IT用語集 2023/11/22

IDaaSの概要とメリット、シングルサインオンとの関係など詳しく解説

クラウドサービスの利用拡大やテレワーク普及など、働き方の変化により、ID管理の負担は年々増しています。そうした状況で、ID管理の効率化に加えて、セキュリティ強化やユーザーの利便性向上を実現する手段としてIDaaSが注目を集めています。しかし、「IDaaSはよくわからない」という方も多いのではないでしょうか。

そこで本記事では、IDaaSの概要から主な機能や仕組み、メリット・デメリットに加え、シングルサインオン（SSO）との関係や導入時のポイントを解説します。読み終えたときに「IDaaSで何が解決でき、どこが導入の落とし穴になりやすいか」をつかめることを目指します。

IDaaS（Identity as a Service）とは

IDaaS（Identity as a Service）とは、IDの管理に関する機能（ID管理・認証・アクセス制御など）をクラウド経由で提供するサービスです。SaaS／PaaS／IaaSのように、クラウド経由で提供される「XaaS」の一種であり、複雑化するID管理を支える基盤として利用が広がっています。

IDaaSを利用すると、IDの管理・認証・アクセス管理をクラウド上で実現できるため、自社でID管理システムを構築・運用する負担を抑えられます。さらに、シングルサインオン（SSO）の実現や、多要素認証（MFA）を含む認証強化の仕組みとしても活用されます。

IDaaSで扱う「認証」と「認可」

IDaaSは、利用者本人であることを確認する認証（Authentication）を中核機能として提供します。あわせて、サービスや構成によっては、利用者に適切な権限を与える認可（Authorization）（アクセス権限の制御）まで支援する場合があります。

実務では、認証だけ強くしても、権限が過剰であれば情報への到達範囲が広がり、事故時の影響も増えます。IDaaSを検討する際は、SSOやMFAの話だけでなく、権限の付与・定期的な見直し（最小権限の維持）まで運用に落とせるかが重要です。

IDaaSとシングルサインオン（SSO）

IDaaSとシングルサインオン（SSO）は、ID管理の効率化やセキュリティ強化において密接な関係があります。昨今は一人のユーザーが複数のクラウドサービスや社内システムを使うことが一般的で、都度ログインが必要な状態では利便性が下がり、運用負担も増えがちです。そのため、SSOを実現する目的でIDaaSを導入するケースが増えています。

シングルサインオンとは

シングルサインオン（SSO）とは、一度のログイン（認証）で複数のシステムやサービスへログインできるようにする仕組みです。ユーザーのログイン回数が減り、利便性が向上します。また、パスワード管理の負担が軽くなることで、結果としてパスワード運用の弱点（使い回し等）を減らし、セキュリティ向上につながる場合があります。

→「シングルサインオンとは？仕組みやメリットを解説」

SSO導入で増える「集中リスク」も押さえる

SSOは利便性が高い一方で、認証基盤が侵害された場合に影響範囲が広がりやすい点が特徴です。SSOを前提にするほど、MFAの必須化、端末・場所・リスクに応じた追加認証、ログ監視などを組み合わせ、認証基盤の防御と検知を厚くする必要があります。

IDaaSが必要とされる背景

クラウドサービスが普及する以前から、企業・組織ではID管理の統合が進められており、代表的にはディレクトリサービス（例：Active DirectoryなどのLDAPディレクトリ）を利用して社内システムのID管理を行ってきました。

しかし近年は、クラウドサービスの業務利用の拡大やテレワークの普及、SaaSの増加などにより、ID管理の対象が増え、従来の方法だけでは管理が複雑になりやすい状況です。さらに、自社でID管理基盤を維持するには専門知識や運用コストが必要で、運用負担が課題になりがちです。

その点、IDaaSはクラウドサービスとの連携がしやすく、オンプレミスのディレクトリサービスと連携できる製品も多いため、社内とクラウドが混在する環境でもID管理をまとめやすくなります。また、社外からのリモートアクセス時にも、認証強化やアクセス制御の仕組みとして活用できる点が評価されています。

「増え続けるID」と「属人化しやすい運用」がボトルネックになる

実務で起きやすい課題は、単純なID数の増加だけではありません。入社・異動・退職に伴う権限変更、委託先や派遣スタッフの出入り、複数拠点や多様な端末利用など、運用の変化が積み重なることで、手作業のままでは追いつかなくなります。結果として、権限の付与漏れ・剥奪漏れ、共有アカウントの温存、監査の追跡困難といったリスクが生まれやすくなります。

