こんにちは、伊藤忠テクノソリューションズ（以下、CTC）瀬尾です。

　2019年5月21日、CTC は東京・霞が関本社のセミナールームにおいて、初開催となる『CDEC 1.0』を主催しました。CDEC 1.0 では「ハイブリッドクラウド時代のユーザー認証」をテーマにご参加企業とディスカッションを行いました。ディスカッションでは、ご参加企業が抱える課題に加えて各社の経験やナレッジ、CTC の事例もあわさることで、課題解決のヒントとなる有益な情報交換及びディスカッションが展開されました。

　本記事では、ディスカッションの模様を簡単にレポートします。

▼ 目次
・ディスカッションテーマ
・ディスカッション

1. ディスカッションテーマ

　今回のテーマは「ハイブリッドクラウド時代のユーザー認証」。後半のディスカッションに備え、CTC が下記の点について現状整理を行った。

• 認証/ID管理についての最新トレンドと導入事例
• 第2世代認証基盤の具体例

1-1. 認証/ID管理について最新トレンドと導入事例

　まずはじめに、CTC エンタープライズビジネス企画室 プロダクトビジネス推進部の土井 寛子が「認証/ID管理についての最新トレンド」を整理するとともに、CTCの導入事例について語り始めた。

　土井は ID と認証について振り返った。「そもそも IDとはIDentityの略であり、認証情報と認可情報、属性情報で構成されています。認証基盤には「認証（Authentication）」、「認可（Authorization）」、「証跡（Auditing）」、「管理（Account Management）」という4つの機能（4A）が必要です。」

　認証とID管理は、図 1 に示すような変遷をたどり現在の姿へと至った。

図 1. 認証とID管理導入にまつわる経緯

　土井は、第1世代は製品個別導入期であり、LDAPやAD、SSO、ID管理などが個別に導入されていったと説明した。「この世代の初期段階ではIDM（ID Management）の概念がなく、IDやパスワードの管理を人手で行うのが当たり前であり、アプリケーション毎にユーザーリポジトリーが存在することが一般的でした。そのためIDとパスワードがシステム毎に異なっており、ユーザーメンテナンスに膨大な手間がかかる上、ユーザーの利便性も阻害されていました」。

　「この状況を打開するため次の段階で導入されたのが、ディレクトリーサービスです。LDAPへとID情報を統合し、IDとパスワードの集中管理を行えるようにしたのです。しかし運用者の利便性は高まったものの、ユーザーは依然としてシステム毎にログインを行う必要があり、ユーザーの利便性向上の効果は限られていました。その次に導入されたのがSSOです。LDAPとSSOサーバーを連携させ、各アプリケーションの認証をSSOサーバーに任せることで、ユーザーは1回の認証で複数システムを使えるようになったのです。」

　「シングルサインオンの主な方式としては、Webアプリケーションのみを対象にした『Web SSO リバースプロキシ型』と『Web SSO エージェント型』、クライアント＆サーバを含む多くのアプリケーションをカバーできる『エンタープライズSSO』が存在していました。」

　「その後、ID情報の統合管理を可能にするIDMサーバーが導入されるようになり、IDのライフサイクル管理が実現可能になりました」と土井は語る。

図 2. 【第1世代】IDM発展の歴史 IDライフサイクルの管理

　「しかし、このように順次発展してきた『第1世代』は、あくまでも社内から "オンプレミスシステム" にアクセスする」という前提のもとに構築されてきたものでした。この前提が崩れてしまえば当然、認証やID管理にも新たなルールと基盤づくりが求められるようになります。モバイルデバイスからクラウドへとアクセスするのが当たり前の時代には、ネットワークに物理的な境界線を設けることができないためです。

　そこで『第2世代』が登場した。その具体的な形態は、社内の認証基盤とクラウドサービスの認証を連携させ、海外事業所やパートナー、オフィス以外の場所からのアクセスも認証連携等で可能にするというものです。

　また社内からのアクセスでも、BYOD端末のような管理端末以外のものをカバーする必要があります。なお第2世代を実現する際には、IDを分散管理にするか集中管理にするか、各国法への対応をどうするか、認証連携をどのように実現するか、認証対象となるグローバル拠点やグループ企業で共通のルールや運用をいかにして決めていくか、という課題もあると指摘します。

