクニカ URL:https://www.macnica.co.jp/