IDaaSの主な機能

IDaaSの主な機能は、大きく分けて次の3つです。

IDの連携・統合管理
認証（SSO／MFAなど）
アクセス制御（権限付与／条件付きアクセス等）

IDaaSを利用すると、複数のサービス・システムのID情報を一元的に管理しやすくなります。その上でSSOを構成し、ユーザーが「どのサービスにログインできるか」を把握できます。オンプレミスのディレクトリサービスと連携し、社内とクラウドのID管理を統合する運用も一般的です。

また、IDaaSが認可（アクセス権限の制御）まで支援できる場合、SSOに加えて、役割（部署・職種・雇用形態など）に応じたアクセスコントロールを実現しやすくなります。例えば、次のように権限設計を分けて考えられます。

Aさん：クラウドサービスα／β、社内システムへのアクセスと編集が可能
Bさん：クラウドサービスα、社内システムへのアクセスのみ可能
Cさん：社内システムへのアクセスと編集のみ可能

アカウントライフサイクル管理（プロビジョニング）

IDaaSを検討する際は、「作成・変更・削除」を含むアカウントライフサイクルの運用も重要です。例えば、入社・異動・退職のタイミングで、アカウントや権限を自動で反映できると、運用負担の軽減と不正利用リスクの低減につながります。サービスによっては、SCIMなどの仕組みを使ってプロビジョニング（自動連携）を行える場合があります。

条件付きアクセスとリスク対応

IDaaSの機能として、端末の状態、アクセス元の場所、時間帯、サインインのリスクなどに応じて追加認証を求めたり、アクセスを拒否したりする「条件付きアクセス」を提供する場合があります。こうした制御は、IDaaSを中心とした認証基盤で実装されることが一般的です。

IDaaSの仕組み

IDaaSはクラウド上で、ユーザーIDや認証情報、アクセス権限などを一元的に管理します。企業・組織は自社で認証基盤を構築・運用する負担を抑えつつ、各種サービスと連携してID管理をまとめられます。

連携方法としては、次のような方式が使われます。

SSO連携：SAML、OpenID Connect（OIDC）など
アカウント連携：API連携、SCIMによるプロビジョニングなど
ディレクトリ連携：オンプレミスのディレクトリサービスとの同期（ディレクトリ同期）など

SSOを実現する際には、従来からSAMLが用いられるケースが多く、SAMLに対応しているクラウドサービスであれば比較的スムーズに連携できる傾向があります。一方で、近年はOIDCを採用するサービスも増えています。

→「SAML認証とは？シングルサインオンの仕組みやメリット・デメリットなど」

※API（Application Programming Interface）：定められた仕様に則り、サービス・ソフトウェア間を連携させるための窓口となる仕組み

SAMLとOIDCは「得意領域」が異なる

SAMLとOIDCはいずれもSSOで使われる代表的な方式ですが、連携するアプリの特性や想定する運用によって向き不向きが変わります。導入前に、連携対象がどの方式に対応しているか、将来増える可能性のあるアプリやAPI連携まで含めて、方式の選定方針を決めておくと手戻りが減ります。

IDaaSのメリット

IDaaSを利用すると多くのメリットが得られます。ここでは代表的な3つを紹介します。

ユーザーの利便性向上

IDaaSでSSOを実現すると、ユーザーの利便性が向上します。SSOがない場合、システムやサービスごとにID・パスワード等の認証情報を管理する必要があり、ログイン作業も都度発生します。一方、SSOでは一度の認証で複数のサービスを利用できるため、ログイン回数が減り、業務の効率化にもつながります。

管理・運用負担の軽減

管理者側にとっても、一元的なID管理は大きなメリットがあります。個別管理では、パスワード忘れ対応や不要IDの削除、異動時の権限変更などがサービスごとに発生し、運用負担が膨らみがちです。IDaaSでまとめると、設計や連携、運用ルールが適切に整備されている場合、管理の一貫性が高まり、対応すべき事象の削減が期待できます。加えて、自社で認証基盤のサーバー等を維持する負担も抑えられます。

セキュリティの向上

ユーザーが多数のパスワードを個別に管理する環境では、使い回しや推測されやすいパスワードが生まれやすく、運用上の弱点になりがちです。IDaaSでSSOを実現すると、ユーザーが管理すべき認証情報を集約でき、強固な認証ポリシーを適用しやすくなります。

さらに、IDaaSでは多要素認証（MFA）やリスクベースの追加認証などを組み合わせやすく、パスワードだけに依存しない認証強化が可能です。ゼロトラストの考え方においても、認証・認可は基礎となる要素であり、IDaaSの導入はセキュリティ向上に寄与します。

