ID管理の業務負荷を軽減する「認証基盤」とは?4つの機能と導入時の課題について解説
テレワークが普及し、多くの企業でWeb会議サービスや各種クラウドサービスを利用する機会が増えました。便利に業務を進められる反面、従業員が各サービスで利用するID・パスワードの管理が煩雑になり、利用する従業員だけでなく、管理者の方も負担がかかります。 複数のID・パスワードを一元管理して管理者の負担を減らし、利用者の使いやすさとセキュリティ向上を実現できる「認証基盤」について解説いたします。
認証基盤とは
認証基盤とは、業務で利用するクラウドサービスや社内システムなど、複数の業務システムにアクセスする際に求められるログインの役割を統合的に行う仕組みです。
認証基盤の役割
企業では、社内システムやクラウドサービスなど、数多くの業務システムを利用しており、大部分が業務システムへアクセスする際に、従業員のID・パスワードといったログインのための認証情報を必要としています。利用する業務システムの増加に比例して、従業員が管理するID・パスワードも増加していきます。その結果、従業員にとって認証情報の管理が煩雑となり、簡単に推測されてしまうような安易なパスワードの使用や、同一パスワードの使い回し、ID・パスワードの認証情報をメモに記録して保管するなど、新たなセキュリティリスクを生んでしまう可能性があります。
また、複数の業務システムを利用するたびに、ログイン操作を都度求められている状態では、利便性が損なわれ、生産性の低下にも繋がってしまいます。
管理者においても、従業員の入社時のID新規発行や、退職時のID削除、役職変更や所属異動によるID更新など、人事異動に応じて、複数の業務システムに対するIDメンテナンスが必要となり、ID運用の業務負担が増加します。
認証基盤は、複数の業務システムにおけるログインの役割を統合するため、業務システムにアクセスする従業員の認証情報を一元管理します。
従業員は、認証基盤にログインするための1組のID・パスワードを管理します。そのため、複数の業務システムごとに認証情報を記憶することは不要となり、煩雑な認証情報の管理から解放されます。
また、業務システムにアクセスする際のログイン回数も1回だけとなり、利便性・生産性の向上にも期待できます。
管理者のIDメンテナンスにおいては、認証情報を一元管理する認証基盤だけを対象として実施すればよいため、ID運用負荷の軽減も実現できます。
このように、認証基盤を導入することで、従業員・管理者の双方にとって煩雑なID運用の手間を軽減できます。
認証基盤を支える4つの機能、メリット
ログインの煩わしさを開放する「シングルサインオン(SSO)」
認証基盤を導入することで、シングルサインオン(SSO)を実現できます。
シングルサインオン(SSO)では、一度のログイン操作を行うだけで、業務で利用するクラウドサービスや社内システムなど、複数の業務システムにログインすることができる仕組みです。
例えば、最初に社内システムにアクセスした際には、認証画面が表示され、ログイン操作を行います。ログイン後、業務で利用するクラウドサービスにアクセスした際には、認証基盤で既にログイン済みのため、ログイン操作は求められず、そのままクラウドサービスを利用できます。
ログイン操作で入力する認証情報も、1組のID・パスワードだけとなるため、従業員に対するパスワード管理の運用負担も軽減できます。
図:シングルサインオン概要
また、認証基盤で管理するパスワードに対して、文字種や文字数の組み合わせ、世代数などのパスワードポリシーが設定できます。
パスワードポリシーにより、推測しやすい簡易なパスワードを設定されることを防ぐことができます。第三者による不正ログインが行われるリスクも軽減でき、セキュリティ向上が期待できます。
ログイン時のセキュリティを強化する「多要素認証(MFA)」
業務システム利用時におけるログインのセキュリティ強化として、多要素認証が実現できます。
多要素認証とは、2つ以上の異なる認証要素を組み合わせた認証のことです。英語では Multi Factor Authentication と記載され、省略してMFAと記載されることもあります。
認証要素とは、「知識情報」「所持情報」「生体情報」の3種類があります。
