「デジタル化を推し進めるためにはまず認証基盤が必要だ」という状況に立たされた場合、多くの人は「一体どこから検討を始めたらいいのか」「何に注目して製品を選定すれば良いのか」と困惑するかと思います。
本記事では、顧客のID情報を管理し、アクセスを適切に行えるようにするための総合的な情報管理、いわゆる「アイデンティティ管理」を実現する技術として注目されるCIAM(Consumer Identity and Access Management)製品を自社に合った形で選定するための考え方について解説します。
企業内での従業員向け認証基盤であるEIAM(Enterprise Identity and Access Management)製品の選定においても参考になる部分はあるかと思いますが、本記事の対象はあくまでもCIAMであることをご留意ください。
CIAM(顧客ID&アクセス管理)とは?
はじめに「CIAM」は何かを確認しましょう。CIAMとは、Consumer Identity and Access Managementの頭文字をとった略称で、「シーアイエーエム」と呼ばれます。
Cは「一般消費者(サービスから見た顧客)」、IAMは「ID管理・認証・認可」を指す言葉で、2つを併せたCIAMは「顧客のIDに特化したIAM」として、近年広がってきている考え方です。
CIAMは、企業利用とは異なりユーザ自身でIDを登録し、同意して情報を預けることからプライバシや自己情報管理が必要、と考えられたことから生まれています。更にID連携技術の進化により、シングルサインオンやソーシャルログインなど様々な機能がIDを通して可能になってきたことから、今後更に注目を集めていくと期待されています。
しかし、誰もが自由に利用可能なサービスであるがゆえに、特有な考慮ポイントが存在します。そのため、CIAMを実現するための「認証基盤」ソリューションも活用されています。(本記事では分かりやすく「CIAM製品」としています。)
一方で、CIAMとは対象が異なるものに「EIAM」があります。Eは「Enterprise(企業、事業)」を指し、「従業員ID」のIAMをEIAM「イーアイエーエム」と呼びます。企業内で使うアプリケーションやPCにログインする際のユーザIDを一元的に管理するもので、最近ではクラウド対応、ゼロトラスト対応のソリューションも出てきています。
IAMには「顧客向け」と「従業員向け」がある点、必要な考慮ポイントが異なる点、実現するためには「認証基盤」が活用される点を整理したところで、CIAMを実現するCIAM製品の選び方について解説します。
EIAM(Enterprise Identity and Access Management)とCIAM(Consumer Identity and Access Management)の違い
CIAM(顧客ID&アクセス管理)製品の選定を始める前に
確認しておくべき3つのポイント
「実現したいこと」は何かを明確にする
CIAM製品の選定を始めるにあたってまず考えなければならないことは、当然ながら「実現したいことは何か」です。
一般的にCIAM製品が必要になる背景には「利用者のID管理・認証をセキュアに行いたい」「複数のアプリケーションにSSO(シングルサインオン)したい」「APIの認可制御を行いたい」「顧客IDの統合がしたい」などといった課題が考えられます。
これらの課題を解決するためにCIAM製品が求められますが、製品によっても得手不得手が存在するため、選定した製品に必要な機能が無いケースや、不要な機能が具備されているために余分なコストがかかってしまうケースも見受けられます。まずは、一番重要視している課題は何か、どのような状態を実現することが目的なのか等を、明らかにすることが、CIAM製品選定の第一ステップです。
「体制とコスト」を確保する
CIAM製品の導入においては、その特性上、本来「利用者に提供したい価値」との直接的なつながりを感じにくいこともあり、開発体制や予算を確保しにくいこともあると思います。
しかし、不正ログイン対策、利用者のプライバシー保護、GDPR(EU一般データ保護規則)への対応などは、対策が後手に回っていては「手遅れ」となってしまうケースもあります。そのような事態にならないために、ID技術の専門知識を持っているメンバを導入プロジェクトに参画させて、脆弱性や設計の不良を避けることが重要です。
