IT用語集
多要素認証(MFA)とは? その重要性や3つの認証要素について解説
アカウントアグリゲーションとは? 10分でわかりやすく解説
目次
アカウントアグリゲーションとは、複数のシステムやクラウドサービスに分散したアカウント情報、認証、権限、利用状況を集約して管理する考え方です。従業員が利用するSaaSや社内システムが増えると、入社・異動・退職時のアカウント発行や削除、権限変更、監査ログ確認が複雑になります。アカウントアグリゲーションでは、ID管理、認証連携、権限管理、アカウントライフサイクル管理をまとめて扱い、不要アカウントの放置や過剰権限を減らします。
アカウントアグリゲーションとは何か
アカウントアグリゲーションの定義
アカウントアグリゲーションは、企業内外に分散したユーザーアカウントを集約し、認証、権限、所属情報、利用状況、ライフサイクルを管理しやすくする仕組みや運用を指します。対象には、社内システム、SaaS、クラウド基盤、業務アプリケーション、外部委託先向けアカウントなどが含まれます。
重要なのは、単にログインを便利にする仕組みではない点です。ログイン体験をまとめるシングルサインオン、ID情報を管理するディレクトリ、アカウントを自動作成・変更・削除するプロビジョニング、権限管理、監査ログを組み合わせて、アカウント管理全体を統制します。
アカウントアグリゲーションが必要になる背景
クラウドサービスやSaaSの利用が増えると、利用者ごとに多数のアカウントが作成されます。部署ごとに別々のサービスを導入している場合、情報システム部門が全アカウントを把握できないことがあります。
その結果、退職者アカウントの残存、異動後の権限放置、委託先アカウントの削除漏れ、管理者権限の過剰付与、監査時の証跡不足が発生しやすくなります。アカウントアグリゲーションは、こうした分散管理の問題を減らし、誰がどのサービスに、どの権限でアクセスできるかを把握するために使われます。
SSOやIDaaSとの違い
アカウントアグリゲーションは、SSOやIDaaSと重なる領域があります。ただし、同じ意味ではありません。
| SSO | 一度の認証で複数サービスへアクセスしやすくする仕組み。主な対象はログイン体験と認証連携。 |
| IDaaS | ID管理、認証、SSO、多要素認証、プロビジョニングなどをクラウドサービスとして提供する形態。 |
| アカウントアグリゲーション | 複数システムのアカウント、権限、利用状況、ライフサイクルを集約して管理する考え方。SSOやIDaaSを構成要素として含む場合がある。 |
SSOだけを導入しても、退職者アカウントが連携先サービスに残っていればリスクは残ります。アカウントアグリゲーションでは、認証だけでなく、アカウントの作成、変更、削除、権限棚卸しまでを管理対象にします。
アカウントアグリゲーションのメリットと注意点
主なメリット
| 不要アカウントの削減 | 退職者、異動者、委託先終了後のアカウントを把握し、削除や停止を行いやすくする。 |
| 権限管理の改善 | 職務や所属に応じて権限を整理し、過剰権限や長期放置された管理者権限を減らす。 |
| 運用負荷の削減 | 入社、異動、退職時のアカウント作成・変更・削除を標準化し、手作業を減らす。 |
| 監査対応の効率化 | 誰がどのサービスにアクセスできるか、いつ権限が変更されたかを確認しやすくする。 |
| 利用者の負担軽減 | SSOや認証連携を組み合わせることで、複数サービス利用時のログイン操作やパスワード管理の負担を抑えられる。 |
導入時の注意点
アカウントアグリゲーションは、認証や権限管理の中心になるため、設計を誤ると複数システムに影響します。特に、連携範囲を広げる前に、責任分界、権限設計、障害時対応、ログ取得範囲を決める必要があります。
- 既存システムやSaaSが、SAML、OpenID Connect、SCIMなどの連携方式に対応しているか確認する。
- 人事情報、所属情報、職務情報をどのシステムから正とするか決める。
- 管理者権限、特権ID、委託先アカウントを通常アカウントと分けて管理する。
- 認証基盤やID連携基盤の障害時に、業務へどの範囲で影響するか確認する。
- 連携先サービスに残るローカルアカウントや例外アカウントを棚卸しする。
