公開日: 2024年3月26日
寄稿者: Matthew Kosinski、Amber Forest
Identity Orchestrationは、複数のIDプロバイダーからの異種のIDおよびアクセス管理(IAM)システムをスムーズなワークフローに調整するためのソフトウェア・ソリューションです。
デジタル・トランスフォーメーションの時代において、組織はサービスとしてのソフトウェア(SaaS)ソリューションをさらに導入し、ハイブリッド・マルチクラウド環境に移行し、リモートワークを採用しています。今日の企業ITエコシステムには、従業員や請負業者からパートナーや顧客に至るまで、さまざまなユーザーにサービスを提供するクラウドベースとオンプレミスのアプリと資産がマルチベンダーで混在しています。
あるレポートによると、平均的な事業部門は87の異なるSaaSアプリを使用しています。1 これらのアプリはしばしば独自のIDシステムを持っており、互いに容易に統合できない場合があります。その結果、多くの組織が、断片化されたアイデンティティー環境と扱いにくいユーザー・エクスペリエンスに対峙しています。
例えば、一人の従業員が会社のチケット管理システムとカスタマー・リレーションシップ管理(CRM)ポータルに別々のアカウントを持っている場合があります。これにより、カスタマー・サービス・チケットの解決などの単純な作業が困難になることがあります。ユーザーは、一つのシステムからチケットの詳細を、別のシステムから関連する顧客記録を取得するために、さまざまなデジタルIDを操作する必要があります。
一方、ITチームとサイバーセキュリティー・チームは、ユーザー・アクティビティーを追跡し、ネットワーク全体で一貫したアクセス制御ポリシーを適用することに苦労しています。先の例では、従業員はプロジェクト管理システムで必要以上の権限を持つことになりますが、そのCRM権限はサービス提供先の顧客の記録にアクセスするには低すぎます。
Identity Orchestrationソフトウェアは、個別のIDサービスと認証サービスをまとまりのある自動化されたワークフローにまとめることで、IDおよびアクセス管理を合理化します。
企業のアイデンティティー・ツールはすべて、それらの間の接続を作成および管理するオーケストレーション・ソフトウェアと統合されます。この機能により、組織は既存のシステムを置き換えたり改造したりすることなく、ベンダーに依存しないシングル・サインオン(SSO)システムなどのカスタムIAMアーキテクチャーを構築できます。
前の例に戻ると、組織はIdentity Orchestrationプラットフォームを使用することで、チケット管理システムとCRMシステムの従業員アカウントをSSOプラットフォームに接続し、すべてをセントラル・ユーザー・ディレクトリーに結合できるようになります。これにより、ユーザーはSSOに1回ログインすれば両方のアプリにアクセスでき、セントラル・ディレクトリーがユーザーのIDを自動的に検証し、各サービスに適切なアクセス許可を適用します。
情報技術におけるオーケストレーション とは、異種のツールを接続して調整し、複雑で多段階のワークフローを自動化するプロセスです。例えば、セキュリティー・オーケストレーションの分野では、組織は安全なEメール・ゲートウェイや脅威インテリジェンス・プラットフォーム、マルウェア対策ソフトウェアを組み合わせて、自動化されたフィッシング検知・対応ワークフローを作成することがあります。
Identity Orchestrationは、異種のIDツールの機能を接続して調整し、統合され合理化されたIDワークフローを作成します。
IDツールは、ID検証システムや顧客IDおよびアクセス管理プラットフォームなど、組織がユーザーIDを定義・管理・保護するために使用するツールです。
IDワークフローは、ユーザーがIDツール間を移動するプロセスです。IDワークフローの例としては、ユーザー・ログインやオンボーディング、アカウント・プロビジョニングが挙げられます。
IDツールは、特に組織が異なるクラウドでホストされているSaaSツールを扱っている場合や、オンプレミスとクラウドベースのシステム間のギャップを埋めようとしている場合には、必ずしも簡単に統合できるわけではありません。Identity Orchestrationプラットフォームは、ツールが統合するように構築されていない場合でも、これらのツールを接続できます。