企業のインシデントリスクを考えた場合、CIAM製品の選定には「ID専門知識」を持ったメンバの存在は不可欠であり、そこにかけるコストは出し惜しむべきではありません。
「ID専門知識」を持ったメンバを確保する
一口に「ID専門知識」と言っても、標準仕様として公開されているものから、経験によって培われるノウハウまで様々なものがあります。
例えば、認証・認可の標準仕様についてはRFC6749(The OAuth 2.0 Authorization Framework)やOpenID Connectなどの仕様が一般的です。ただし、これらの仕様について理解するためにはRFC7519(JSON Web Token (JWT))の理解が前提となり、さらにネイティブアプリを利用するならRFC7636(Proof Key for Code Exchange by OAuth Public Clients)やRFC8252(OAuth 2.0 for Native Apps)の理解が必要となります。
このように、適応すべき標準仕様を判断するだけでも多くの前提知識が必要です。難易度は高いですが、必要な考慮を漏らしてしまうと致命的な脆弱性を生み出してしまう可能性があるため、注意が必要です。
さらに、標準仕様には記載されない「アカウント登録時のノウハウ」や「パスワード管理のベストプラクティス」など、数え切れないほどの関連知識が存在します。一朝一夕でこれらの知識を獲得することは難しいため、プロジェクトにはID専門知識を持ったメンバを参画させるべきでしょう。
CIAM(顧客ID&アクセス管理)製品の導入形態とそれぞ
れの特徴
それではここから「実現したいこと」を叶えるために、今準備できる「体制とコスト」で、どのようなCIAM製品の選定ができるのか見ていきましょう。ここでは、CIAM製品の導入形態を、「サービス」「パッケージ」「自社開発」の3つに分けて、それぞれの導入形態の特徴について解説します。
導入形態① サービス
「認証機能やSSOに強いもの」「API認可に特化したもの」「特定のクラウドとの連携に特化したもの」など、さまざまなものがあります。
「実現したいこと」がハッキリしていて、そのために必要な機能を持ったサービスが存在するのであれば、サービスという選択は非常に有効です。利点は、サービスにもよりますが、比較的契約から導入までのスピードが早いこと、ある程度コストが抑えられることなどが挙げられるかと思います。
ただし、サービスに接続を行うための設定やアプリ実装など、サービスマニュアルなどのドキュメントを読みながらの作業には、最低限度のID専門知識が必要となります。
導入形態② パッケージ
パッケージ製品にも当然「認証機能やSSOに強いもの」「API認可に特化したもの」と、それぞれ特徴はありますが、パッケージ製品を導入する場合と、サービス利用をする場合との大きな違いは、「固有の要件に適応できること」や「連携先アプリとの接続方法についてのサポートが受けられること」などが挙げられます。
したがって、「どうしても社内に環境を作る必要がある」「連携先のアプリで何をして良いかわからない」「特殊なアプリケーションも連携したい」などの要件がある際にはパッケージ製品を選択すると良いのではないでしょうか。
その分コストはかかりますが、ベンダのID専門知識を持った専門家のサポートを受けながらプロジェクトを推進していけることは、非常に大きな利点になります。
導入形態③ 自社開発
最後の選択肢として自社開発が挙げられます。費用面などからこれを選択する企業も少なくないですが、ID専門知識が無いことよって脆弱性が生まれてしまう可能性や、社内の特定の開発メンバによって仕様やナレッジが「属人化」してしまうリスクがあります。
加えて、認証基盤が止まることで連携サービスに及ぼす影響は計り知れないため、求められる非機能要件のレベルは高くなります。
これらのリスクを取ってでも自社開発を選択せざるを得ない大きな理由が無い限り、認証基盤は自社開発するのではなく、何らかのサービス・パッケージを採用することを強く推奨します。
CIAM(顧客ID&アクセス管理)製品の選定の3つのポイ
ント
これらの選択肢からサービス・パッケージを選ぶことになった場合、次に生まれる疑問は「多数あるCIAM製品の中から何を基準に選定すれば良いのか」だと思います。ここからはCIAM製品を選定する上でのポイントについて解説します。