アカウントアグリゲーションの仕組み
基本構成
アカウントアグリゲーションは、単一の製品機能だけで成立するとは限りません。多くの場合、複数の仕組みを組み合わせて実現します。
| ディレクトリ | ユーザー、所属、グループ、属性情報を管理する。Active Directory、LDAP、クラウドID基盤などが該当する。 |
| IdP | IdPは認証結果や属性情報を連携先サービスへ渡す。SSOやフェデレーションの中心になる。 |
| SSO基盤 | SAML、OpenID Connectなどを使い、複数サービスへの認証連携を行う。 |
| プロビジョニング | 入社、異動、退職に合わせて、連携先サービスのアカウント作成、属性更新、停止、削除を行う。SCIMなどが使われる。 |
| 監査ログ | 認証、権限変更、管理者操作、連携エラー、アカウント停止などの記録を残す。 |
処理の流れ
一般的な構成では、人事情報やディレクトリ情報を起点に、ID管理基盤が各サービスへアカウント情報を連携します。利用者がサービスへアクセスする際は、IdPが認証を行い、認証結果をサービスへ渡します。
- 人事システムやディレクトリで、利用者の所属、役職、雇用状態を管理する。
- ID管理基盤が、対象サービスに必要なアカウントや属性を作成・更新する。
- 利用者がサービスへアクセスすると、IdPへ認証要求が送られる。
- IdPが認証を行い、必要に応じて多要素認証を要求する。
- 認証成功後、サービス側が利用者の属性や権限に基づいてアクセスを許可する。
- 認証、権限変更、管理者操作、連携エラーをログとして記録する。
関連する標準技術
アカウントアグリゲーションでは、認証連携やアカウント連携の標準技術を使うことがあります。代表的なものは次の通りです。
| SAML | SAML認証は、認証結果や属性情報をXML形式のアサーションとして連携する方式。企業向けSSOで広く使われる。 |
| OpenID Connect | OAuth 2.0の上に構成された認証レイヤー。Webサービスやクラウドサービスの認証連携で使われる。 |
| SCIM | 複数ドメイン間でユーザーやグループなどのID情報を作成、更新、削除、参照するためのプロビジョニング仕様。 |
| LDAP | LDAPは、ディレクトリ情報へアクセスするためのプロトコル。社内ディレクトリとの連携で使われることがある。 |
導入時に整理すべき要件
対象システムとアカウントの棚卸し
最初に、どのシステムやSaaSに、どの利用者のアカウントが存在するかを棚卸しします。把握できていないサービスがある状態で統合を進めると、重要なアカウントや特権IDが管理対象から漏れる可能性があります。
- 対象システム、SaaS、クラウド基盤を一覧化する。
- 利用者、管理者、委託先、共有アカウントを区別する。
- 連携方式、ローカルアカウントの有無、管理者権限の数を確認する。
- 退職者、休職者、異動者のアカウントが残っていないか確認する。
- 監査対象にするログと保管期間を決める。
人事情報とID情報の連携
アカウント管理の正確性は、人事情報や所属情報の正確性に依存します。入社、異動、退職、兼務、委託先終了がID管理へ反映される流れを定義します。
人事システムを起点にする場合でも、反映タイミング、承認者、例外処理、緊急停止手順を決めておく必要があります。特に退職者や委託先終了時は、アカウント停止までの時間を管理します。
権限設計
権限は、利用者単位ではなく、職務、所属、役割、利用システムごとに整理します。全利用者へ共通権限を付与したり、管理者権限を長期的に残したりすると、侵害時の影響が大きくなります。
最小特権の原則に沿って、業務に必要な範囲だけを付与し、不要になった権限は削除します。特権IDについては、通常アカウントと分離し、利用申請、承認、ログ確認を必須にします。
認証とアクセス制御
アカウントを集約すると、認証基盤が侵害された場合の影響も大きくなります。そのため、IDとパスワードだけに依存せず、MFA、端末条件、接続元、利用時間、リスク状態に応じた制御を組み合わせます。
ゼロトラストの考え方では、社内外の場所だけで信頼せず、利用者、端末、アクセス先、リスク状態を継続的に確認します。アカウントアグリゲーションは、この確認に必要なID情報や権限情報を整える基盤になります。