Identity Orchestrationプラットフォームは、ネットワーク内のすべてのIDシステムの中央コントロール・プレーンとして機能します。すべてのIDツールはオーケストレーション・プラットフォームと統合され、IDファブリックと呼ばれる包括的なIDアーキテクチャーを作成します。
組織は、これらの統合をハードコーディングする必要はありません。代わりに、オーケストレーション・プラットフォームが、事前に構築されたコネクターやアプリケーション・プログラミング・インターフェース(API)、SAMLやOAuthなどの一般的な規格を組み合わせて使用し、ツール間の接続を管理します。
IDシステムがIDファブリックに組み込まれることで、組織はオーケストレーション・プラットフォームを使用してアクティビティーを調整し、IDワークフロー中にユーザーのツール間移動方法を制御できるようになります。重要なのは、オーケストレーション・プラットフォームが認証と認可を個々のアプリから切り離して、複雑なIDワークフローを可能にすることです。
前述のように、オーケストレーション・ソリューションがないと、異なるIDシステムが相互に通信できない場合があります。例えば、ある組織が別々のベンダーのカスタマー・リレーションシップ管理(CRM)ツールと文書管理システム(DMS)を使用している場合、各アプリに独自のIAMシステムがある場合があります。
ユーザーはアプリごとに個別のアカウントを維持する必要があります。いずれかのアプリにアクセスするには、ユーザーはそのサービスに直接ログインします。認証と認可は各アプリの個別のIAMシステム内で行われ、アプリ間で転送されることはありません。
オーケストレーション・ソリューションがあれば、状況が変わります。ユーザーがいずれかのアプリにアクセスすると、そのリクエストが最初にオーケストレーション・ソリューションを通過します。このソリューションは、リクエストを適切なID証明とアクセス制御サービスにルーティングします。このサービスは、どちらのアプリ外のセントラル・ディレクトリーでもかまいません。
ユーザーがセントラル・ディレクトリーによって認証・許可されると、オーケストレーション・プラットフォームによってアプリがトリガーされ、ユーザーに適切な権限が与えられます。
Identity Orchestrationを実際に実装するには、組織はIdentity Orchestrationプラットフォームを使用してIDワークフローを構築します。「ユーザー・ジャーニー」とも呼ばれるIDワークフローは、アプリへのログイン時などの定義された状況において、ユーザーがIDツール内をどのように移動するか、およびそれらのツールがどのように相互作用するかを指示するプロセスです。
ワークフローは単純なものもあれば、条件付きロジックや分岐パスを備えた比較的複雑なものもあります。これらには、Eメール・サービスやソーシャル・メディア・サイトなど、厳密にはIDツールとみなされないものも含め、さまざまなシステムが関与することがあります。
Identity Orchestrationソリューションによって、組織は新しいコードを作成することなくユーザー・ジャーニーを構築できます。これらのソリューションには、イベントの定義やIDツールの接続、ユーザー・パスウェイの構築が可能なノーコードの視覚的なドラッグ・アンド・ドロップインターフェースが備わっています。
IDワークフローが何であるかを理解するには、例を見るとよいかもしれません。ここでは、組織がオーケストレーション・プラットフォームを通じて構築できる、仮説的な新入社員のオンボーディングとログインのワークフローを示します。
- まず、新入社員はセルフサービスのHRポータルでアカウントを作成します。これにより、オンボーディングのワークフローが開始されます。
- Identity Orchestrationプラットフォームは、組織のセントラル・ディレクトリー・サービスでの新入社員の一意のユーザーIDの作成をトリガーします。新入社員には、ロールに応じたアクセス権限のセットも自動的に割り当てられます。
