セキュリティの核

IDは、いろいろなサービスやアプリケーションといったものを利用する際に用いられます。

IDは昔からセキュリティの基礎部分となる非常に重要な概念ですが、近年その重要性はますます高まっていると言えます。

その要因のひとつが、ゼロトラストセキュリティの考え方の浸透にあります。

ゼロトラストは、従来の組織で一般的に用いられてきた、境界内防御の考え方を変えるもので、アクセスを常に精査します。その上で用いられるIDは、適切な認証と認可を行うために必要不可欠なものです。

これにより、アクセス制御を正しく行うことが可能になります。これは、データやアプリケーションといった、「リソース」にアクセスできる資格のある人にだけ、その権限を与えるものです。

逆の言い方をすれば、IDが正しく運用されていなければ、適切なアクセス制御はできません。

これはゼロトラストを実現するために最低限必要な事項のひとつです。

IDaaSの台頭

さらに、近年ではIDaaSとよばれる、IDを管理する仕組みをクラウド化したものが主流となってきています。

これまでの組織では、CRMといった顧客を管理するシステムや、会計システム、あるい人事管理・評価システムなどは組織内にオンプレミスとして存在していました。

しかし現在は、そういったサービスはクラウドサービスを利用することが一般的になってきました。

組織内のシステムであれば、ID管理はその組織の中で行うことができれば事足りていましたが、組織外のシステムであるクラウドを利用する場合ではそうはいきません。

そのため、ID管理もクラウド上で行うことが主流となってきています。それを実現するのがIDaaSです。

なお、これまでは組織内にあるシステムごとにIDを作成して管理するといったことが行われていましたが、これはセキュリティ的には悪手と言えます。

ユーザーは、サービスごとに別々のIDを管理する必要がありました。これまで一般的に利用されてきたパスワード方式では、いちいち対応するパスワードを覚えなくてはなりません。

その際、単純なパスワードを使用することは、攻撃者に辞書攻撃やパスワードリスト攻撃、プルートフォース攻撃といった各種サイバー攻撃に対して脆弱になります。

また、パスワードの使い回しも助長してしまいます。これは好ましいことではありません。

そのため、パスワードを一本化することが行われてきています。IDaaSで管理されたパスワードに統一すれば、ユーザーの負担が大きく低減されます。

この場合、IDaaSへの依存度は高くなりますが、逆にそこの防御を重点的に固めることによって、セキュリティが高まります。このようなID管理の一本化が現在のトレンドであるといえます。

IDの一本化によるもう一つのメリット

サービスごとに分散されていたIDを統一することで、別なメリットも産まれます。それは、ユーザーの動きを追いやすくなるということです。

セキュリティインシデントが発生した場合に、原因分析や影響調査が容易になります。

IDは、そのシステムやサービスを利用しているのが誰なのかを特定しますが、一本化することにより、手間なく誰がいつどの端末から、どのリソースにアクセスしたか、といった動きを確認することができるようになります。

これが個別のIDを使用していた場合には、逐一各サービスのIDと照合しなくてはならなくなり、充分な可視化が行われません。

初動のスピードが大切になるインシデント対応においては、この点は見逃せないメリットとなります。

また、定期的に行うIDの棚卸しも楽になり、管理者と利用者の双方にメリットが出てくるといえます。

ID管理の基本用語

IDは単純な考え方のようですが、それをきちんと理解するためには、いくつかの用語を押さえておく必要があります。

認証と認可

認証と認可は、非常に混同しやすい言葉です。一緒に用いられることが多いため、区別されることが少なくなっていますが、全く異なる概念ですので、きちんと理解しておく必要があります。

まず、認証とは、各種リソースにアクセスするユーザーが、本当に本人であるかどうかを確認するためのプロセスです。

IDはユーザーであることを証明するためのものですが、それが正しいかどうかを判定するともいえます。

そして認可とは、ユーザーが各種リソースにアクセスするための権限を与えることを意味します。利用者が適切なリソースにだけアクセスできるようになるのは、この認可の仕組みによるものです。

エンティティ

これもわかりにくい言葉ですが、エンティティとは、ユーザーのことを指すと考えてください。

より正確には、リソースにアクセスを要求する主体のことを意味します。

ただし、リソースへのアクセスを行うのは何も人間だけではありません。システムや別のサービスも連携するためにアクセスを行うことがあります。

そのため、これらをひっくるめて、エンティティと呼んでいます。

クレデンシャル

クレデンシャルとは、エンティティがリソースにアクセスする際に必要な本人確認を行うための情報セットです。

IDとパスワードの組み合わせ、と考えるのが一番理解がしやすいでしょう。

他にも、電子署名で用いられる暗号鍵などもクレデンシャルの一種です。

IDP

IDを管理するためのサービス及びソフトウェアのことです。ユーザーが入力したパスワードなどのクレデンシャルによって、認証処理を行います。

また、IDを発行したり、パスワードの変更といった各種管理機能も備えています。

MicrosoftのAcrive Directoryが代表的な製品です。

なお、IDPをクラウドに対応させたものがIDaaSです。IDaaSの場合は、クラウド環境に適応していますので、IDPとは異なり、IDを連携する機能も充実しています。

例えば、IDaaSで作られたIDをSaaSのようなクラウド上で提供されるサービスで用いたり、ひとつのクレデンシャルで他のサービスにログインできる、シングルサインオンといった機能を利用できます。

なお、IDaaSへの管理の一本化への経過措置として、IDPとIDaaSが併用されるケースも多くなっています。

IDの管理自体はIDPが行い、IDaaSはSaaS利用の際、認証と認可を行う、といった棲み分けがされている構成もよく見られます。

まとめ

このように、ID管理はセキュリティにおいて、ますます重要性が増しています。

ユーザーが普段利用するため身近なものですが、理解するためには独自の用語の理解が必要不可欠になっています。

IDを理解するための一歩目として、こういった用語に慣れておくことが必要です。

一般 技術