第9回 IDaaSでユーザー認証の「運用管理性/利便性」と「セキュリティ」を強化

2021.11.112025.06.25

第9回 IDaaSでユーザー認証の「運用管理性/利便性」と「セキュリティ」を強化

アライドテレシスが導入したゼロトラストセキュリティの具体例をもとに、その詳細を紹介する連載の第9回。前回はアライドテレシスのエンドポイントセキュリティソリューションについて紹介した。今回は、ユーザー認証について、アライドテレシスの取り組みを紹介する。

ゼロトラストセキュリティ導入記のまとめはこちら

連載ななめ読み「ゼロトラストセキュリティ導入記」第1回目から第10回目の連載内容を振り返って

クラウドを含めたシングルサインオン（SSO）など、IDaaSでID管理の課題を解決

ゼロトラストセキュリティは、ネットワークへアクセスする通信、アクセスするデバイス、アクセスする人、これらすべてを信用せずに常にチェックを行い、正常な通信、端末、利用者だけにアクセスを許可する方法だ。

ゼロトラストを実現する4つの要素

ユーザー認証：IDaaSでユーザー・デバイスに基づいた認証
エンドポイントセキュリティ：UEMによる端末管理、EDRで脅威対策
アクセス制御：セキュリティゲートウェイ、SD-WAN/SD-LANで常に通信をチェックして最小限でアクセスを許可
ログ監視：SIEMで通信や端末、IDの挙動を監査・分析

ゼロトラストセキュリティの要素の説明でも最初に挙げているが、本来ユーザー認証はセキュリティ対策において真っ先に取り組むべきことであり、アライドテレシスでも2019年以前から取り組みを進めてきた。

中村

ユーザー認証、いわゆるIDの管理については、2019年にゼロトラストセキュリティの調査・検証を始める以前から課題となっていました。

福川原

当社ではMicrosoft 365やSalesforceをはじめ、多くのクラウドサービスを利用しています。それぞれ異なるIDとパスワードを用いてログインしているため、さまざまな非効率が起きていました。

メールやファイル共有にとどまらず、今では多種多様な業務システムがクラウドサービスとして提供されている。ユーザーはサービスごとにIDとパスワードを管理する必要があり、複数のクラウドサービスを利用する場合には、そこからさまざまな課題が生じる。
以下の表はID管理/ユーザー認証における、利便性や運用に関わる課題だ。

ユーザー認証における、利便性や運用に関わる課題

これらは一般的によく聞かれる課題だが、アライドテレシスでもクラウドサービスの利用が増えるにつれ、同様の声が聞かれるようになっていたという。

鈴木

特に多いのはやはりパスワードリセットの依頼ですね。パスワードを忘れてしまったり、打ち間違えを続けたりしてログインできなくなったのでリセットして欲しいと。ほぼ毎日のように、そうした依頼がありました。

アライドテレシスでは以前からSaaS型のIDaaS（ID as a Service）を一部導入していたが、それによるシングルサインオン（SSO）は特定のサービスだけにしか対応していなかった。

福川原

基本的にIDとパスワードはシステム（サービス）ごとに管理されていて、最低限3か月に1回はパスワードの更新が必要という社内ルールで運用していました。そのためパスワード忘れの問題も多かったと言えます。

そこでさまざまなIDaaSを実際に導入し、検証を行った。IDaaSはすでにさまざまなサービスが提供されているが、検証の結果、アライドテレシスが実際に導入したのは、Azure AD（Azure Active Directory）でのSSOだ。
アライドテレシスではもともとオンプレミスでADを運用していたが、Azure ADを導入してIDを連携し、各クラウドサービスへはAzure AD経由で、社内リソースへのアクセスはオンプレミスのADから、SSOでログオンできるようにしたのだ。

福川原

これにより、最初にWindowsにIDとパスワードでログオンすれば、さまざまなクラウドサービスもそのまま利用できます。パスワード入力の手間を削減するとともに、パスワード忘れやリセットといった工数も低減できています。

