近年では、企業で利用するアプリケーションやインフラをオンプレミスからクラウドへ移行するクラウドシフトの流れが大きくなっています。そこで、増大するIDやパスワードなどのアイデンティティ管理の業務負荷を軽減するため、IDaaS(Identity as a Service)を検討する企業が増えています。しかし、IDaaSにはさまざまな課題が存在します。課題のひとつに「アプリケーションの接続性」が挙げられます。
IDaaSは連携できるアプリケーションに制限があるため、既存のレガシーなWebアプリケーションを継続利用できるソリューションの検討が重要となります。この解決策となるのがIceWall IAPソリューションです。
この記事では、HPE IceWall IAPソリューションについて、概要やメリット、必要性などを紹介します。
IDaaSとは?
IDaaS(アイダース)とは「Identity as a Service」の略称で、クラウド上でID認証やIDパスワード管理、シングルサインオン (SSO)、アクセス制御などを提供するサービスです。
クラウドサービスを活用する機会が増えたことにより、IT環境は複雑化し、ユーザー情報の管理も煩雑になっています。
管理の効率化やユーザーの利便性向上、セキュリティの強化などを目的に、IDaaSの導入が検討されています。
IDaaSの機能
IDaaSの具体的な機能は以下の通りです。
- 認証
- IDプロビジョニング
- 認可
- ログ監査
IDaaSの課題
IDaaSでは利便性、セキュリティ向上が期待できる一方で、課題も存在します。接続性、コスト、柔軟性、セキュリティ、保守・サポートのそれぞれの課題について、以下で説明します。
IDaaSの課題1 :接続性
まず、IDaaSは接続可能なWebアプリケーションが限定されます。また、システム全体の認証統合が難しいケースも散見されます。
IDaaSの課題2 :コスト
次に、コストの読みにくさがあります。IDaaSは通常、ユーザー課金のため、ユーザー数の増加が見込まれる場合、将来のコストが読みにくくなることがあります。また、長期的に利用する場合、高額なコストがかかることも考えられます。
IDaaSの課題3 :柔軟性
IDaaSでは、柔軟性も制約されます。標準化された機能やレイアウトに合わせる必要があるため、自社の独自なニーズに合わせたカスタマイズが難しくなることがあります。
IDaaSの課題4 :セキュリティ
IDaaSでは、IDパスワード情報がクラウド上に保存されるため、セキュリティ上のリスクが存在します。過去に情報漏洩事故を起こしたサービスもあるため、信頼性に対する懸念が生じます。
IDaaSの課題5:保守・サポート
さらに、保守・サポートに関する問題もあります。IDaaSを提供するサービスが早期に終了する場合、利用者は急にサービスを利用できなくなるリスクがあります。また、障害や問題が発生した際には、一時的に業務システムへアクセスができなくなり、影響範囲は広くなります。
接続性に関する課題
前述したようにさまざまな課題が存在するなかで、今回は接続性に焦点を当てて説明します。
IDaaSは基本的に認証を行いたいWebアプリケーション側がSAMLやOIDCに非対応の場合、認証の統合ができません。 SAMLやOIDCに非対応のWebアプリケーションの場合、IDaaSとシームレスな認証ができないため、Webアプリケーション側で改修が必要となります。改修には、専門的な知識が求められます。
クラウドネイティブではないオンプレミスのWebアプリケーションが存在する環境ではIDaaSと連携できず、ゼロトラストセキュリティを実現できないおそれがあります。
そこで、上記のような課題を解決し、ゼロトラストセキュリティ実現のために必要となるのがIAPソリューションです。
アイデンティティ認識型プロキシ(IAP)とは
アイデンティティ認識型プロキシ(IAP=Identity-Aware Proxy)とは、ユーザーとアプリケーションの間に入って通信を仲介するプロキシです。IdP(Identity Provider)での認証結果に基づき、ユーザーの属性・アクセス元・端末の状況などに応じたアクセス制御を行います。
SAMLやOIDCに非対応のレガシーなWebアプリケーションでも、IAPが通信を中継してアクセスを制御することにより、高いセキュリティを維持できます。
HPE IceWall IAPソリューションとは
HPE IceWall IAPソリューションとは、シングルサインオン基盤としてIDaaSを選択した際の、 SAMLやOIDCに非対応のレガシーなWebアプリケーションとの連携に特化したソリューションです。国内で15年以上にわたってトップシェア(※)を誇る認証プラットフォーム「HPE IceWall」の、一部の機能(レガシーシステムのIDaaS連携機能)をパッケージ化して作られました。