- その後、オーケストレーション・プラットフォームは、新入社員が仕事で使用するアプリや給与計算ソフトウェアなどのバックオフィス・システムや関連するすべてのサービスで新入社員のアカウントをプロビジョニングします。これらのアカウントは、セントラル・ディレクトリーの新入社員のメイン・ユーザーIDに関連付けられます。
- これで従業員はシステムにアクセスできるようになり、会社のEメール・アプリにログインできるようになります。Eメールアプリを直接経由する代わりに、ログイン・リクエストがオーケストレーション・プラットフォームに送られます。
- オーケストレーション・プラットフォームはリクエストを不正検出システムにルーティングし、不審な動作の兆候を探します。この新入社員は初めてEメール・アカウントにログインするため、リスクが高いとマークされます。
- 次に、ログイン・レクエストが組織のSSOプラットフォームに送信されます。その新入社員はリスクが高いとマークされたため、アダプティブ認証が開始されます。同新入社員は、アカウントにログインするために多要素認証(MFA)を使用する必要があります。
- 同新入社員は認証チャレンジを完了し、セントラル・ディレクトリーによって認証・認可されます。オーケストレーション・プラットフォームはこの情報をSSOプラットフォームに中継し、同新入社員が自分のEメール・アカウントならびにSSOの背後にある他のすべてのアプリに適切な権限を与えられるようにします。
ここにはかなりの数の手順がありますが、これらすべてがユーザーが気付かないうちにバックグラウンドで自動的に行われることは注目に値します。オーケストレーション・プラットフォームは、プロセスを最初から最後まで監視します。さらに、今後のログインは一層合理化されます。ユーザーがSSOにサインインすると、それがユーザーを認識し、必要なものすべてへのアクセスを許可します。
Identity Orchestrationプラットフォームは、既存のIDシステムに取って代わるものではありません。これらのシステム間の接続を構築し、さまざまなアプリやツールが、そのように設計されていない場合でも連携できるようにします。この機能は、組織がいくつかの一般的な問題に対処するのに役立ちます。
多くの組織は、複数のクラウド・プロバイダーと、異なるベンダーのオンプレミス・ツールを使用しています。これらのシステムが統合されないと、組織はネットワーク全体のユーザー行動の可視性を失ってしまいます。ITチームやセキュリティ・チームは、例えばMicrosoft AzureとAmazon Web Servicesの間で、クラウドごとに別々のアカウントを使用しているため、1人のユーザーを追跡することができません。
この断片化された環境では、企業のすべてのアプリとアセットに対して一貫したアクセス・ポリシーとセキュリティー制御を適用することが困難になることもあります。
このような可視性とセキュリティーのギャップは、ハッカーや悪意のあるインサイダーが気づかれずに大混乱を引き起こす隙を生み出してしまいます。サイバー犯罪者の主な標的となるIDシステムに関しては、リスクが特に高くなります。X-Force Threat Intelligence Index によると、盗まれたり侵害されたりした認証情報を使用したサイバー攻撃は、2022年から2023年にかけて71%増加しました。
組織は、1つのベンダーのツールのみを使用するか、統合向けに設計されたツールのみを使用することで、IDサイロ化を回避できると仮定します。ただし、これは、組織が業務に適したツールを常に自由に選択できるわけではないことを意味します。
Identity Orchestrationは、既存のシステムに大規模な変更を加えることなく、IDサイロを解消し、可視性を回復できます。組織は、各ユーザーの単一のデジタルIDをサポートするセントラル・ディレクトリーを作成できるため、アプリやアセット全体の行動を追跡し、脅威をリアルタイムで検出できます。企業はオーケストレーションを使用して、ネットワーク全体に均一なアクセス制御を適用することもできます。
さらに、Identity Orchestrationプラットフォームは、従業員や顧客などを含むあらゆるタイプのユーザーのIDライフサイクル管理を一元化できます。組織は、顧客体験を中断させることなく、消費者向けアセットに堅牢なサイバーセキュリティー制御を導入できます。