導入方法と進め方
導入手順
- 対象システム、利用者、アカウント、権限、管理者IDを棚卸しする。
- 人事情報、ディレクトリ、ID管理基盤、連携先サービスの関係を整理する。
- SSO、プロビジョニング、権限管理、監査ログの優先順位を決める。
- 連携方式として、SAML、OpenID Connect、SCIM、LDAPなどの対応状況を確認する。
- 一部部門や一部サービスでパイロットを行い、認証、権限、ログ、サポート負荷を確認する。
- 対象範囲を段階的に拡大し、例外アカウントやローカル管理者権限を減らす。
- 運用開始後、定期的に権限棚卸しとログ確認を実施する。
コストの考え方
導入コストは、ライセンス費用だけでは判断できません。連携先サービスの数、認証方式、プロビジョニング対応、既存ディレクトリの状態、運用体制によって変わります。
| 初期費用 | 製品導入、設計、連携設定、データ移行、既存アカウント整理、テストにかかる費用。 |
| 月額費用 | IDaaS、SSO、MFA、ログ管理、プロビジョニング機能などのライセンス費用。 |
| 運用費用 | アカウント棚卸し、権限レビュー、問い合わせ対応、連携エラー対応、監査対応にかかる費用。 |
| 教育費用 | 管理者向け手順、利用者向けログイン手順、MFA登録、例外申請ルールの周知にかかる費用。 |
導入時の失敗を避ける観点
アカウントアグリゲーションでは、全社一括導入よりも、対象範囲と優先順位を決めた段階導入が採用しやすい場合があります。最初からすべてのシステムを統合しようとすると、例外アカウント、古い認証方式、部門独自運用が障害になります。
- 高リスクのSaaSや特権IDから優先して統合する。
- 連携できないシステムの例外管理ルールを決める。
- ローカルアカウントを残す場合は、用途、管理者、終了期限を記録する。
- SSO導入後も、連携先サービス側の権限が残っていないか確認する。
- 監査ログの保存先、保存期間、確認担当を決める。
アカウントアグリゲーションの活用例
SaaS利用が増えた企業
営業、経理、人事、開発、マーケティングなど、部門ごとにSaaSを導入している企業では、アカウントが分散しやすくなります。SSOやプロビジョニングを組み合わせることで、利用者の追加・削除、権限変更、監査ログ確認を標準化できます。
委託先や外部パートナーが多い企業
外部委託先やパートナー企業へアカウントを発行する場合、契約終了後の停止漏れが問題になります。アカウントアグリゲーションにより、利用期間、アクセス範囲、承認者、ログ確認を管理しやすくなります。
監査や内部統制を強化したい企業
監査対応では、誰が、いつ、どのシステムに、どの権限でアクセスできたかを説明する必要があります。アカウント情報と権限情報を集約しておくと、棚卸しや証跡確認の負担を減らせます。
関連する一次情報
- NIST SP 800-63-4:Digital Identity Guidelines
- IETF RFC 7644:System for Cross-domain Identity Management Protocol
- OASIS:Security Assertion Markup Language V2.0 Technical Overview
- OpenID Foundation:OpenID Connect Core 1.0
まとめ
アカウントアグリゲーションは、複数のシステムやクラウドサービスに分散したアカウント、認証、権限、利用状況を集約して管理する考え方です。SSOだけでなく、ID管理、プロビジョニング、権限管理、監査ログを含めて設計することで、不要アカウントや過剰権限を減らしやすくなります。
導入時は、対象システムの棚卸し、人事情報との連携、権限設計、認証方式、ログ管理、障害時対応を先に整理します。アカウント管理を一元化すると利便性と統制を高められる一方、認証基盤への依存も大きくなります。段階導入、冗長化、例外アカウント管理、定期的な権限レビューを組み合わせることで、継続運用しやすい構成になります。
アカウントアグリゲーションに関するよくある質問
Q.アカウントアグリゲーションとは何ですか?
