SmartCloud コラム

ハイブリッドクラウドにおけるセキュアなID管理とは?その課題と対処方法について

2021.01.26IAM

thierry-winter2.png

 
 
 
 
 
 
 
 
著者:Thierry Winter(Evidian IAM製品のCTO)

ハイブリッドクラウド導入の際の問題とは

ハイブリッドクラウドを使用しているユーザ向けのID管理サービス(IDaaS) は困難なものであり、まだ確固としたものは実現できていません。サービスは存在しますが、オンプレミス向けのIdentity Access Management (IAM) であり、ユーザが期待する機能を実現していません。アナリストの方々は、ハイブリッドクラウド向けのIAMサービスの欠如がハイブリッドクラウド導入の際の大きな問題であり、ベンダーが早急に解決しなければならない問題であると指摘しています。

 

機能の実現が遅延している理由は非常に多くあり、第一に、IDaaS自体 (Identity as a Service) が複雑であることに起因しています。複雑な機能としては、顧客のオンプレミス環境とクラウド環境の両方にある、多様なアプリケーションとシステムに適用される、IDガバナンス、アクセス管理、および分析機能があります。

ハイブリッドクラウド上でIDaaSを使用するには

ハイブリッドクラウド上でIDaaSを使用する場合、オンプレミスからIDaaSに IAMソフトウェアをデリバリーするモデル化を実装する必要があり、その状態に移行するには、ベンダーは以下の3つの分野に注目する必要があります。

①人材スキルの適応
②技術的アプローチ
③プロダクトラインプロセス
人材スキルの適応

第一に、アジャイルの原則を採用するために、少人数のチームと強力かつ組織横断的な調整力により、人材スキルを進化させる必要があります。技術者は最新のユーザインターフェーステクノロジー、クラウドで準備されている設計手法やセキュアな設計を学び、また、最新の機能を持続して改良するDevOpsサイクルを準備して、従来のオンプレミスリリースよりも高品質で短いサイクルで提供しなければなりません。

技術的アプローチ

第二に、先端技術がキーとなります。バックエンドでは、すべてのビジネス機能がセキュアなAPIによって提供されます。フロントエンドでは、洗練された見栄えや使用感が最重要です。エンドユーザは直感的で、速く、効率的で優れたものを求めているのです。

プロダクトラインプロセス

最後に、プロダクト管理も進化させる必要があります。IDaaS適用に向けた現実的な推進計画には、「大きく考える、小さく始める、速く成長する」アプローチが含まれます。

 

•プログラムをフェーズで分割し、デリバリーにおいて、顧客への最適な価値を提供する
•最初に最小限のプロダクトを提供し、次に必須機能と差別化機能を追加する
•可視性を維持し、 暗黙知による弊害を回避することで、必須となる基本プロダクトのSaaS (Software as a Service) への適応を行い、新機能とバランスをとる

 

その結果、顧客はIAMからIDaaSへの移行の際、段階的なアプローチというメリットを得ます。たとえば、フル機能のIDaaSサービスの提供には、次の3つのステップが含まれます。

 

•フェーズ1:IDaaSのおかげで、顧客は従来の管理サービスだけでなく、自律的にIAMを管理できるようになる
•フェーズ2: 新しい認証原理と適切なセキュリティスキームを適用することで、特にWebネイティブソフトウェアやモバイルアプリのようなSaaSモデルを活用できるようになる
•フェーズ3:組織の多様なエンティティ(機能)間におけるIAMガバナンスの高度な相互活用のような、最も複雑な顧客の環境にまでIDaaSの範囲を拡大する

IDaaSのために豊富な機能セットが必要なのはなぜか?

