今さら聞けない「IDaaS」とは？利用におけるID管理の課題と対策を解説

SaaSの普及に伴い、企業のID管理はますます複雑化しています。社員が利用するサービスの多様化が進む一方で、企業は業務効率化とセキュリティの強化を同時に達成することが求められています。そこで注目されているのが「IDaaS（Identity as a Service）」です。今回、IDaaSとは何か？どのような機能があるのか？わかりやすく解説します。

目次

1. IDaaS（Identity as a Service）とは?
2. IDaaSの主な機能
3. IDaaS利用におけるメリット
4. IDaaS利用におけるID管理の課題
5. ID管理の重要性と必要な要素
6. 組織全体のIDや権限を適切に管理

IDaaS（Identity as a Service）とは?

IDaaSとは「Identity as a Service」の略称であり、「アイダース」や「アイディーアース」と呼ばれます。各種システムやSaaSなどに対する認証、認可、シングルサインオン（SSO）、ID管理の機能を提供するクラウドサービスを指します。クラウドサービスの普及を背景に、企業で利用するアプリケーションの種類や数が増加する中で、IDaaSの導入が広がっています。

IDaaSの主な機能

IDaaSを構成する「認証」「認可」「シングルサインオン（SSO）」「ID管理」は、それぞれ以下の機能を提供します。

IDaaSの主な機能

（関連記事）シングルサインオン（SSO）とは？仕組みや認証方式、メリット・デメリットを徹底解説

IDaaS利用におけるメリット

IDaaSを導入することにより、具体的にどのようなメリットがあるのでしょうか。
その一つが、従業員をはじめとする利用者のユーザビリティの向上です。認証が一元化されることで個々のSaaSのID/PWを覚える必要がなくなるほか、シングルサインオン（SSO）により一度のログインで業務に必要な複数のシステムへアクセス可能となるため利便性が向上します。

またセキュリティ強化というメリットもあります。例えば、利用したいと思うSaaSの認証が企業のセキュリティ基準を満たせていないケースもあります。IDaaSを導入することで利用するSaaS全体の認証レベルを統一させつつ、強度な認証が求められるシチュエーションでは、多要素認証を強制するなど企業のセキュリティレベルを向上できます。

IDaaS利用におけるID管理の課題

様々なメリットのあるIDaaSですが、利用者にとって導入効果が高い「シングルサインオン（SSO）」や、クラウドサービスに対するセキュリティ強化を目的とした「認証」「認可」に重点が置かれる傾向があります。一方で、「ID管理」に関する機能は、これらの後に検討されることが多いのが現状です。

この理由の一つとして、ID管理を適切に運用するためには、企業の人事イベント（採用、異動、退職など）に対応する必要があり、これには個別カスタマイズなどの手間が発生するという事情があります。そのため、ID管理にかわって、多くの企業では、各システムやサービス間でIDの整合性を維持する「ID同期」という手法を採用することで、導入や運用のハードルを下げるアプローチを選択しています。更に、多くのSaaSが自らのIDを管理するためのAPIを独自に実装してしまっているため、すべてのSaaS間でスムーズなID連携を実現することが難しい状況もあります。これらの課題が残る中でも、IDaaSの利用メリットが優先され、採用が進んできた経緯があります。

こうして認証、認可、シングルサインオン（SSO）を優先する形でIDaaSの導入が進み、SaaSに対するID管理が残されたままとなった結果、引き続きID管理については手動で対応しているケースが散見されます。手動のID管理は、ヒューマンエラーによる設定や管理不備、また運用負担増といった課題を抱えています。例えば、退職者アカウントの削除漏れは、不要なライセンスコストの発生だけでなく、不正ログインに悪用されるリスクをはらんでいます。また、多くの企業で発生する年度をまたぐ組織改編時には、ID管理における対応が煩雑化し、大きな負担となる状況が続いているのが実情です。

