ニュース
Okta Japan、“アイデンティティファースト”を実現するWorkforce Identity Cloudの特長を解説
2023年3月20日 06:00
アイデンティティ管理の米Oktaの日本法人Okta Japan株式会社は、アイデンティティ管理やOktaソリューションについて説明する記者向け勉強会を3月17日に開催した。
現代のアイデンティティ管理の課題と、それに対するOktaソリューションが紹介された。また、国内提供開始を3月15日に発表したアイデンティティガバナンス管理製品「Okta Identity Governance」についても、説明とデモが行われた。
リモートワークや、クラウド化、流動的な人材配置に対応する「アイデンティティファースト」
まず、アイデンティティ管理の意義やそこにおけるOktaのビジネスについて、Okta Japan株式会社 シニアソリューションマーケティングマネージャ 高橋卓也氏が解説した。
高橋氏は最初に「われわれは『IDとパスワード』ではなく「アイデンティティ」という言葉を使っている。単なるシングルサインオンのソリューションではなく、個人を特定し、その人が必要とするリソースにアクセスするプロセスなどもまとめて、アイデンティティと呼んでいる」と説明した。
Oktaのソリューションは、大きく分けて、以前からのOkta由来である職場のアイデンティティ管理「Workforce Identity Cloud」と、買収したAuth0社由来である顧客向けサービスのアイデンティティ管理「Customer Identity Cloud」の2つからなる。今回の話は、前者のWorkforce Identity Cloudの話であると高橋氏は前置きした。
昨今のアイデンティティ管理の背景には、コロナ禍やDX対応による、リモートワークや、クラウド化、流動的な人材配置などがある。
特にクラウド化については、グローバルでもすべてクラウドに行くわけではなく、80%がオンプレミスとのハイブリッドになると言われているという。「片方だけならまだ管理が簡単だったが、ハイブリッドになることで、コンプライアンスやコスト、パフォーマンス、事業継続性が問題になっている」と高橋氏は語る。
そこでOktaでは「アイデンティティファースト」の考え方を提唱している。これによって改善できるものとして、高橋氏は3つを挙げた。なおこの3つについては、次の井坂氏が具体なOktaソリューションを解説している。
1つめは「複雑化する組織と増大するSaaS」。企業の多拠点化やM&Aによりアイデンティティ管理が分断されがちになり、さらにSaaSごとにも分断されがちになる。これを真正面からきれいにしようとすると莫大な統合が必要になる。この問題について、Oktaなら統合作業しなくても1つに扱えることを高橋氏はメリットとして挙げた。
2つめは「流動化する人材」。Oktaの調査によると大企業では平均して211ものアプリを利用していて、1人が入社や異動や退職するたびに211個のアイデンティティを変更しなくてはならない。Oktaではこうした管理作業を自動化するという。
3つめは「ゼロトラストセキュリティ」。クラウドファーストの世界で採用されつつあるゼロトラストセキュリティについての定義NIST SP800-207では、アイデンティティを中心にすべきと定義されていると高橋氏は説明した。
「複雑化する組織と増大するSaaS」「流動化する人材」「ゼロトラスト」に対応するOktaソリューションを解説
続いてOktaのWorkforce Identity Cloud(WIC)の機能について、Okta Japan株式会社 プリンシパルソリューションエンジニア 井坂源樹氏が解説した。
井坂氏は、WICの主な機能として、オンプレミスの業務システムやSaaSなどと組み合わせてシングルサインオンを実現することを挙げた。そのためのIDマスターとしては、人事システムやActive Directoryなどからデータを取り込み、一元管理する。
既存の認証システムを仮想的に統合するUniversal Directory機能
ここから井坂氏は、高橋氏が挙げた3つのユースケースについてそれぞれ具体的なソリューションを説明した。
1つめは「複雑化する組織と増大するSaaS」で、グループ会社や海外子会社、M&Aした会社などを迅速につなぎたいという要求だ。
