SaaSに自在に往来できる現代版の「通行手形」

業務上、さまざまなSaaSにアクセスする際、通常は複数のIDが必要となり、 そうした不便がワークスタイルの多様化を阻害する一因になっている。そこでIIJでは、ID管理を一元化し、一つのIDで各SaaSにシングルサインオンできるサービスをリリースした。

「働き方改革」「ワークスタイル変革」といったキーワードを耳にするようになって何年経ったでしょうか。今年に入って、具体的な検討を始めた企業・組織が増えており、いよいよ大きな波が来ていると感じています。

もちろん「働き方改革」とひと口に言っても、企業文化や労務管理の改革も大きな役割を担っており、ITだけで実現できるものではありませんが、従業員の業務効率を最大化する目的から、Office 365、G Suite、cybozu.com、Boxといった外部のSaaSを導入する企業があとを絶ちません。

「働き方改革」が求められているそもそもの背景については、本稿では割愛させていただき、人も情報も端末もファイアウォールを越えて、社内と社外の境界がなくなりつつある今、SaaSの利用拡大のカギとなるID・認証についてお話したいと思います。

あとで気付く課題

「働き方改革」の名のもと、SaaSを導入した企業がしばらくして気付く課題に次のようなものがあります。各ユーザが社内とは異なるID・パスワードを覚える必要があること、パスワードポリシーが社内とは異なるので安易なパスワードを設定できてしまうことなどです。また、複数のSaaSを利用している場合は、それぞれ異なるID・パスワードを管理しなければならないため、さらに面倒です。

そこで、普段社内で利用しているID・パスワードでSaaSにシングルサインオン(以下、SSO)できる機能が求められることになります。すでに社内においてSSOを実現できている企業であっても、SaaSへのSSOは「SAML」というプロトコルに対応する必要があるため、対応製品・サービスを追加しなければならないケースが多いと思います。

また利用環境として、社内ネットワークに加え、在宅勤務やリモートワークが認められるようになると、ID・パスワードだけでなく、アクセス制限や認証強化を考慮する必要も出てきます。

例えば、営業職のユーザは、社内ではID・パスワードの認証のみでSaaSにログインできる一方、社外からアクセスする際には、認証強化のためにID・パスワードに加えて「二段階認証」を追加で求められるといったケースが考えられます。特に重要な情報を保存しているSaaSでは、利用可能なユーザを限定することはもちろん、アクセス元が社内であってもログインのたびに二段階認証を求める仕組みにすれば、安全性を高めることができます。

ただ、SaaSごとにアカウント情報を管理したり、別々の二段階認証の機能を追加したりすると、管理者やユーザの手間が増えるとともに費用的な負担も大きくなり、一元管理が必要となってきます。そして、こうした要件を満たすID管理、認証強化、アクセス管理機能をクラウド型で提供するサービスを「IDaaS(IDentity as a Service)」と呼んでいます。

リーズナブルなIDaaSを目指して

IIJが提供しているサービスにもログインを必要とするサービスが複数ありますが、それぞれ個別のID・パスワードを設定・管理していただいています。複数サービスをご利用いただくお客さまが増えるなか、先述したようなご不便やセキュリティ上の課題を解消すべく、自社サービスのID管理、SSO、認証強化を実現しようという狙いから「IIJ IDサービス」の企画がスタートしました。そして、弊社サービスにSSOする機能に関しては、お客さまから費用を頂戴することなく、初期費用も月額料金も無料とさせていただきました(2017年現在、すべてのサービスには対応できていませんが、順次、開発・追加していきます)。

弊社サービス以外の各種SaaS・製品にSSO機能を提供する「外部サービス連携オプション」を追加する場合や、スマートフォン用アプリ「IIJ SmartKey」を利用した二段階認証を提供する「多要素認証オプション」を追加する場合には、別途オプション費用をいただいています。(※1)

(※1)いずれのオプションも初期費用とは無料ですが、月額料金は1IDあたり100円(税別)とし、業界トップクラスの低価格を実現しています。また「外部サービス連携オプション」では、連携するSaaS・製品の数に制限を設けておらず、いくつご利用いただいても費用は月額100円(税別)です。「多要素認証オプション」で利用できる「IIJ SmartKey」は、iOSとAndroidに対応しており、無料でダウンロードできます。

その他、お客さまがお持ちの Active Directory(AD)との連携も基本機能として提供しており、ADのアカウントやグループ情報、パスワードをIIJ IDサービスに同期させることが可能で、社内と同じID・パスワードで各種SaaS・製品にSSOできます。

IIJ IDサービスは、こうした機能をリーズナブルな価格で実現していますが、その設備は国内のIIJデータセンターで運用・監視され、西日本と東日本で冗長構成を組んでいるため、大切なアカウント情報が国外で保存される心配もなく、大規模災害発生に備えることができます。

IIJ IDサービス導入の前後

企業ロゴの付いた「通行手形」

「通行手形(往来手形)」は、江戸時代に旅行者が所持していた身分証明書・通行許可証であり、これを持っていれば、関所を通ることができました。IIJ IDサービスでID管理・アクセス管理を行ない、認証が成功すれば、あらかじめ許可されたSaaSに自由に往来できるという点で、これは現代版の「通行手形」と言えるのではないでしょうか。

万が一、利用者になりすました第三者が正しいID・パスワードで認証を通過しようとしても、接続元IPアドレスを制限することで、指定された場所以外からのアクセスはブロックされ、本来の利用者が所持しているスマートフォンの IIJ SmartKey アプリにプッシュ通知が送られるため、不正なアクセスにすぐに気づいてブロックできます。

IIJ IDサービスは、ログイン画面に表示されるロゴ画像、ヘッダー・フッターの色、リンク先などをお客さまが独自にカスタマイズできる機能(無料)を提供していますので、自社のロゴを表示すれば、「通行手形」としてユーザに開示できます。(※2)

(※2)IIJ SmartKey アプリの名称は変更できませんが、アプリ内に表示する対象サービスのアイコンやアプリに表示するメッセージは自由にカスタマイズできます。

IIJ IDサービスをご利用いただくことで各SaaSのID管理を一元化し、一つのIDでセキュアにSSOできる環境が整います。今後「働き方改革」を進めるうえでSaaSを積極的に活用したいと考えている皆さまをサポートしていけるよう、引き続き追加開発を行なっていきますので、どうぞご期待ください。

インターネット関連の最新情報「IIJ.news」をお届けします

本記事が掲載されているIIJグループ広報誌「IIJ.news」は、インターネット関連の最新動向や技術情報をお届けする小冊子で、2ヵ月に1回発行しています。

定期購読をご希望の方には無料でお送りしますので、ぜひお申し込みください。

掲載内容はIIJ.newsページでご覧いただけます。

※IIJグループ広報誌「IIJ.news vol.142」(2017年10月発行)より転載