図 3.【第2世代】現在の認証基盤

　さらに、新たな技術要件への対応も求められます。

　その例として土井は、SNSアカウントとの連携、標準化された認証/認可/ID連携プロトコル、生体認証やリスクベース認証などの認証手段の強化、FIDOのような認証の部品化を挙げます。「FIDOのユースケースとしては、PC上のアプリケーション利用時の認証を、スマートフォン上のFIDO認証で行う、といったものが考えられます。またID As A Service（IDaaS）の出現も、重要なトレンドだと言えます」。

　さらに土井はCTCにおけるIDM導入事例を紹介。すでに第2世代へと移行しており、ほぼ全てのシステムで自動的なID連携とSSOを実装していると説明します。（これに関してはディスカッションのテーマの1つとなったため後述します）

1-2. 第2世代認証基盤の具体例

　それでは『第2世代』の認証基盤が実現されることで、具体的にどのような形のシステムが可能になるのでしょうか。これについて、CTC 情報通信第２本部 システム技術統括部の村上 匡人が「SaaS 型チャットボットプラットフォーム Benefitter」を例に挙げて語った。

　「Benefitterとは、ユーザーと多種多様なシステムやデータを対話（チャット）で直結する、SaaS型のプラットフォームです。BenefitterはAmazon Web Services（AWS）上で稼働しますが、AWS外部の各種メッセンジャーやWebサーバー、他のパブリッククラウド上のシステム、社内システムと柔軟に接続できる、統合型ボットプラットフォームとなっています。多様なシステムの認証連携が可能な第2世代認証基盤があればこそ、このようなプラットフォームもセキュアな形で運用できるのだと言えます。」と語った。

図 4. 第2世代認証基盤とSaaS型チャットボットプラットフォーム

2. ディスカッション

　「ハイブリッドクラウド時代のユーザー認証」をテーマに現状を整理した後、ご参加企業の間でディスカッションが開始された。

　冒頭にまず、CTCは事例について改めて解説。現在はMicrosoft Azure ADへの認証統合のPoCが進められており、認証基盤をオンプレミスからクラウドへと移行しつつあると説明されました。

　これに対して参加企業から「なぜAzure ADなのか？」という質問があがった。WebであればAzure AD以外のIDaaSの選択肢があるにもかかわらず、Azure ADにした理由が問われた。

　質問に対して CTC は「すでに以前からADを使っており、これまでその統合の努力をしてきた延長線上にAzure ADが存在します」と述べ、「すでにMicrosoft Office 365の活用も進めており、他の手段では設計からやり直す必要があったため、Azure ADへの移行は必然的でした」と続けました。

　続けて「境界防御は重視していないのか？」という質問があがった。

　この質問に対して CTC は「そのとおり、ゼロトラストの考え方が基本にあります」と回答した。



　一方で、CTC が参加企業に対して「直面している課題は、具体的にどのような課題ですか？」と質問した。

　すでにOffice 365を活用しており、ADFSからAzure ADへの移行を進めているという参加者は、「すべての端末がWindows 10になっていないことと、Google Cloud Platform(GCP）との連携がボトルネックになっている」と言及。CTCと同じようにクラウド認証はすべてAzure ADを起点にしたいものの、現在の状況ではライセンス料が過大にかかることになるため、なかなか移行が進まないと述べた。

　一方で「業界によってはクラウドそのものへの不安感が未だに存在する」という指摘があった。特に国内の防衛産業や官公庁では、その傾向が強いそうだ。その上で「これは漠然とした不安であり根拠はないのではないか、実際に米国基準を採用する海外の防衛企業では名の通ったクラウドでなければ要件を満たせないとするケースもある」と指摘があった。

まとめ

　初回となる CDEC 1.0 では「ハイブリッドクラウド時代のユーザー認証」をテーマに、下記についてご参加企業とディスカッションを交わしました。

• 認証基盤の今後
• 認証基盤への新たな技術要件について
• ご参加企業のご経験やナレッジ、CTC の事例をもとにした、ハイブリッドクラウド時代における認証基盤の在るべき姿

　他にも、興味深い議論が展開されたが、各社の機微に触れる内容も多く、本レポートでは割愛します。

　CTC は、今後も CDEC を主催して企業間の情報交換を活性化させ、得られた知見をお客様へ積極的に還元するとともに、CTCのサービスや他のクラウド事業者との連携などにフィードバックしていきます。

　本コミュニティにご興味を抱かれた方は、ぜひともCDECにご参加ください。

　尚、「CDEC」の開催案内メルマガの登録方法のご説明及び、レポートのバックナンバーは下記よりご覧いただけます。