これについてはまず基本的なシングルサインオンについて説明。SAMLやWS-Federationなどのプロトコルに対応し、それに対応していないアプリケーションについてはフォーム認証(代理認証)の機能も提供している。さらに、テンプレートによる容易なSSO設定についても紹介。「多くのアプリケーションと連携できるのがOktaの価値」と井坂氏は語った。
ここで特徴的な機能が、「Universal Directory」機能だ。Hub&Spokeモデルにより、Oktaだけユーザー情報を持つのではなく、Spokeとなるさまざまな認証システムを、OktaがHubとして仮想的に束ねる形となる。例えば関連会社でそれぞれ持っている認証システムや、SaaSアプリの認証情報をOktaで仮想的に統合できる。
Universal Directoryによる統合ID構築事例として、井坂氏はサントリーの事例を紹介した。グローバル展開やM&Aにより認証基盤が分散していて、グローバル共通アプリの提供ができないという課題があった。それに対して、Oktaによる統合ID基盤を構築した。
Workflowsによるアカウント管理の自動化
2つめは「流動化する人材」で、アカウント管理業務の拡大によって管理業務負荷が増大し、管理されない不要なアカウントによる情報漏えいリスクなどもありうる。
これに対するOktaの機能としてLifecycle ManagementやWorkflowsがある。そして、3月15日に発表された「Okta Identity Governance」も、ここに含まれる。
Lifecycle Managementは、ユーザーのIDライフサイクルを管理するもの。例えば、入社した人に、リソースを割り当て、人事異動・転勤・出向に対応し、退職したらIDを削除する。
そのために例えば、Active Directoryのユーザーとグループ情報をOktaに取り込み、それをもとにアプリケーションのアカウントの作成や権限管理に反映する。また、アプリによって個人ごとのIDで利用していたり部門共通のIDで利用していたりする、といった使い方もOktaで吸収できるという。
また、Workflowsを使うと、例えば、Oktaでユーザーを作成すると、Boxにアカウントを作成して権限を設定してSlackで通知、などの一連のフローを、GUIで部品を組み合わせることで簡単に作成して自動化できる。約60のアプリとコネクタが対応している。
井坂氏は、日付を指定したユーザーの自動作成・削除についてWorkflowsをデモした。例えば、新入社員を迎えるために3月31日深夜に手動で大量のアカウントを作成するのに対して、表形式のデータをアップロードして決まった時間に自動的にアカウントを作成するといったことができる。
Okta Identity GovernanceによりIDガバナンス領域にも対象を広げる
こうした自動化に加えて、IDのガバナンスに対応するのが、新しく発表した「Okta Identity Governance」だ。申請と承認や、IDの棚卸しなどのガバナンス機能に対応する。Okta Identity Governanceによって、Oktaはシングルサインオンなどの単体ソリューションではなく、統合ID基盤となるという。
井坂氏は、Identity Governanceについてもデモした。例として、まず必要な管理権限の追加を申請。これはWeb画面のほかSlackなどからもできる。申請を受けた側が承認をすると、権限の割り当てが実施される。
また、権限の棚卸しの例では、GUI画面にユーザー一覧を表示して、そこから権限を追加したり、Workflows実行によりアカウントを削除したりできるところがデモされた。
MDMやエンドポイントセキュリティ製品とも連携
3つめの「ゼロトラスト」については、MDMやSecure Web Gateway(SWG)、エンドポイントセキュリティなどと連携することや、さらに可視化・分析や自動化につなげることをOktaの特徴として井坂氏は説明した。
機能としては、各種の多要素認証(MFA)に対応。また、MDMの管理下にあるデバイスからのアクセスのみ許可するデバイス認証や、エンドポイントセキュリティ製品のスコアが一定以上の端末のみアクセスを許可するエンドポイントセキュリティ連携、端末のOSバージョンやディスク暗号化などのセキュリティ状態をアクセス条件に適用する機能などを井坂氏は紹介した。