なお、これと同時にパスワードの文字種文字数などの強化を実施するとともに、MFA（多要素認証）も導入して、セキュリティ面の強化も実施している。MFAについては次章で説明する。

MFAを導入して認証を強化

しかしIDaaSを導入して、各サービスへのSSOを実現しても、利便性や運用性が強化されただけであり、それだけではゼロトラストセキュリティが求める認証の強化とは言えない。そこで重要なのがMFAだ。MFAはIDとパスワードだけではなく、場所やデバイス、生体など多要素の情報をもとに認証を行う方式だ。アライドテレシスではテレワーク推進以前から、外出先（顧客先）でFAT PCを使うエンジニアや、一部の部署でMFAを導入している。

福川原

従来、多要素認証は当社全体の要件ではなく、利用はサービス（サーバー）管理者に委ねられていました。つまり多要素認証を利用しているシステムとそうでないものがあったわけです。とはいえ、クラウドサービスの利用は接続元の送信IPアドレスを制限した上で、従来のID/パスワード認証を実施していましたので、実質的には場所（IPアドレス）と知識（パスワード）の二要素認証と言えるものです。ですが、テレワークの促進により、社外などさまざまな場所からもクラウドサービスへアクセスしたいという要望が高まっていました。

MFAにもSSO同様さまざまなソリューションが提供されており、どのようなMFAを利用するのが良いかという導入・検証を行ってきたが、将来的に全社導入を目指すというところで、Windows Hello for Businessの多要素認証を活用する方向で現在検証を行っている。

鈴木

私のチーム（情報システム部門）を中心に使い勝手などの検証を行っています。当社の場合、社員が利用しているPCがベンダーも機種もバラバラということもあり、それぞれ動きが異なりますので、検証は慎重に行っています。

Windows Hello for Businessでは、PINやワンタイムパスワード、指紋、顔、デバイス、ネットワークといった要素のうち、いくつ満たしていれば（例えば、顔認証+PINなど）認証するかという指定ができるため、運用面や利便性も含め検証を進めている。

福川原

指紋+デバイス+パスワードといったように認証を強化することで、接続場所からの制限を排除でき、セキュリティを強化できます。ただ、社員が利用しているPCによっては、顔認証用のカメラがなかったり、指紋認証できなかったりしますので、適用の拡大はPCの更改にあわせて検討する予定です。

鈴木

Windowsへのログオンを多要素認証化することで、その先のSSOのセキュリティを強化し、またパスワードリセットも多要素認証でユーザー自身が実施できるようにすれば工数の削減にも繋げることができます。

IDaaSをDevOpsでサービス化して提供

アライドテレシスは2021年8月、クラウドサービスや社内WEBシステムに対して「SSO」「ID管理」「アクセス制限／コントロール」を提供するクラウドサービス「Net.CyberSecurity16クラウドID管理サービス」の提供を開始した。

中村

実際に社内で導入、検証し、その経験やノウハウを生かして、最適なIDaaSを選定してDevOpsでサービス開発を行いました。費用を抑え、リードタイムも短く、容易に利用できるサービスです。

福川原

クラウドサービスですので、社内のネットワークを変更することなく容易に利用できます。もちろん、お客様の状況やニーズにあわせた、SSO環境のインテグレートやMFAの導入なども可能ですので、お気軽にお問い合わせください。

連載記事

ゼロトラストセキュリティ導入記

働き方の変化などで最近注目の的となった新たなセキュリティの考え方「ゼロトラストセキュリティ」。一言に「ゼロトラスト＝信頼しない」セキュリティ対策と言っても、そうシンプルなものではない。
そこで当連載では、アライドテレシスが実際にゼロトラストセキュリティを導入した例を交え、ゼロトラストセキュリティが目指すもの、個別の手法とその効果などを中心にお伝えしていく。