アクセス管理がSAMLやOpenID Connectを使用したIDフェデレーションのような初期段階のIAMサービスであっても、顧客が慣れているのはロール(役割)と権限ライフサイクル管理 (職務分掌 :SoDを含む) 、アクセスポリシー認証のような従来のオンプレミスで実現されている機能の効率的な活用です。

 

つまり、顧客はすでに重要なビジネスユースケースを処理するための高度な構成とワークフローを備えたオンプレミスのIAMセキュリティモデルに慣れており、メリットを認識しています。

SaaSモードで軽量なIAMツールに移行するには、何ヶ月もかけて改良された導入手順を準備することが必要となり、最終的に社内のエンドユーザの満足度を高めなければなりません。IDaaSはオンプレミスと同等の機能を提供する必要があります。そうしなければ、顧客は既存のオンプレミスを拡張することを選択し、将来的にハイブリッドIDaaSへの移行がさらにコストがかかるいうリスクがあります。

 

何よりも、IDガバナンスは 「基礎」 ですが、IDプロビジョニングによって具現化される 「適用事例」 は、IAMの実装全体を明確かつ効果的にするために重要です。グローバルで共通のガバナンスワークフローを通じたSaaSアプリと共に、オンプレミスのレガシーアプリを提供することで、ハイブリッドなアプローチによってこそ、すべてのユーザのニーズを満たすことが出来ます。


そのために、クロスドメインID管理システム (SCIM) などの標準を活用したスマートでセキュアなIAMゲートウェイは、クラウドのIDaaSと顧客のオンプレミス環境の間のデータフローを担い、最適化し、セキュリティ保護するハイブリッドなIAMにおける重要なコンポーネントとなります。

どのような機能がIDaaSを成功させるか?

IAMの管理者と、エンドユーザが受けるメリットについてふれますと、以下のようなものがあります。
・1つのウィンドウからのアクセス
・単純化されたワークフロー支援
・認証のためのAIによるIAMプロセス
・アクセスガバナンス
・職務分掌の管理  etc


このようなメリットのある機能を可視化・実現するのに必要な開発フレームワークとして以下のようなものがあります。
・IAM情報の作成、読み取り、更新、削除のためにOAuth 2を使用したセキュアなAPI
・ユーザ支援するUIや処理速度の平均化など、バックエンドを効率するマルチテナント機能
・柔軟性のあるクラスタリング
・従来のオンプレミスよりも短い配信サイクルで品質を担保した最新版をリリースすることを目的とし、永続的な改善を促進するDevOps

なぜこのようなことを正しくする必要があるのか?

全体として、中期的に顧客は、脅威インテリジェンス、ユーザおよびエンティティの動作分析など、IAMに隣接するすべてのセキュリティ・ドメインを相互に分析し、運用できるようになります。このような相互分析性は、SOC(セキュリティ・オペレーション・センター)のインテリジェントな監視機能によって実現されます。

 

このような「Prescriptive IDaaS」は、まさに到達すべき目標と想定しています。

 

thierry-winter_0114043347.png 著者:Thierry Winter
 Evidian IAM製品のCTO。Scientific Communityのメンバー。
  フランスの国立電気通信高等学校を卒業。仏大手ソフトウェア企業  Bull社のソフトウェア部門でネットワークとアプリケーション管理のプロジェクトからキャリアスタート。QoS管理とセキュリティに関する複数の特許を申請。2000年からIDおよびアクセス管理をターゲットとしたEvidianソリューションのセキュリティ研究開発を主導しました。Evidian社のCTOとして、Evidian社の様々な製品ラインの研究開発活動を指揮。Eureka、FP 7、H 2020 Aでセキュリティガバナンスを対象とした多くの共同プロジェクトに参加。終了した3つのITEAプロジェクトのイニシエーターおよびプロジェクトコーディネーターとして活躍、2002年 (PEPITA) と2011年 (MULTIPOL) においてそれぞれ最優秀賞を受賞。Atos Scientific Communityのメンバー。Distinguished Expert。Systematic-Paris-Region ICTクラスタのDigital Trust&Securityテーマグループのプレジデント。 

 

出典元:Atos社グローバルサイトブログ(Atos社に許可を得て、弊社にて和訳しております。)

NTTコムウェアは、Atos社と戦略的協業契約を締結しております

atosLogo_RGB_triming.png

関連するダウンロードコンテンツ

今求められるIAM(Identity & Access Management) とは? サムネイル
今求められるIAM(Identity & Access Management) とは?

激変する企業のIT環境で注目されているIDやアクセス認証を統合管理するIAMについて、その必要性を、市場動向などの定量的なデータを元に解説しています。


関連する記事


ページトップへ

お問い合わせ

「IAMソリューション」問い合わせ

資料請求・お問い合わせ

ページトップへ