コラム第4回

『シングルサインオンだけが便利という訳ではありません! ~クラウドIDとオンプレIDの分離によるスマートなID管理~』

Office365を導入されるお客様で一番切実なテーマは「シングルサインオンを実現したい」だと感じています。フェデレーションサービスを使って社内のActive Directory(以下AD)とクラウドのAzure Active Directory(以下Azure AD)をつなぐことで実現ができますし、SIerが提供するフェデレーションサービスを利用することでも実現できます。最終的には、社内のIDとパスワードだけですべてのサービスの利用をコントロールできる理想形を求めるのは順当な考え方ではあります。
しかし、実際には理想形のシングルサインオンを求めてAD準備の苦労を重ねても報われないことが多いのもまた事実です。シングルサインオンにすることで、セキュリティリスクが高まるため、より高度な対策に追われたり、正社員以外のユーザ管理に四苦八苦しても適切な状態を維持できず、管理レベルが下がって逆にクラウドリスクを高めてしまいます。また、万全なBCP対策をしたフェデレーション環境作りにこだわるあまり、コストがかさみ実現が難しくなるなど悩みは色々です。
このような悩みを解決するスマートなID管理として、クラウドIDとオンプレIDを分離させるという方法があります。今回のコラムでは、その具体的なケースについてご紹介します。
まず、シングルサインオンでパスワードの漏洩事故が発生すると、全てのシステムが危険にさらされる可能性があります。セキュリティ対策はいたちごっこですが、リスクを分散させるためにクラウドとオンプレのIDを分離させるという考え方もあります。別々のIDとパスワードを使うことになるため不便な面はありますが、クラウドの利用という観点ではメリットも多くあります。例えば、共同開発PJの情報基盤環境や一時的なPJ、他社との情報共有や販社との情報共有など、用途やPJでテナントを分け、IDを分けることで管理の手間を大幅に減らしつつ、セキュリティと利便性を向上させることができます。

次に、AD側に全ての社員IDや認可情報を持たせても、常に最新の状態を維持するには膨大な労力がかかるという問題があります。正社員だけでなく、派遣者や協力会社社員、一時利用者の管理を入退社に合わせて適正に維持できずに断念し、正社員以外の管理を妥協してしまうことでセキュリティの不安が募り、クラウド化自体の推進に躊躇してしまうことになります。この場合は、統合ID管理サービスを利用して専用のID・グループIDを使うことで人の異動に合わせて自動的に利用権限を最新に保つこともできますが、セキュリティを優先し正社員以外の方はオンプレのIDのみ利用するという考え方もあります。

三つめは、そもそも完璧なフェデレーション環境をつくる意味があるのか?という疑問です。近い将来、苦労したフェデレーション環境が足かせになる時がくるかもしれないと考えられないでしょうか。IDとパスワードが複数あるとユーザは覚えられず手帳や付箋紙にメモすることで情報漏洩のリスクが高まるというリスクを低減する解決策としてフェデレーションの考えが出てきました。
しかし、指紋認証や顔認証が普及し始めている昨今では、ユーザがIDやパスワードを使わない方が高いセキュリティを維持できることになります。そうなると、シングルサインオンのためにガチガチに作り上げた環境が1~2年で無駄になってしまうかもしれません。今フェデレーション環境を完成させるのではなく、リスクレベルの違うオンプレとクラウド環境でIDとパスワードを使い分けていく方が、管理者側の利便性と高度化するリスクへの対応力が高められる時代が来つつあります。これからは、様々なサービス毎にユーザがわからないIDと複雑なパスワードを設定し、顔認証ですべてのシステムをシングルサインオンで利用する時代がくるかもしれません。

最後に、シングルサインオンでも、クラウドIDとオンプレIDを分離する場合でもご利用いただける、東芝の統合ID管理サービス(TIMS-Pro)について少しだけご紹介します。 TIMS-Proは利用グループごとの管理ができるため、オンプレとクラウドの両方を利用する社員、オンプレだけ利用する社員、クラウドだけ利用する社員とを分けることができ、オンプレのID(今利用しているID)とは別にクラウドID(例えば、オンプレIDにコードを追加したもの等)とクラウドパスワードを自動生成させることも可能です。オンプレグループはADに登録、クラウドグループはAzure ADに登録してIDを分離させています。これにより万が一セキュリティ問題が起きても、クラウドサービスだけを遮断したりその逆も可能になります。

TIMS-Proは色々な使い方に対応できるディレクトリ管理サービスです。関連セミナーも開催しておりますので、お時間がありましたら是非お越しいただき、お客様の新しいID管理を見つけてください。

※Microsoft、Office 365、Active Directory、Azureは、米国Microsoft Corporationの米国およびその他の国における商標または登録商標です。
※本コラムに記載されている社名、製品名およびシステム名は、各社が商標または登録商標として使用している場合があります。なお本ページの記載内容は、2017年3月時点の情報です。

コラム

Microsoftソリューションに関するコラムの掲載を開始しました。些細なことから深いことまで日頃の業務にかかわるあれこれを掲載いたします。