多要素認証では、IDとパスワードのみ利用するような1つの認証要素による認証方法に比べて、2つ以上の認証要素を利用しログインをするため、よりセキュアな認証となります。
例えば、ログイン時に、IDとパスワードの知識情報に加えてSMSやメールで通知されるワンタイムパスワードの所持情報の2つの認証要素を求めるシステムが存在したと仮定します。
何かしらの原因によりパスワード漏洩が発生し、外部の攻撃者による不正アクセスが行われた場合でも、2つ目の認証要素として求めるワンタイムパスワードを発行するものを所持していなければ、ワンタイムパスワードの入力が行えず、攻撃を防ぐことができます。
また、多要素認証の認証要素の内、本人確認を行うことができるスマートフォンなどの所持情報、指紋や顔などの生体情報の2つを利用した場合、利便性の向上も図れます。知識情報におけるパスワード管理の必要性がなくなり利便性が向上しつつ、多要素認証によりセキュリティも強化できます。
ID管理者の負荷を軽減する「統合ID管理」
企業におけるIDライフサイクルとして、従業員の「入社」によるID新規発行、「異動」や「退職」によるID更新やID削除、役職や所属の属性に応じて適用する業務システムへのアクセス権限の付与など、定期的に発生する人事異動に応じてIDのメンテナンスが必要です。
人事異動が行われるたびに、管理者が社内システムやクラウドサービスそれぞれに対して、1件ずつIDメンテナンスを行うことは、非常に時間がかかり非効率です。また、人為的ミスを引き起こす可能性も高まります。
統合ID管理により、管理者がメンテナンスするIDは認証基盤で管理する情報のみとなるため、人事異動における管理者のIDメンテナンス業務の負担を軽減できます。また、IDメンテナンス忘れや更新情報の操作誤りなど、人為的ミスの発生も抑えることができます。
IDの利用状況を監視する「IDモニタリング」
IDモニタリングとは、社内システムやクラウドサービス利用時における認証基盤へのログイン状況をチェックし、長期間ログイン実績がない休眠アカウントや、退職者アカウントを検知し、IDの棚卸を行う機能です。
休眠アカウントや退職者アカウントなど、不要なアカウントが残り続けている状態は、第三者により不正にアカウントの利用が発生する恐れもあります。その結果、不正アクセスによる情報漏洩が発生するなど、セキュリティリスクを抱えている状態となります。また、ユーザー数課金のクラウドサービスを利用している場合、不要なアカウントも課金対象となるため、無駄なコストが発生する状態となります。
IDモニタリングをすることで、社内システムやクラウドサービス等の業務システムで管理するIDと、認証基盤で管理するIDを自動で突合し、不要なアカウントの検知や是正を行うことができ、アクティブなユーザーに限定したID管理を実現できます。
安全性の高い認証基盤を構成するには、定期的なID棚卸は不可欠な要素となります。IDモニタリングにより自動化を図ることで、管理者のID棚卸業務の負担軽減が実現できます。
認証基盤を導入する際の注意点
既存システムと連携できるかどうか調査する
社内システムやクラウドサービスの業務システムが、認証基盤と連携するにあたり、どのような連携方式を採用して実現できそうか事前に調査・確認しておくことが重要です。
認証基盤では、連携対象とするアプリケーションの特性に応じて、様々な連携方式を適用し、シングルサインオン(SSO)を実現します。
特に、オンプレミス上に構築された社内システムにおいては、認証基盤と認証情報を連携するために、社内システム側で機能改修が必要となるケースも存在します。認証基盤を導入する前に、想定する連携方式で接続ができそうか事前調査を行うことで、実際に認証基盤を導入した後もスムーズな本番環境への展開に繋げることが可能となります。
サポート体制が充実しているか確認する
導入時や導入初期に製品を熟知したベンダーの支援が受けられるか、運用していく中で発生するトラブルに対し影響を最小限にするために迅速にサポートしてくれるかどうかを確認します。
海外製品の場合は、サポートが日本語対応か、サポート時間が日本時間に対応しているか、という点も重要となります。
まとめ
認証基盤を導入することで、社内システムやクラウドサービスの利用に必要なID・パスワードを一元管理できます。そのため、人事異動に基づく、従業員の追加や更新、削除などIDメンテナンスが必要な場合でも、社内システムやクラウドサービスごとのID・パスワード管理が不要となり、管理者のID運用業務にかかる負担を軽減できます。
