ゼロトラスト時代のIDaaS活用戦略

顧客のシステム環境が複雑化しています。リモートワークの定着、クラウドサービスの利用拡大、デバイスの多様化など。
それに伴い情報セキュリティの進化と新しい脅威に対応する必要性が求められています。従来のネットワークセキュリティモデルでは、
内部ネットワークと外部ネットワークを明確に区別し、信頼できる内部ネットワークと危険な外部ネットワークという前提でセキュリティを
構築していました。

しかし、現代の脅威環境では、内部からも外部からも攻撃が行われるため、この古典的なモデルは不十分になりました。
ゼロトラストセキュリティは、すべてのユーザーやデバイスに対して信頼を前提とせず、常に認証、認可、監視を行うモデルとなります。
この移行の背後には、次の要因が影響しています：

1. モバイルデバイスの普及：モバイルデバイスの増加により、従業員はさまざまな場所からネットワークにアクセスできるため、セキュリティの拡張が必要になりました。

2. クラウドコンピューティングの普及：クラウド環境でのアプリケーションやデータの使用が増加し、伝統的なネットワーク境界が曖昧になりました。

3. 複雑な脅威環境：マルウェア、フィッシング、ランサムウェアなどの高度な攻撃が増加し、従来のセキュリティ対策では対応できなくなりました。
ゼロトラスト移行は、セキュリティの強化とリスクの軽減を目指すために、多くの組織にとって重要なステップとなっています。

ゼロトラストの概念はセキュリティを強化するための包括的なアプローチであり、複数の検討項目を考慮、精査することが重要です。
ただし、具体的な状況に合わせてカスタマイズすることも必要となり、セキュリティコンサルタント等の助言を含め最適な戦略を策定します。
ゼロトラスト実装時の検討項目について、以下のポイントが考慮されることが重要となります。

1.アイデンティティとアクセス管理:
●ユーザーのアイデンティティ認証と認可を強化
●マルチファクタ認証 (MFA) の実装

2.デバイスセキュリティ:
●エンドポイントデバイスのセキュリティを確保し、不正なデバイスからのアクセスを防止

3.ログと監査:
●アクセスとアクティビティの監視を行い、異常なアクティビティを検出
●監査ログの保存

4.セキュリティの教育と訓練:
●従業員にセキュリティ意識を高めるトレーニングを実施

5.サードパーティのアクセス管理:
●サードパーティベンダーや外部パートナーに対するアクセスを管理し制御

6.セキュリティポリシーとポリシーエンフォースメント:
●セキュリティポリシーを策定し、それを遵守させるためのテクノロジーの導入

7.インシデント対応計画:
●セキュリティインシデントが発生した場合の対応プロセスを整備し、迅速かつ効果的な対応を実施
IPA(情報処理推進機構)発表資料の「ゼロトラスト移行のすゝめ」を参照すると最初に検討するべき項目は「アイデンティティとアクセス管理」となります。
内部・外部どちらからのアクセスに対してもすべて認証を確実に実施し不正アクセスから防御する必要があります。

●多要素認証 (MFA: Multi Factor Authentication)
ゼロトラストセキュリティにおいては、ユーザーのアイデンティティを確認するために、ID/パスワードだけでなく、MFAを使用することが推奨されます。
これにより、アカウントの不正アクセスを防ぎます。
MFAの実装には次の複数の認証要素を組み合わせて利用します。同一の要素を組み合わせての認証はMFAではありません。

1.知識情報（Something you know）: パスワードやPINコード、秘密の質問など、利用者が知っている情報による認証

2.所持情報（Something you have）: ワンタイムパスワード（OTP）で利用されるスマートフォン（OTP関連アプリ、電話番号へのSMS、E-mail）、物理トークン、証明書認証で利用されるICカードなど利用者が所有している物理的なデバイスによる認証

3.生体情報（Something you are）: 個人の身体的特徴に基づく認証。 指紋認証、顔認証、静脈認証など身体的特徴を事前にデータ化して登録した情報を利用した認証

