SUMMARY
- IDaaSは、クラウド上でシングルサインオン、ID管理、アクセス制御をトータルで実現する仕組み
- FIDOは、個人情報をネットにさらすことなく認証を可能にする生体認証の仕様
- 現状では、オープンソースのOpenAMでシングルサインオンを実現し、LISMでID管理を自動化するのが最適
業務システムのクラウド化、ID/パスワードによる認証の限界論によって、認証のあり方は刻一刻と変わりつつあります。次世代の認証と言われる、クラウド認証サービスIDaaS(アイダース)と、生体認証仕様FIDO(ファイド)についてご紹介します。
現状ではOpenAM×LISMが最適の選択肢
次世代の認証について考察する前に、まずは総合ID管理の根幹をなすシングルサインオンとID管理製品の歴史を振り返ってみましょう。
シングルサインオンとID管理製品は、2000年前後からはじまった商用製品が群雄割拠した時代を経て、2008~2009年頃からオープンソースが主流の時代へ移り変わりました。
オープンソースが注目されたのは、そのコストパフォマンスです。商用製品はユーザ課金のため、ユーザひとりあたりのライセンス費用が発生します。ユーザ数が増大するにつれ、商用製品と同等機能でありながら、ライセンス費用不要のオープンソース製品が採用されるようになったのです。
現在、この分野での代表的なオープンソースとしては、シングルサインオンを実現するOpenAM(オープンエーエム)と、ID管理を自動化するLISM(リズム)があります。
そしてオンプレミスとクラウドというハイブリッド環境下での業務システムの利用が広がりつつある昨今、新しい潮流として注目されているのは、IDaaS(IDentity as a Service:アイダース)です。
クラウド上でトータルな認証を実現する仕組み、IDaaS
IDaaSは、ID管理や認証の仕組みをオンプレミス側に作るのではなく、クラウド型として提供するサービスです。業務システムがSaaS化するのに伴い、ID管理もクラウド化がはじまっているのです。
IDaaSは、オンプレミス、クラウド、どちらの環境であるかをユーザが意識することなく、シームレスに利用できる仕組みです。クラウド上で、シングルサインオンやIDライフサイクル管理だけでなく、アクセス制御やコンプライアンス監査もトータルで実現するようになると言われています。
2015年7月現在、実際に製品化も始まっていますが、大切なパスワードをクラウドに上げることでのセキュリティの問題、社内システムとの連携の問題など、まだ若干の課題が残っています。
したがって現状の総合ID管理システムとしては、OpenAMやLISMなどのオープンソース製品が現実的な選択肢と言えます。
ID/パスワード不要の生体認証、FIDO
ID/パスワードによる認証の限界が叫ばれるなか、新しい認証の仕様として頭角を表しているのが、FIDO(Fast IDentity Online:ファイド) です。現在、グーグル、マイクロソフト(IT)、ドコモ(キャリア)、サムソン(端末)、ビザカード(クレジットカード)といった企業が参加して、FIDOの標準規格を策定しています。
FIDOでは、スマートフォンやタブレット、パソコンなどの端末側で生体(指紋)認証を行い、認証済の端末から、業務システムへアクセスできるようになります。
これまでのID/パスワード認証との大きな違いは、認証情報がサーバ側ではなく、ユーザの端末側にある点にあります。個人情報をインターネット上にさらすことなく認証が可能になれば、従来のような個人情報漏えい事故が軽減されるのではと期待されています。
マイクロソフトの次世代OS、ウインドウズ10には生体認証が搭載されるという情報もあり、これを契機にビジネスの分野にも生体認証が普及するのではと言われています。
