「オンプレ×クラウド」で実現するDX時代の認証基盤の作り方:答えは「IDaaS」だけではない
クラウドシフトが進む中で、企業はセキュリティと柔軟性を両立する認証基盤の構築を模索している。IDaaSへのシフトを考えがちだが、答えはそれだけでない。ユーザーニーズを満たす認証基盤の構築法とは。
クラウドサービスの急速な普及や働き方の多様化によってIT環境は大きく変化してきている。サイバー攻撃が激化する中で、利便性を維持しながら十分なセキュリティを確保するために認証基盤はどうあるべきか。IT部門が頭を抱える大きな課題だ。
各システムやサービスで利用するIDを一元化することでID管理やログインに伴う無駄を排除でき、業務効率の向上が期待できる。また、デジタルトランスフォーメーション(DX)の推進にも役立つ。自社の業務システムに最適な認証基盤を導入することでこうした恩恵を受けられるが、「自社に適した認証基盤をどう構築すべきか」と、前段階で立ち止まっている企業が多い。
IT環境の変化に追従する認証基盤を構築し、セキュリティを強化するにはどうすればいいのだろうか。
企業を悩ませる認証基盤構築の3つの問題
ニッセイ情報テクノロジー(以下、NISSAY IT)でセキュリティ製品の導入支援を担当する大杉紘之氏(クラウドサービス事業部 セキュリティソリューションブロック プロダクトサービスマネジャー)は、認証基盤の課題を次のように説明する。
「課題は3つあります。1つ目は、既存の認証基盤をIDaaS(IDentity as a service)に集約したいが集約しきれないという問題です。特に大企業や多数のシステムを抱える企業では、オンプレミス製品とIDaaSで連携仕様や機能面に差異があり、これに伴ってアプリ側の改修が必要になるなど既存システムへの影響や対応コスト、関係各所との調整など考慮すべきことが多く、IDaaSだけでは集約が不可能なケースがあります」
2つ目が、認証を強化したいがどれを選択すればいいか分からないという問題だ。多要素認証やパスワードレス認証など認証方式には幾つかの選択肢があり、その中から利便性や自社のセキュリティ要件を満たすか、実装ハードルが高くないかなどを見極めて選定する必要がある。そして3つ目は、認証基盤を見直したいが進め方が分からないという課題だ。それについて、齋藤皇紀氏(クラウドサービス事業部 セキュリティソリューションブロック 営業部長)は次のように説明する。
「多くの企業の業務システムは、長年の運用を経て複雑化しています。そのため、認証基盤を刷新するには膨大な数の業務システムに対して改修が必要になるケースがあり、コストと工数の面で大きな障壁となります。ユーザー部門の理解を得ることも重要です。突然のシステム変更は現場の混乱を招いてヘルプデスクへの問い合わせが殺到するなど、起こり得る運用課題も事前に考慮すべきでしょう」
これらに加え、「SaaS利用の拡大やハイブリッドワークの普及から認証基盤に求められる条件も変わっている」と大杉氏は語る。
「従来の認証基盤に求められていたのは、主に社内システムの一元的な認証管理や利便性向上を目的としたシングルサインオン(SSO)でした。しかし今、認証が必要なアプリケーションやサービスは拡大しています。これまではオンプレミスのアプリケーションだけをSSOの対象としているケースが多かったですが、最近はSaaSに対しても、SAMLやOAuth、OpenID Connectと連携した認証・認可を実現したいといった要望が増えています。ハイブリッドワークの浸透によって社外からのアクセスが増えたため、多要素認証やパスワードレス認証で認証を強化したいというニーズも高まっています」
(左から)NISSAY IT 齋藤皇紀氏、森山厚氏、大杉紘之氏理想的な認証基盤の構成とは 60社の事例から導いた“答え”
こうした複雑な課題やニーズを満たす方法はあるのか。NISSAY ITは、20年以上にわたる認証領域での経験と、60社以上の導入実績を持つ。これまでは顧客要件ありきで商材の導入やリプレースに対応することが多かったが、IT環境の変化や働き方の変化などから、時勢と自社の状況を正しく捉え、要件を適切に決めることが重要となり、顧客にとって難しい問題となってきている。
そこでNISSAY ITはその知見を生かして、新規導入からリプレース、導入後の運用支援まで、認証基盤を含めた包括的なセキュリティソリューションを提供。「セキュリティ製品導入」「コンサルティング」「運用支援」の3つを軸に展開している。
コンサルティングを担当する森山厚氏(クラウドサービス事業部 セキュリティソリューションブロック 上席スペシャリスト)は、次のように語る。
「NISSAY ITは、認証基盤のこれまでの知見を生かして、顧客のこれからの認証基盤を、顧客と共に構想するコンサルティングサービスを提供しています。また、直近の政府の動向からもゼロトラストに対する関心はより加速すると考えています。NISSAY ITは、ゼロトラストの概念の一要素である認証基盤だけではなく、エンドポイントやネットワークなどの要素も含め、部分最適ではなく全体最適の観点で、お客さまが継続的に維持できることを念頭に置いたサービスを提供します」
多様なベンダーの製品を取り扱ってきた経験から、製品の違いや他製品へのリプレース時に起きがちな問題も熟知している。ゼロトラストの構想策定を支援するコンサルティングサービスから、それを実現するソリューションの選定、導入支援や移行支援、保守運用までの全プロセスをカバーする知見もある。
同社が取り扱うセキュリティ製品の中核となる製品の一つがHewlett Packard Enterprise(以下、HPE)の認証・アクセスソリューション「HPE IceWall」だ。