A.複数システムやクラウドサービスに分散したアカウント、認証、権限、利用状況を集約して管理する考え方です。
Q.SSOとの違いは何ですか?
A.SSOは認証連携が中心です。アカウントアグリゲーションは、アカウント作成、削除、権限、監査ログまで含む広い管理領域を扱います。
Q.IDaaSとは同じですか?
A.同じではありません。IDaaSはID管理や認証機能をクラウドサービスとして提供する形態で、アカウントアグリゲーションを実現する手段の一つになります。
Q.導入するとセキュリティは強化されますか?
A.不要アカウントの削除、過剰権限の抑制、ログ確認を行いやすくなるため、適切に設計すればセキュリティ向上に寄与します。
Q.導入で最初に行うことは何ですか?
A.対象システム、SaaS、利用者、管理者権限、委託先アカウント、ローカルアカウントを棚卸しします。
Q.SCIMは何に使いますか?
A.SCIMは、複数システム間でユーザーやグループなどのID情報を作成、更新、削除、参照するために使われます。
Q.既存システムとの連携は難しいですか?
A.連携方式に対応しているシステムは進めやすい一方、古いシステムや独自認証のシステムでは個別設計や例外管理が必要になります。
Q.障害時のリスクはありますか?
A.あります。認証基盤やID連携基盤に障害が起きると、複数サービスへのログインや権限連携に影響する場合があります。
Q.中小企業でも導入する意味はありますか?
A.SaaS利用が増え、退職者アカウントや権限管理が負担になっている場合は、規模に応じた導入効果があります。
Q.ゼロトラストと関係がありますか?
A.関係があります。ゼロトラストでは、利用者、端末、アクセス先、リスク状態を確認するため、正確なID情報と権限管理が前提になります。
ピックアップ Pick up
-
インタビュー顧客ごとに最適なSASEを見極め、提供するリコージャパンの取り組み ― Soliton OneGateの認証を組み合わせ、更に安心して使える環境に ―
-
インタビュー情報資産の確実な保全に向けて ― バッファロー、ソリトン、パトライトの3メーカーで取り組む、危機を「見える」「聞こえる」形で捉えるソリューション ―
-
インタビューBUFFALO「AirStation Pro」のセキュリティはなぜ強固?JC-STARとデジタル証明書認証
-
インタビューFNETSが描く次世代セキュリティ像「セキュアアクセス+」とは?その認証で果たすソリトンの役割
-
インタビュー消防DXで命を守るNEC、 その信頼を支えるソリトンセキュリティ
-
インタビュー手軽で高機能な無線ネットワーク「Cisco Meraki」と認証で果たすSoliton OneGateの役割
タグ Tag
金融
流通・小売
医療
エネルギー
運輸
サービス
情報通信
中央省庁・独法
自治体・地方公共団体
教育・文教
認証
エンドポイント
ネットワーク
ゼロトラスト
販売店インタビュー
メーカーインタビュー
セミナーレポート
展示会・フェアレポート
サイバーセキュリティ
リモートアクセス
テレワーク
社内LAN
無線LAN
プロダクト検証
サプリカント設定
技術解説記事
調査報告
Windows
iOS
macOS
Android
ChromeOS
DHCP/DNS
Soliton OneGate
NetAttest EPS
NetAttest D3
SmartOn ID
InfoTrace 360
Soliton SecureBrowser
Soliton SecureDesktop
WrappingBox
FileZen S
VVAULT
コラム
調査レポート目次
Soliton SecureWorkspace
HiQZen
外部リンク
VVAULT AUDIT
サイバー攻撃
SASE