実際、ID管理における課題について、IIJがアンケート調査したところ「ID・アカウントの削除漏れなど統制が不十分」「アカウントや権限の管理が複雑になっている」という回答が最も多く全体の38%でした。

※出典：企業のID管理に関するアンケート（IIJ調べ、2024年9月）

ID管理の重要性と必要な要素

ID管理はゼロトラストセキュリティを実現する上でも重要です。ゼロトラストセキュリティでは「最小権限の原則」が重要視されています。この原則は、米国国立標準技術研究所（NIST）が提唱しているもので、「重要な情報や機能にアクセスできる権限を、必要最小限に限定すべき」という考え方を指します。つまり、IDを各SaaSに単に連携させるだけでは不十分で、各SaaSにおける権限の範囲を適切に把握し、それを制御する仕組みまでをID管理として考慮する必要があります。

※NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳（PwCコンサルティング合同会社）

以上を踏まえ、下記のID管理機能をSaaSに対してもオンプレミスシステムに対して求められているのと同様に実現していくことが必要になります。

IDライフサイクル管理

入社、異動、出向、転籍、退職などの人事イベントにあわせて、アカウントの作成や削除、権限の変更といったIDのライフサイクルを適切に管理するための仕組み

連携先サービスに対する権限制御

連携先サービスに応じた属性の同期にとどまらない、連携先サービスの権限を付与/削除する仕組み

条件に基づくID管理制御

部署や役職、業務内容など、人物の役割や属性に応じて、どのサービスにどのような権限でアクセスさせるかを制御する仕組み

ID監査（棚卸し）

組織全体のIDの状態を可視化し「自社のポリシー通りに権限設定が反映されているか」や「不正な操作によるアカウントの削除、変更がされていないか」などのアクセス権限の棚卸しを定期的に行うための仕組み

こうした組織全体のIDや権限の適正な管理を行っていくことは、一般的なIDaaSで提供されるID管理の機能だけでは、難しいというのが現状です。シングルサインオン（SSO）や多要素認証などの認証強化に合わせて、企業の環境変化に対応できるID管理の仕組みを整備していくことが大切です。

組織全体のIDや権限を適切に管理

IIJでは、適切なID管理を実現するサービスとして、会社グループ全体の各種マスタ（会社マスタ、組織マスタなど）やIDマスタを統合管理できるIIJ IDガバナンス管理サービスを提供しています。
管理対象として、社員、グループ社員、パートナー、派遣社員、アルバイトなど様々な種別のユーザを取り扱うことができ、会社内や会社間をまたぐような代表的な人事イベントにもサービス標準で対応しています。連携先サービスに対してもきめ細かく権限の付与/削除を含めたID管理が可能になります。

ユニークな機能として、過去・現在・未来の任意の日を指定することで、その時点での各種マスタ情報を確認することができる時系列管理機能を搭載しており、ID管理の運用を手間なく行うことができます。
また、お客様が利用されているIDaaSと組み合わせる形で、既存のIDaaSで残っている課題について補完することができますので、ご興味がございましたら、上の動画をぜひご覧ください。

過去・現在・未来の状態を見える化できる
ID管理サービスガイドブック差し上げます

「IDと組織情報を時系列に見える化」サービスガイドブック
（PDF：20ページ）

人事イベント対応ID・組織マスタの利用法、ロール・属性ベース管理やID棚卸しなど、サービスの特長について解説

無料ダウンロード

この記事を読んだらチェックしたいサービス

過去・現在・未来の状態を見える化できるID管理サービス

IIJ IDガバナンス管理サービス

DL資料あり

入退社・異動・兼務・出向など日本ならではの人事イベントに対応

クラウド型のID管理・認証管理サービス

IIJ IDサービス

DL資料あり

様々なサービスへのシングルサインオンを実現

AD機能をクラウド化

IIJディレクトリサービス for Microsoft

DL資料あり

クラウド型のActive Directory／Azure AD Connect／WSUS