IAMマネージドサービスの可能性と選び方：IAMに取り組む方法【後編】

IAMマネージドサービスの選択に当たっては、確認すべき項目が多数ある。自社に最適なサービスをどう選べばいいのか。検討項目や推奨事項を紹介する。

[Warwick Ashford，Computer Weekly]

　前編（Computer Weekly日本語版　10月7日号掲載）では、重要性が増すIAMとマネージドサービスとしてのIAMの登場について解説した。

　後編では、IDファブリックの定義やIAMマネージドサービスの可能性、IAMマネージドサービスの選び方を解説する。

将来のIDファブリックの定義

　IDファブリックは1つの概念だ。あらゆるユーザーをあらゆるサービスに接続する1つのツールではない。全種類のIDの一貫した方法での管理、サービスへのアクセスの管理、サードパーティープロバイダーの外部ID統合のサポート、自社独自のディレクトリサービスの軸となるのがIDファブリックだ。

関連記事

• 外部ユーザーのITアクセス管理方法
• セキュリティの未来を担うID・アクセス管理
• コンテナセキュリティにゼロトラストを適用すべき理由
• Microsoft、Googleのゼロトラスト対応
• アクセス制御に関するミステイク・トップ5

　IDファブリックの概念は、論理的なインフラを表す。この論理インフラにより、全ての人やモノがどこからでも1つの一貫したフレームワークの任意のサービスにアクセスできるようになる。このフレームワークは、全体が明確に定義された疎結合型のアーキテクチャの一部として含まれるサービス、機能、ビルディングブロックで構成される。このアーキテクチャは、セキュリティが確保されたAPIによって均一的に提供されるのが理想的だ。

　IT部門はこのIDファブリックのパラダイムを使って、自社の将来のIAM機能とそれをデジタルサービス、SaaS、オンプレミスのレガシーIAMシステムとどのように連携させるかを計画することができる。IDファブリックの概念は、必要となる主な機能やサービスを特定するのにも使える。IAMを近代化し、時代遅れにしないために最新のアーキテクチャを使って機能やサービスを実装する方法に関するガイダンスを提供できる。

　IDファブリックは、ID管理の高度なアプローチをサポートするデジタルサービスの開発者が必要とするAPIやツールの提供を重視する。ID管理の高度なアプローチには、適応型認証、監査機能、包括的なフェデレーションサービス、「OAuth 2.0」や「OpenID Connect」のようなオープン標準による動的承認などがある。

IAMマネージドサービスの実行可能性

　多国籍企業の選択肢の一つは、グローバルでIDaaSを運用するマネージドサービスプロバイダーだ。こうしたマネージドサービスプロバイダーは、ハイブリッドITの現実の要求に応えると同時に、全てがクラウドによって提供される未来のIT環境への段階的な移行を可能にする。IAMの包括的なマネージドソリューションは、サービスとして運用されながら、多国籍企業が一般的に必要とする高度なカスタマイズも可能にする。

　IAMのフルマネージドサービスを選択する場合は、そのサービスを提供する全ての国や地域で次のことを確認する必要がある。

• 技術スタックの一貫性
• プロセスの一貫性
• 運用モデルの一貫性
• 地域的な柔軟性（言語や規制など）
• 規制への順守
• 多言語サポート

　ローカルな言語、プロセス、規制の要件を満たせる柔軟性を備えたグローバルなIAMをコスト効果の高い方法として、自社のIAMを中短期間as-a-service型のサービスに移行する企業が増えている。

　包括的なIAM機能には、次のような重要な機能が含まれる。

• オンプレミスとクラウドにある既存ディレクトリサービスのサポート
• IDの全情報ソースの統合
• オンプレミスとクラウドにある多種多様なシステムへのコネクター
• パスワード管理やアクセス要求などのセルフサービス機能
• 主要機能にアクセスするためのモバイルインタフェースのサポート
• アクセス要求管理とアクセス確認のプロセス
• 職掌分離管理と権限管理
• 一元管理ユーザーインタフェース
• APIの強力なセットとハイブリッドIT環境のサポート
• マイクロサービスとコンテナに基づく最新アーキテクチャ

　こうした機能の全てまたはその大半を備えたIAM as a Serviceは、クラウドやIAMのサービスベースのモデルにすぐには移行できない企業が実行可能な中短期の選択肢を提供する。IAMのマネージドサービスにより、企業は最新のスケーラブルなIAM機能を迅速かつ容易にデプロイして、カスタマイズと標準化のバランスを取るメリットを得て、自動化と標準化を行ったIAMプロセスを使ってアプリケーションやサービスを迅速に展開できるようになる。

推奨事項

　多国籍企業は、自社IAMをIAMマネージドサービスプロバイダーに切り替えることを検討する。こうした切り替えにより、自社固有の要件を満たす複雑なハイブリッド環境をサポートする、グローバルな環境でIAMインフラを運用する、管理が容易なIAMに段階的に移行するといった課題に対応できるようになる。

　IAM as a Serviceをグローバルに運用すると、IAMの実装に関連するリスクを生じさせずにグローバルIAMのメリットを得ることができる。グローバルなIAM as a Serviceにより、全ての地域にわたる単一の最新運用モデル、明確に定義された説明責任と責務、SLAに支えられ、明確に定義されたIAMサービス、地域の言語、プロセス、規制の要件を満たす一貫性と柔軟性が確保される。このアプローチは、スケーラビリティ、一貫性、コスト、規制の順守といったグローバルIAMの主要な課題に対処しながら、導入に関する全ての課題を回避する。

　マネージドサービスとしてのIAMは多国籍企業が直面する多くの課題に対処できるソリューションを提供する。だが、マネージドサービスを含む全てのアウトソーシングには取り組みを行う前に慎重に考慮しなければならない独自の課題が伴う。マネージドサービスを選択する場合は次のことを確認する必要がある。

• 自社独自のIAM、その機能、サービスなどを定義し、マネージドサービスプロバイダーは定義されたものを必要に応じて実装して運用するだけであること
• マネージドサービスプロバイダーを容易に変更できること、そしてマネージドサービスプロバイダーへの長期にわたるロックインがないこと
• マネージドサービスプロバイダーは、柔軟性があり必要に応じてスケールを変換でき、従量課金制のライセンスモデルを提供するクラウドスタイルの導入モデルを提供すること