IceWall IAPソリューションは、SAMLやOIDCに非対応のWebアプリケーションと、アクセスする端末との間にリバースプロキシサーバーを設置して、アクセスを中継する仕組みを提供します。IceWallによるリバースプロキシ方式接続は、Webアプリケーションの改修を必要とせず、バックエンド接続可能という特徴があります。このリバースプロキシ方式は既存Webアプリケーションへの制限が少なく、ほとんどの環境にリバースプロキシによる代行入力でSSOが適用可能という特徴があります。
IDaaSでの認証とレガシーなWebアプリケーションを橋渡しするIAPとして機能し、業務システム全体の認証統合を実現できます。
なぜHPE IceWall IAPソリューションが必要なのか
HPE IceWall IAPソリューションは、IDaaSの認証対象ではないSAMLやOIDCに対応していないオンプレミスのWebアプリケーションも認証統合したいというニーズに特化したパッケージです。通常は、WebアプリケーションをSAMLやOIDCに対応させる改修が必要となります。IDaaSでは、レガシーアプリ対応の機能を提供しているものもありますが、接続が難しいケースも少なくありません。
HPE IceWall IAPソリューションを導入することで、ハイブリッドな環境の認証統合を実現することが可能です。
HPE IceWall IAPソリューションのメリット
HPE IceWall IAPソリューションを導入することで得られる主なメリットは以下のとおりです。
ユーザーの利便性が向上する
SAMLやOIDCに非対応のWebアプリケーション、クラウドネイティブではないレガシーなWebアプリケーションでもIDaaSとの連携が可能となり、シングルサインオンを実現できます。ユーザーは一度のログインでクラウド・オンプレミス問わずすべてのWebアプリケーションにアクセスできるため、利便性が向上します。
Webアプリケーションの改修は不要
本来、IDaaSとレガシーなWebアプリケーションを連携させるためには、Webアプリケーションに対して改修が必要です。しかし、HPE IceWall IAPソリューションであれば、リバースプロキシを介してアクセスするため、Webアプリケーションの改修は不要です。専門知識やリソースをかけずにシングルサインオンを適用できます。
買取型とターム型のライセンス体系を用意
ライセンス体系は、ターム型と買取型(永続ライセンス)の2種類が用意されています。自社の利用状況に合わせて、柔軟に選択できます。
IceWallの活用事例
実際のユースケースを紹介します。
ある企業はゼロトラストセキュリティの必要性を感じ、今後Azure ADをIDaaSの認証基盤として利用していく予定です。しかし、オンプレミス環境にも重要な基幹システムなどが複数残っており、すべてを早急にクラウドへ移行することは難しい状況でした。
IDaaSを導入してもオンプレミス環境のアプリケーションを認証できないため、複数の認証基盤が必要となり、利便性の低下や管理負荷が懸念されます。今後、オンプレミス環境は縮小していく予定ですが、早急にセキュリティ要件を満たしつつ、中長期視点で利用できる認証基盤の構成を課題としていました。
そこで、解決策となったのがHPE IceWall IAPソリューションの導入です。オンプレミス環境のWebアプリケーションをHPE IceWall IAPソリューションがリバースプロキシによる代行入力することで、システムを改修せずにIDaaSとの連携が可能となりました。
認証基盤が統合されたことで、ユーザーの利便性が向上し、管理も容易となりました。また、料金体系は買取型・ターム型が用意されているため、今後の状況に合わせてIDaaSの利用を柔軟に拡大・縮小できることも大きなメリットとなっています。
まとめ
IDaaSは、クラウド上でID認証やIDパスワード管理、シングルサインオン (SSO)、アクセス制御などを提供するサービスですが、さまざまな課題もあります。例えば、IDaaSではレガシーなWebアプリケーションとの認証統合ができません。この課題に対するソリューションとなるのが、HPE IceWall IAPソリューションです。
HPE IceWall IAPソリューションの機能でIDaaSを補完することにより、オンプレミスとクラウド両方の認証基盤を統合し、ハイブリッドな環境でのゼロトラストセキュリティを実現できます。
レガシーなWebアプリケーションを含めた総合的なセキュリティ強化と利便性の向上を図るために、HPE IceWall IAPソリューションの導入を検討してはいかがでしょうか。
- カテゴリ:
- デジタルプラットフォーム