ポリシーの設計、運用の自動化、統制強化まで
多彩なアイデンティティ管理機能でリスクを低減

　多種多様なデジタルサービスが世の中に登場している現在、人々は、サービスを提供する企業・組織に対してよりよい体験を求めるようになっている。この期待に応えるため、多くの企業がDXに取り組んでいる。そこで重要度を増しているのがセキュリティー対策だ。

　昨今はより高い生産性の実現に向けて多様なクラウドを適材適所で使い分けるマルチクラウドが一般化。Oktaの調査^※によれば、企業1社あたりの平均導入アプリ数は93個に上るという。「加えて、人の雇用形態や働く場所も多様化しています。変化する業務環境を守るには、これまで通りの対策だけでは不十分です」とOkta Japanの三船 亜由美氏は指摘する。

　例えば、在宅勤務中の社員がクラウドサービスを利用する際、アクセス経路が適切に管理されていなければ、そこがサイバー攻撃者の狙い目になる。これを防ぐには、信頼されたデバイス、信頼されたユーザーのみが許可されたリソースへアクセスできるようにするゼロトラストセキュリティーのアプローチが不可欠だ。

　ゼロトラストの基礎になるのが個々のユーザー、そしてデバイスや通信を識別するためのアイデンティティ管理である。ただ、セキュリティーポリシーを適切に設定し、維持・運用するのはそれほど簡単ではない。使うアプリが増えれば、ポリシーも細分化する必要があるほか、クラウドの利用が広がれば、管理対象のユーザーやデバイスもどんどん増えていく。そこにリソースを割くのは、本来の生産性向上を考えると本末転倒でありIT部門としても避けたいところだろう。

　「ビジネスが変化したことによって、アプリの利用者は正社員だけでなく契約社員や外部パートナーの社員にも広がっています。一方デバイスPCのOSにはWindowsやMacがあり、それぞれバージョンも異なるでしょう。ここにタブレットやスマートフォンが加わります。非常に煩雑な管理をいかに簡単にかつ確実に行うかが重要な検討事項になっています」と三船氏は述べる。

　このような課題を解決するソリューションが「Okta Workforce Identity Cloud」である。ポリシーを簡単に設計できる仕組みによって、時々の状況や経緯に合わせた適切なアクセス制御を可能にする（図1）。 　ユーザー／デバイスごとのアクセス制御ポリシーを細かく設定できるのはもちろん、動的な制御も可能。例えば、「いつもと違うデバイスやIPアドレスを使っている」「深夜や休日にアクセスを繰り返す」「東京でログインしたユーザーが、5分後に大阪からログインを試みている」といった挙動は、不正アクセスの可能性があると判定する。

　「そのような場合は追加の認証を求めたり、接続を制限したりするなど、条件ごとにポリシーを設定できます。一括ですべてを禁止してしまうのではなく、ユーザー、デバイス、場所、時間などの細かい粒度、かつアプリ／システムごとに実施することで、ユーザーの業務利便性の向上と、セキュアな環境の両立を目指すことが重要です」と三船氏は紹介する。

　中立性を重視したベスト・オブ・ブリードの構成が可能なこともOkta Workforce Identity Cloudの特徴だ。クラウドストライク、ゼットスケーラー、ネットスコープなどとのエコシステムに基づき、高度なゼロトラストアーキテクチャーの実現をサポートする。

　「さらに、アイデンティティ・ガバナンスの機能も備えています。これにより、アカウントの発行から削除までのライフサイクル全般を適切に管理することが可能です」と三船氏は続ける。これまで、社員のIDの管理・統制は人手による作業で対応しているケースが多かった。入社・異動シーズンはこの対応処理が一気に増えるため、手が回らなくなる。その結果、ユーザー側が業務できない時間が発生したり、対応の抜け・漏れによって、不適切な権限のアカウントやシャドーアカウントが残存したりする事態が起こっていた。

　「誰に、どういう権限を、いつ付与し、いつ削除するかなど、ポリシーに沿ったアカウントの管理・運用を自動化することが可能です」（三船氏）。また、これらのアカウントのコントロールは、既に利用中のActive Directoryや人事データベースなどと連携・同期させることも可能。さらに、接続先のアプリとの間で行われるユーザー作成・更新・削除にも柔軟に対応できる。このように、アイデンティティの設定・管理からそのガバナンス強化、自動化による管理負荷軽減、さらにはユーザー側の利便性向上までを、1つのプラットフォームで実現できるのがOkta Workforce Identity Cloudの最大の強みといえるだろう（図2）。

　自動化の領域を広げ、より高度な運用を実現する機能も備える。それが「Okta Workflows」だ。様々な処理や外部アプリとの連携をノーコードで開発可能。これを用いることで、プラットフォームの標準機能だけでは対応が難しい、企業独自のオペレーションに沿った処理も柔軟に自動化できるという。

　「例えば、『一定期間ログインしていないアカウントを無効化する』『退職者の個人共有フォルダを上司に移動させる』といった処理の自動化を自社で作り込むことが可能です」と三船氏は言う。

　既に多くの企業がOktaを採用している。例えばNTTデータは、Oktaをベースにグローバル標準のセキュリティープラットフォームを構築。世界14万人の従業員の業務環境に対し、ゼロトラストセキュリティーの徹底とアイデンティティ・ガバナンス強化を実現した。

　また、老舗物流企業の鴻池運輸は、国内外200以上の拠点で6000人以上が利用する認証基盤にOktaを採用。クラウドストライクやゼットスケーラーなどの採用とともにセキュリティー強化を図っている。SaaSのアカウント管理を自動化することで、IT部門の負担も半減できているという。

　ゼロトラストセキュリティーの実現には、アイデンティティの管理と統制が欠かせない。Okta Workforce Identity Cloud は、これを実現する有効なソリューションといえるだろう。なお、導入効果を最大化するためには、まず自社のリスク状況を把握することが肝心だ。これについてOktaは無料のアセスメントツールも提供している。アイデンティティ・ガバナンスに課題を抱える企業は、ぜひ検討してほしい。