「HPE IceWallは安定性に優れ、オンプレミス/クラウド両環境への認証連携、多要素認証やパスワードレス認証などの最新の認証基盤に求められる機能を網羅しています。10年間という長期のサポートを保証しているのも大きな魅力です。これは長期的な運用を考える企業にとって非常に重要なポイントになるでしょう」(大杉氏)
HPE IceWallはオンプレミスとクラウドの認証連携も可能だ。NISSAY ITは前述の課題やニーズに応え、顧客の規模や対象システム数、コストなどを踏まえて適切な構成を提案するが、その一つとしてオンプレミスとクラウドを組み合わせた“ハイブリッド構成”による移行も提案する。「Microsoft 365」に付属するIDaaS「Microsoft Entra ID」とHPE IceWallを組み合わせ、両製品の強みを最大限に活用することで既存の業務アプリケーションへの影響を最小限に抑える。
「Entra ID」だけでは解消できない認証基盤の移行課題をどう解決したか
NISSAY ITの強みが発揮された事例として、某大手企業の導入プロジェクトがある。
この企業は、以前から利用しているSSO製品があったが、サポート期間の短さや保守条件の悪化などに課題を抱えていた。また、Microsoft 365を契約したこともあり、Microsoft Entra IDに完全移行したいと考えていたが、仕様の差異やアプリ改修、関係各所の調整や大幅なコスト負担などかかることからそれも困難だった。
この企業が特に重視していたのは、
- オンプレミスのアプリケーションに対するSSOも実現できること
- 長期間安定して利用できること
- 現行のアプリケーションへの影響を最小限に抑えること
- 全体的なコストメリット
の4点だ。この要件に対してNISSAY ITは、HPE IceWallとEntra IDを組み合わせたハイブリッド構成を提案し、要件を満たす認証基盤を構築した。
プロジェクトは2021年3月頃に始まった。NISSAY ITは顧客企業とディスカッションを重ね、現状の課題とビジョンの明確化をサポートした。2021年の後半にはPoC(概念実証)を実施し、既存のSSO製品からIceWallへのリプレースに伴う影響分析やフィジビリティーを確認した。
プロジェクトの途中に顧客企業から、「Microsoft Entra IDだけで全てカバーできるのではないか」という声も上がった。これに対してNISSAY ITは、HPEと協力してEntra IDとHPE IceWallを比較分析し、HPE IceWallの優れた点やMicrosoft Entra IDと HPE IceWallを組み合わせることで生まれるシナジーを説明して理解を得た。
約1年半に及ぶプロジェクトを経て2022年12月末に本番環境の構築が完了し、2023年1月から新しい認証基盤の運用を開始した。約2万ユーザーという大規模なシステムでありながらスムーズな移行を実現できたのは、NISSAY ITの豊富な経験と柔軟な対応力があったからこそ。齋藤氏は、プロジェクトの成功要因をこう分析する。
「弊社は約20年前からこのお客さまの認証基盤環境の構築と運用に携わってきました。バージョンアップ支援や製品保守・弊社独自の運用支援サービスをご提供しており、お客さまの環境を熟知していましたし、旧環境と新環境の両製品における機能・非機能要件をしっかりと調査、分析し、お客さまとの多くのディスカッションを実施しながらプロジェクト推進しました。長期的な関係性と幅広い知見、顧客との緻密なコミュニケーションが、複雑なプロジェクトを成功に導いたと言えます」
コンサルティングの強化、トータルセキュリティへの挑戦
NISSAY ITは、より包括的なセキュリティソリューションの提供を目指している。今後の方針について大杉氏は次のように説明する。
「弊社はさらなるセキュリティビジネスの拡大に向けて2つの方向性への注力が必要と考えています。一つは認証基盤コンサルティング支援の強化です。従来の要件ありきの製品導入ではなく、お客さまの本質的な課題を深堀して、適切なセキュリティ対策を導出した上で、システム/製品導入につなげるようなコンサルティング支援を拡大していくことが必要と考え、コンサルティング体制をさらに強化します。もう一つはトータルセキュリティ支援サービスの確立です。部分的なセキュリティ対策ではなく、企業全体のセキュリティ対策を俯瞰(ふかん)的に考える必要があり、ゼロトラストでも提唱されているように、単独製品では実現できないので、トータルでの対策が必要です。複数の製品やソリューションを組み合わせたセキュリティ対策支援サービスへと進化させます」
ゼロトラストアーキテクチャに基づいた認証基盤の構築が今後さらに重要になる。オンプレミスとクラウドが混在する環境では、認証はゼロトラストを構成する上で重要な要素の一つだ。NISSAY ITは顧客の資産を守るという観点から、セキュリティ製品とコンサルティング支援を統合したアプローチを提供する考えだという。
企業のIT環境が急速に変化し、セキュリティリスクが増大する中、NISSAY ITのハイブリッドなアプローチは、日本企業のDXを支える重要な推進力となるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:ニッセイ情報テクノロジー株式会社、日本ヒューレット・パッカード合同会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2024年10月10日
ITmediaはアイティメディア株式会社の登録商標です。