1. ID認証の選定が重要な理由
情報システムが利用され始めた当初、多くのサービスは社内からのみ利用することを前提としており、拠点とデータセンターは閉域網で接続されていました。しかし、近年、リモートワークをはじめとする多様な働き方が広がり、社外から業務システムやクラウドサービスにアクセスする機会が増えています。その結果、クラウドを活用した働き方への変革が急速に進んでいます。
クラウド活用が進むと、従来の境界型ネットワーク(社内=安全、社外=危険)を前提とした防御モデルだけでは、社外・クラウド利用を前提とした一貫したアクセス制御やセキュリティ統制を実現しづらくなります。こうした背景から、ゼロトラストモデルに基づくセキュリティを導入する取り組みが進んでいます。
ゼロトラストモデルにおける脅威防御は、単一の製品で完結するものではありません。「信頼しない(Never Trust)」「常に検証する(Always Verify)」という考え方を、ID、端末、ネットワーク、リソース、運用といった複数のレイヤに落とし込み、複数の仕組みを組み合わせて実装することで成立します。
ゼロトラストアーキテクチャは、主に次の5つのカテゴリで構成されます。
① 認証・認可
② ユーザー/デバイス(アクセス元)制御
③ ネットワーク制御
④ ITシステム/リソース(アクセス先)制御
⑤ セキュリティ運用
このうち①の「認証・認可」は、ゼロトラストの中でも重要なカテゴリです。
アクセス要求に対して「誰が」「どの端末で」「どの条件で」利用してよいかを判断するためには、まずIDを確実に識別し、適切に認可する仕組みが欠かせません。認証やSSO(シングルサインオン)などアクセス管理を担う「IAM(Identity and Access Management)」、IDや権限のライフサイクル管理、付与・変更・棚卸といったガバナンスを担う「IGA(Identity Governance and Administration)」、特権アカウントの保護や監査を担う「PAM(Privileged Access Management)」が代表的な技術要素です。
その中でも「IAM(Identity and Access Management)」(以下、IAM)は、ID管理の基盤であり、ゼロトラストにおける認証・認可の重要な要素です。そのため、IAMのアーキテクチャ選定(製品や認証方式、連携方式の選択)はシステム構成上の重要なポイントになります。どの製品を採用し、どの方式を選ぶかを誤ると技術負債が大きくなり、後からの見直しに多大な工数と労力を要することがあります。
そこで本ブログでは、IAMの構成(製品や認証方式)を検討する際の考え方とポイントを整理して紹介します。
2. IAMの代表的な構成
IAM基盤(ID管理・認証/認可の中核)の代表的な構成は、Microsoft Entra ID を中核に据える構成と、サードパーティ製品を中核に据える構成に大別されます。さらに Microsoft Entra ID を採用する場合は、オンプレミスと連携しない「 Microsoft Entra ID joined 」と、オンプレミスの Active Directoryと連携する 「Microsoft Entra hybrid joined 」の2つの方式があります。
それぞれの方式の特徴、一般的な適用シーンは以下のとおりです。
① Microsoft Entra ID joined
特徴:
・サインイン:Entra ID のIDを用いてサインイン
・SaaS/クラウド連携:Microsoft 365 をはじめ、各種 SaaS/クラウドサービスとシームレスにSSOしやすい
・運用前提:モダンな端末管理(例:Intune など)と相性が良く、クラウド前提の運用設計に寄せやすい
一般的な適用シーン:
・オンプレ依存を最小化したい場合
・新規導入や端末更改のタイミングで、クラウド起点の標準構成へ寄せたい場合
② Microsoft Entra hybrid joined
特徴:
・サインイン:オンプレADのIDを用いたサインイン
・SaaS/クラウド連携:SSOの中核は Entra ID が担い、クラウド/SaaS利用時の統制を取り込みやすい
・運用前提:オンプレADとの連携基盤(ID同期・構成管理・監視など)が必要となり、クラウド単体より構成が増えやすい
一般的な適用シーン:
・オンプレミス資産(ファイルサーバ、業務アプリ、端末運用)が多く残り、継続してオンプレミスの資産を活用したい場合
・既存のドメイン参加PC運用やグループポリシー等を活かしつつ、SaaS連携をしたい場合
③ サードパーティ製品
特徴:
・サインイン:既存の認証基盤(AD/Entra ID等)のIDを利用してサインイン
・SaaS/クラウド連携:複数クラウドや多種SaaSを横断する統制で強みが出やすい
・運用前提:追加ライセンス費用が発生しやすく、設計・運用には製品知識や運用スキルが必要
一般的な適用シーン:
Microsoft 365 以外のSaaS比率が高く、SSOや認証ポリシーを横断的に統一したい場合
グループ会社や複数テナント、複数のオンプレミスのドメインをまたいでID統合を進めたい場合
コストをかけてでも、SaaS連携の拡張性や認証制御の柔軟性を重視したい場合
また、これらの方式を「導入負荷」「運用負荷」「オンプレ連携」「SaaS連携」「規模感(コスト)」といった観点で比較すると、以下の通りとなります。
凡例: ◎=最適 / 〇=問題なし /△=制約あり/▲=懸念あり
以降では、選定時のポイントを整理しながら、どの方式を採用するか検討するためのポイントを解説します。
3. 選択のポイント
一般的に、ゼロトラスト化における認証方式の選択は、「既存の資産をどう活かすか」と「将来どの程度クラウドへ移行するか」のバランスによって決まると考えられがちです。しかし、本質的に検討すべき観点は「将来どこまでクラウド移行するか」という割合の問題ではありません。重要なのは、ゼロトラスト環境の認証基盤をクラウド単独で完結できないかと検討することがポイントです。
なぜなら、一度オンプレミス環境と接続した認証方式を採用すると、ポリシー再設計やデバイス再登録などの大きなコストが発生するため、後からの変更は容易ではありません。
仮にオンプレミスに残さざるを得ないシステムが存在する場合でも、認証基盤までオンプレミスと連携する必要があるとは限りません。たとえば、オンプレミス資産へのアクセスは仮想デスクトップなどを経由させる構成とすることで、業務要件次第で、認証基盤の連携を不要とできる場合があります。
このように、以下のようなケースに当てはまらない限り、クラウド完結型である Microsoft Entra ID joined の構成 を第一候補として検討することを推奨します。
(1)複数のオンプレミス環境のドメインにあるIDを、統合して認証する必要があるケース
・サードパーティ製品の採用を検討
(2)オンプレミス環境で活用し続けなければならない資産が多数存在し、かつシングルサインオンが必須であるケース
・(複数ドメインの場合)サードパーティ製品の採用を検討
・(単一ドメインの場合)Microsoft Entra hybrid joined 構成 の採用を検討
いずれの方式を採用する場合であっても、現在の環境のAs-Isと将来像であるTo-Beを明確にし、段階的なロードマップを策定することが重要です。さらに、小規模なPoCで技術的・運用的な妥当性を検証することが、成功に導く鍵となります。
4.おわりに
ゼロトラストの実現において、IAMの構成(製品や認証方式)は、全体設計を左右する大事な要素です。現状の制約に引きずられるのではなく、将来のアーキテクチャを見据えた視点で選定することが重要です。
本記事が、認証方式を検討する際の一助となれば幸いです。
※記載されている会社名、 商品名、またはサービス名は、各社の登録商標または商標です。