SaaSを利用したID管理
前回の通り、サーバーワークスでは、「作らない社内システム」を実現しつつ、セキュリティを強化するさまざまな施策を行っています。施策の1つが、ID管理です。
ID管理を強化する施策を実施することになった大きなきっかけは、社内でのクラウドサービスの普及です。以前は、オンプレミス環境のみで、ID管理、グループウェアを利用をしていました。より社員の生産性を向上させ、「作らない社内システム」を実現するため、また新しいサービスを自社で検証することで確実に良いと思えるサービスをお客様に提供するために、さまざまなクラウドサービスを利用することになりました。
複数のクラウドサービスを利用することにより、クラウドサービスごとにユーザーIDの発行が必要な事態となり、これを一元的に管理するためにSaaS型のID管理サービスの導入を実施しました。
ID管理で抱えていた課題
昨今は、クラウドサービスを社内システムとして利用するのが当たり前になってきています。
弊社では、より社員がはたらきやすい環境を実現するために、さまざまなクラウドサービスを利用しています。クラウドサービスを利用するということは、そのサービス毎にユーザーのIDを発行する必要があります。利用するサービスが増える度にIDが増えていく状況は、当時のサーバーワークスでは、非常に大きな課題となっていました。
当時のID管理環境は、Active Directoryを中心として管理し、オンプレミス上に構築した、グループウェアやファイルサーバと認証を連携させていました。
また、クラウドサービスによっては、既存のADと認証連携ができないことから、個別にIDを発行、個々人がパスワードを管理するといった状況でした 。
ユーザーや管理者は便利なサービスを利用して業務効率化しているつもりが、以下のような問題を抱え、ユーザーや管理者の負担が大きくなってしまっていることに気がついたのです。
- 複数のID・パスワードを使用する煩雑さ
- 社員がID・パスワードを忘れるリスク
- ID・パスワード管理負担
- 使いまわしパスワードの漏えいリスク
さらに問題になるのが、パスワードポリシーです。
当時は、パスワードポリシーを指定して、それにのっとった形で、パスワードを設定する方式でした。しかし、個別でIDが発行されることにより、ユーザー自身がパスワードを容易なものに設定してしまう可能性や、複数のサービスで同じパスワードを使いまわすなどの問題が発生します。
この対策の一案として、パスワードマネージャの導入を検討しました。
パスワードマネージャを利用すれば、ユーザーが各クラウドサービスに複雑なパスワードを設定しても、ユーザーが覚える必要がなくなると考えました。
しかし、パスワードマネージャでは、あくまでもパスワードをユーザーに管理させるだけで、管理者側からパスワードポリシーを強制することができないため、一元管理化が難しいという結論に至りました。
その結果、パスワードマネージャを利用するのではなく、認証情報を一元的に管理できるSaaS型のシングルサインオンのサービスを検討することにしました。
SaaS型を選んだのは第1回で記載しているとおり、自社で独自にシングルサインオンの仕組みを構築、管理するよりも、優れたサービス提供者のクラウドサービスを利用するほうが、良いという判断でした。