ポイント① 機能
冒頭で、最初に考えるべきは「実現したいこと」は何かを明確にすることだとお伝えしました。CIAM製品を選ぶにあたってやるべきなのは、まずは「実現したいこと」を踏まえつつ、それらの製品が持っている「機能」を比較することになります。
選定にあたり「利用者のID管理・認証をセキュアに行いたい」「複数のアプリケーションにSSOしたい」「APIの認可制御を行いたい」など、「実現したいこと」をベースとした選定基準を作って、選択肢を絞ったとしても複数の製品が選択肢に残るかと思います。
そういった状況では、実際に「導入をする場面」や「運用をする場面」など、具体的な利用シーンを思い浮かべて「この機能があって良かった」となりそうな機能をピックアップしていきます。
- ・認証画面のカスタマイズ(自社デザインの反映の容易さ)
- ・脅威検知機能(普段と違う行動を検知してアラートを上げる機能など)
- ・プライバシー保護への細やかな配慮(同意管理・規約管理など)
- ・パスワードレス認証への対応具合(FIDO2への対応など)
- ・IoTデバイスなどでの利用を考えた汎用性(RFC8626(Device Flow)への対応)
これらが全てではありませんが、このような「細やかな配慮」が行き届いた機能についても選定時の加点材料にすると良いかと思います。
ポイント② サポート
導入時におけるさまざまなフェーズにおいて、「サポート」は非常に重要な選定基準となります。
まず要件確認時には、「CIAM製品で何ができて、何ができないのか」などといった具体的な相談することができますし、気付いていなかったリスクを指摘してもらえることもあるでしょう。これらは、導入してから気付くのでは取り返しがつかないこともありますので、要件確認の段階から「リスクを指摘してほしい」と依頼しておくと良いと思います。
また、CIAM製品を使った顧客情報の管理・活用に関する他社事例やベストプラクティスなども知るきっかけとなり、新たなビジネスの企画につながることもあるでしょう。
構成や利用する機能が決まり、開発のフェーズに入った後も、認証先アプリとの連携についても相談ができることは重要です。また、CIAM製品があっても、結局連携先のアプリが使えなければ意味がありません。連携先の実装やライブラリの選定においても、情報を得ることができるのは重要なことです。
そして環境構築が完了し運用が開始した後こそ、最もサポートの存在が重要になります。不審なアクセスがあった際や、ユーザのアカウントが攻撃を受けた際、「サポートに相談したが数営業日待たされた」「問い合わせ内容が伝わっていない」などのような状態では手遅れになりかねません。
サポートの「対応スピード」や「回答内容の安心感」は非常に重要です。
ポイント③ 信頼
ここまでいくつかの観点でCIAM製品選定のポイントを整理してきましたが、それでもまだ複数の製品が残り、「決めきれない」という場面もあると思います。
そんなときに最後に比べる要素として、「信頼感」があります。OpenID ConnectではOpenID Certificationという認定プログラムがあるため、これらの認定を受けていることや、対外的に認証技術などの情報発信をしている実績・内容など、「ID専門知識を持っている」という信頼感が得られるベンダなのかを確認すると良いでしょう。
また、候補となっているベンダが最新技術やトレンドにいかに対応をしているか、といった点をチェックすることも、サービス・製品のロードマップにつながってくるため、重要なポイントになると思います。
さいごに
ここまでCIAM製品の選定基準について解説してきました。重要なのは「コスト」と「リスク」のバランスを間違えないことです。CIAM製品選定において、実現したいことが達成できるのか、想定したリスクは受け入れることができるのか、それらのリスクを踏まえて、削減して良いコストとそうでないコストは何なのか、などを慎重に考えて評価する必要があります。
本記事で解説した選定基準が、CIAM製品選定時のご参考になれば幸いです。
NRIセキュアではコンシューマーサービス向け認証基盤の企画から構築、運用のご支援まで専門的な知識と豊富な経験を持つメンバが多く在籍しております。本記事でご紹介したCIAM製品の導入をご検討の際には、お気軽にご相談いただければ幸いです。