また、シングルサインオン(SSO)による従業員の利便性向上に加え、統一されたルールを適用したパスワード運用管理や、多要素認証でよりセキュアな本人認証の実現など、認証基盤を活用してセキュリティ強度の向上を図ることが可能です。
オージス総研の統合認証基盤製品「ThemiStruct(テミストラクト) Identity Platform」
オージス総研が提供する ThemiStruct(テミストラクト) Identity Platform はB2B/B2Cサービスの顧客向けサイトの認証・認可、ID管理を提供する統合認証基盤です。
シングルサインオン(SSO)や多要素認証だけでなく、ソーシャルメディアを使ったソーシャルログインも提供しています。
当社では統合認証基盤の導入において上流工程~移行・リリースまでのフルサポート、特定工程のみに限定した部分サポートなど、お客様のニーズや予算に応じた導入支援が可能です。
これまで弊社が十数年にわたり統合認証基盤の開発・構築・運用に取り組んできた実績をもとに、導入段階から本稼働後の運用段階に至るまでお客様が抱える課題に対して、安心・確実・迅速なサポートを提供いたします。
B2B・B2Cビジネスにおける認証基盤の役割に関する資料をダウンロードできます!
※本記事において、掲載・表示されている会社名、商品・サービス名およびロゴは、各社の登録商標または商標です。
2022年7月1日
※この記事に掲載されている内容、および製品仕様、所属情報(会社名・部署名)は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。
関連サービス
-
ThemiStruct(テミストラクト)Identity Platform
ECサイトやWeb API利用のための、ID統合・アクセスコントロールを実現する統合認証基盤
-
ThemiStruct(テミストラクト)総合サイト
いつでもどこでも、安心に、快適にアイデンティティ管理 と認証・認可を実現する統合認証ソリューション「ThemiStruct」をご紹介する総合サイトです。
関連記事一覧
- IdP(IDプロバイダー)とは?SP(サービスプロバイダー)との役割と違いやメリットについて解説
- パスワードレス認証とは?認証の種類と仕組み、メリットと注意点について解説
- ID管理とは? 重要性やメリット、ID管理システム導入のポイントについて解説
- 多要素認証(MFA)とは?セキュリティ向上に貢献できる理由や認証方式の種類について解説
- シングルサインオン(SSO)認証とは?仕組み、認証方式の種類、メリットや認証連携のパターン
- パスワードレス認証を実現するFIDO2認証<不正ログインの脅威と対策(第4回)>
- 多要素認証に用いられる認証方式<不正ログインの脅威と対策(第3回)>
- 今、求められている不正ログイン対策とは<不正ログインの脅威と対策(第2回)>
- Webサービスに潜む不正ログインの脅威<不正ログインの脅威と対策(第1回)>
- Azure AD導入環境におけるクラウドとオンプレミスのアカウント管理の実現と課題 <テレワーク時代のアカウント管理(第4回)>
- クラウド利用を見据えたアカウント管理システムの役割と重要機能 <テレワーク時代のアカウント管理(第3回)>
- アカウント管理システムの導入事例と将来的に果たすべき役割 <テレワーク時代のアカウント管理(第2回)>
- 急拡大するテレワーク時代に不可欠なアカウント管理 <テレワーク時代のアカウント管理(第1回)>
- エンタープライズ向けOpenAMパッケージ「ThemiStruct-WAM」 <OpenAMによるシングルサインオン(第4回)>
- OpenAMの注目機能「多要素/リスクベースの認証」と「OpenID Connect」 <OpenAMによるシングルサインオン(第3回)>
- OpenAMのコア機能「ポリシーベースのアクセス管理」と「SAMLフェデレーション」 <OpenAMによるシングルサインオン(第2回)>
- OpenAMを使ったシングルサインオン(SSO)の仕組み <OpenAMによるシングルサインオン(第1回)>
- テミストラクトサポートサービスについて
- 認証関連技術の解説
- パートナー