SSOを使用すると、ユーザーは1つの認証情報のセットを使用して複数のシステムにログインできますが、各SSOプラットフォームは企業のすべてのアプリやアセットと互換性があるわけではありません。これは、異なるSSOがSAMLやOIDCなどの異なる規格を使用してシステム間で認証情報を交換できるためです。アプリやアセットが特定のSSOと同じ規格を使用できない場合、そのSSOとは通信できません。
Identity Orchestrationプラットフォームは、ネイティブに統合されていないアプリとSSOを接続できます。アプリとSSOが相互に直接統合するのではなく、Identity Orchestrationプラットフォームと統合します。Identity Orchestrationプラットフォームはシステム間の通信を処理するため、組織は互換性に関係なく、すべてのアプリとアセットを同じSSOの下に置くことができます。
組織は多くの場合、MFAやパスワードレス認証などの新しいセキュリティー対策をレガシー・アプリに拡張したいと考えています。ただし、このようなモダナイゼーションの取り組みには費用と時間がかかり、多くの場合、カスタム・コードやシステム全体の交換が必要になります。
Identity Orchestrationはプロセスを簡素化できます。組織はオーケストレーション・プラットフォームのビジュアル・インターフェースを使用して、最新のセキュリティー・ツールをレガシー・アプリにもたらすIDワークフローを設計できます。これにより、クラウドベースのアセットとオンプレミスのアセットを単一のゼロトラスト・アーキテクチャーに統合できます。
組織は、一般データ保護規則(GDPR)や医療保険の相互運用性と説明責任に関する法律(HIPAA法)などの規制に準拠するために、ユーザーの行動を可視化する必要があります。
これらの規制では、組織はクレジットカード番号や医療情報などの機微データに厳格なアクセス制御ポリシーを適用し、ユーザーがこのデータを使用して何を行うかを追跡する必要があります。ユーザーが複数のデジタルIDを持っている場合、適切な人物だけが適切な理由で適切なデータにアクセスしていることを保証することが困難になること合があります。
Identity Orchestrationは、ユーザーの行動を追跡し、一貫したアクセス許可の適用を容易にすることで、組織がコンプライアンス要件を満たす一助となります。一部のオーケストレーション・プラットフォームでは、IDワークフローのログも保存されており、監査の際に役立ちます。
IBM Security Verifyファミリーは、IDガバナンスの管理、労働力と消費者のIDとアクセスの管理、特権アカウントの制御を行うための、自動化されたクラウド・ベースおよびオンプレミス機能を提供します。
IBM Security Verifyは、IBMと既存のサード・パーティー・ソリューションを組み合わせて、お客様が効果的なIDを構築するための基本的な構成要素を提供します。
IDとセキュリティーの専門家と協力してIAM作業を合理化し、ハイブリッドクラウド環境全体にわたるソリューションの定義と管理、ガバナンス・ワークフローの変革、コンプライアンスの実証を支援します。
IDおよびアクセス管理(IAM)とは、ユーザーがデジタル・リソースにアクセスする方法と、それらのリソースを使用して何ができるかを扱うサイバーセキュリティーの分野です。
IBMはForrester Consulting社に依頼し、オンプレミスのIAMインフラストラクチャーと並行してIBM Security VerifyをIDaaS(アイデンティティー・アズ・ア・サービス)ソリューションとして導入することにより、組織が実現しうる投資収益率(ROI)を評価する総合経済効果(TEI)調査を実施しました。
今日のハイブリッド環境によって生じたIDの課題を解決するには、企業は既存のIDソリューションを補完しながら、さまざまなIDおよびアクセス管理(IAM)サイロを効果的に一貫性のある全体に統合する多用途のソリューションを必要としています。
脚注
1 2023 State of SaaS Trends(2023年SaaSトレンドの現状)(ibm.com外部へのリンク)Productiv, 2023年6月21日