ゼロトラストにおけるアイデンティティとアクセス管理は、ネットワークセキュリティの進化に対応し、高度なセキュリティを提供するための重要なコンポーネントです。セキュリティ専門家や組織は、これらの原則とベストプラクティスに従ってセキュリティ戦略を構築することが推奨されます。

アイデンティティ管理を実現する手段として、自社内にオンプレミスの認証基盤の導入と運用を自社で実施するには、
セキュリティ管理者とIDシステムの運用管理者を育成または外部から採用する必要があります。自社導入のため自由度が高く、
HA構成やBCP対策などSLAを基準に合わせて設定することができます。自社運用のため運用負荷が高くなり、運用コストが高くなる傾向にあります。
オンプレミスの認証基盤の運用に対して、IDaaSはアイデンティティ管理をサービスとして提供されているものを利用することで自社での運用不要とします。
一般的に利用費用は月額などのサブスクリプションで支払うため導入の初期費用が低額などのコストメリットもあります。

IDaaSの特徴はクラウドベースのサービスを通じてアイデンティティとアクセス管理を提供することで次のような機能を統合的に提供しています。

1.クラウドベース：IDaaSはクラウドベースのサービスであるため、インフラストラクチャやハードウェアの管理が不要

2.シングルサインオン（SSO）：1つの認証情報でオンプレミスアプリケーション、クラウドサービスなど複数のアプリケーションにアクセス可能とする。IDaaSがIdPをサービスとして提供し、SAMLのSPに対応したアプリケーションへのSSOを実現する

3.多要素認証（MFA）：IDaaSサービスとしてID/パスワードに加えてスマートフォンのOTPアプリケーションや生体認証デバイスを追加で提供してMFAを実現する

4.ユーザーアカウント管理：ユーザーアカウントの作成、変更、削除などを効率的に管理する

5.アナリティクス：IDaaSはアクティビティの監視や分析機能を提供する。セキュリティ監査への対応や、セキュリティインシデントの検知やアクセス負荷の傾向の分析が可能

6.サブスクリプション課金：利用費用は月額や年額のサブスクリプションとして課金。一般的にユーザー数ベースで課金される。付加サービスがオプション費用としてベースのサブスクリプションにアドオンされ利用したい付加サービスのみを追加することが可能

IDaaSは、企業や組織がアイデンティティとアクセス管理を簡素化し、セキュリティを向上させるための便利なツールとして広く利用されています。
多くのIDaaSプロバイダーが市場に存在し、さまざまな機能とプランを提供しています。適切なIDaaSソリューションを選択する際には、組織のニーズに合ったものを選ぶことが重要です。一般的にSLAは高く設定されていますが、IDaaSが利用しているサーバー(AWS、GCP、Azure等)の障害などで影響を受ける場合があります。IDaaSがダウンすると全てのサービスに認証ができなくなるため、事前に障害時の復旧対策を考慮する必要があります。特にIDaaSサービス事業者が提供するサポートサービスが顧客へ迅速に対応できるかが重要となります。

ゼロトラストを実現するためには、ネットワークの内外の区別をなくし常に信頼しないことを前提にセキュリティを実現することが必要です。
その中でもアイデンティティとアクセス管理は最も重要となる要素でアクセスしているのが正しいユーザーなのかを常に確認します。
認証はID/パスワードだけでなくクライアント証明書やワンタイムパスワード等を併用したMFAで強化します。
IDaaSはアイデンティティとアクセス管理を低コストで導入でき、自社での運用の必要がないためゼロトラストを実現するための
有用な選択肢の一つとなっています。
GMOトラスト・ログインは以下の3点から多くの支持をうけており、国内企業約8,000社(2023年現在)に導入いただいております。

■圧倒的な低価格
IDaaSで求められるフルスペックに加えクライアント証明書も含まれておりMDM（モバイル端末管理）等と連携しデバイスの制限も実現可能

■導入が早く充実しているサポートサービスも良い
全ての設定マニュアルはウエブサイトに標準公開。電話サポートによるクイックレスポンスが可能

■国産IDaaSの製品力
国内顧客のリクエストを製品開発に反映できる開発体制。電子証明書認証局ならではのセキュリティ基盤とノウハウ

是非、無料トライアルにて実際に触れてみてください。無料アカウント取得はこちらから。

以上