IDaaSのデメリット

IDaaSにはメリットがある一方で、理解しておきたい注意点もあります。ここでは主な3つを解説します。

セキュリティ上の懸念

IDaaSの導入はセキュリティ強化に役立ちますが、「IDを一元管理する」という特性上、認証基盤が狙われやすくなる点は意識が必要です。例えばSSO環境では、認証情報が侵害されると、連携している複数サービスへの不正利用につながる可能性があります。対策として、MFAの必須化、端末・場所・リスクに応じた追加認証、ログ監視などを併用することが重要です。

対応しているシステム・サービスが限られる

IDaaSでIDを一元管理するには、各システムやサービスとの連携が必要です。SAMLやOIDC、API、SCIMなど複数の方式がありますが、サービス側が対応していない場合もあります。導入前に「自社が使うサービスの対応状況」と「IDaaSが提供する連携方式」を照合し、実現できることを確認しておきましょう。特に自社開発システムがある場合は、方式選定（SAML／OIDC／代理認証など）と実装・運用の見積もりが重要になります。

IDaaS障害時の影響が大きい

IDaaSは認証基盤であるため、障害等で利用できなくなると、連携しているサービスへログインできない状況が発生し得ます。対策としては、可用性や運用実績が十分なサービスを選ぶことに加え、緊急時の代替手段（ブレークグラスアカウントの設計、限定的な迂回手順など）を準備しておくことが重要です。

IDaaSの導入を検討する際のポイント

多種多様なIDaaSがあるなかで、自社に合ったサービスを選ぶための観点を5つ紹介します。

利用中のサービス・システムとの連携

IDaaS導入の目的が「ID統合」「SSO」「認証強化」である場合、最も重要なのは既存のサービス・システムと連携できることです。SAML／OIDC／API／SCIMなど、どの方式で実現するのかを前提に、連携可否と運用の難易度を確認しましょう。

サービスの継続性・信頼性

クラウドサービスである以上、提供状況や運用体制は重要です。利用実績、障害時の情報開示や復旧対応、サポート体制（問い合わせ窓口、対応時間、SLAなど）を確認しておくと安心です。

利便性（管理者／利用者の両面）

SSOの方式（SAML／OIDC／エージェント方式／代理認証方式など）だけでなく、日々の運用が回るかが重要です。例えば、IDの追加・変更・削除、権限変更のしやすさ、MFAの設定の柔軟性（ワンタイムパスワード、生体認証、証明書など）も確認しましょう。

コスト

IDaaSは月額課金制のサービスが多く、ID数やオプションで費用が変動します。導入前にランニングコスト、初期費用、オプション費用（MFAや高度な監査機能など）を確認しましょう。無料トライアルがある場合は、運用に耐えられるかを事前に検証する方法も有効です。

セキュリティ

ID・パスワード等の認証情報は、企業・組織にとって重要情報です。事業者側のセキュリティ対策（監査・認証、暗号化、運用体制、データ保護方針など）に加え、利用者側でMFA必須化や条件付きアクセス、ログ監査などを実装しやすいかを確認しましょう。

IDaaSの実装例

業界・業種を問わずITシステムの利用が進み、IDの統合管理は多くの企業・組織にとって重要になっています。例えば、社内システム中心だった企業がSaaSを業務利用するようになると、社内IDとクラウドIDを統合的に管理する必要性が高まります。

この場合、オンプレミスのディレクトリサービスとIDaaSを連携し、クラウドサービスとはSAMLやOIDCでSSO連携する、といった構成で統合を進めるケースが一般的です。さらに、プロビジョニング（入退社・異動に伴うアカウント反映）まで整備できると、運用負担の軽減と、ルールどおりに権限を管理しやすくなる効果が期待できます。

また、大学など利用者数が多い環境では、教職員や学生がMFAを伴うSSOで学内システムに加え、仮想デスクトップやクラウド型オフィスサービスを利用するケースも見られます。

導入時に起きやすい手戻りを避けるために

実装例のような構成でも、手戻りが起きやすいポイントがあります。代表例は、連携方式の選定が曖昧なまま対象サービスが増えていくこと、権限設計が部署単位で整理されていないこと、退職・異動時の権限剥奪が手作業のまま残ることです。IDaaSの導入を「SSOの導入」で終わらせず、アカウントライフサイクルと権限の定期的な見直しまで含めて設計すると、長期的な効果が出やすくなります。