最終更新日:2024-11-01
ID管理システムの導入によって負担なくID管理を行いたい方や、セキュリティを強化したい情報システムの担当者へ。社内IDの一元管理だけでなく、特権IDの管理、アカウント管理の自動化などを行えるID管理システムについて、目的に応じた選び方や比較ポイント、おすすめのシステムをご紹介します。
ID管理システムとは、組織内のユーザーのID、パスワード、アクセス権限などを一元管理するシステムです。システムやサービスへのアクセスに必要な情報を統合管理することで、セキュリティ強化、運用コスト削減、ユーザー利便性向上などの効果を期待できます。
SaaSの普及やデジタル化の加速に伴い増えているのが、「ID管理業務の煩雑化」「情報漏えいなどのリスクの増加」など、ID管理にまつわる多くの課題。特に、IDやパスワードのログイン情報をExcelや紙で管理している場合、その課題やリスクは顕著です。
ID管理システムの導入は、手作業での管理に比べ、次のような目的の実現が見込まれることから、多くの企業でが進んでいます。
ID・パスワードは、社員の異動・入退社などに伴い、その都度作成・発行、停止・削除といった更新作業が発生します。特に人事異動など人の入れ替えが多いシーズンは、管理者に多くの負担がかかりがち。ID管理システムで一元管理すれば、簡単な操作で更新作業を一括完了できます。「削除し忘れ」「IDの使い回し」などによるリスクを防ぎながら、最新性の担保が可能です。
わかりやすい例が、Windows環境のPCのID管理に強みを持ち、多くの企業で導入されている「Microsoft Entra ID(旧Azure Active Directory)」。他サービスと連携すればサービスをまたいでの一元管理ができ、情報の更新漏れを防げます。
利用したいサービスが、「Azure Active Directory」などの連携対象に入っていない場合は、従来通り、アカウントの追加・更新・削除などのID管理業務が必要になります。その点、ID管理システムの中には、サービスをリストに追加するだけで、アカウント管理を自動化してくれる「プロビジョニング機能」を備えているものもあります。
たとえば、「Soliton ID Manager」もその一つです。本来、サービスのアカウントを取得する場合、個別の設定業務が必要となりますが、同システムは人事システムと連携することで社員マスタから社員属性などを抽出し、一定のルールのもと設定情報を埋めてアカウントを自動作成してくれます。
特権IDとは、一般のユーザーにはない強力な操作権限・情報参照権限を持つIDで、管理者アカウントなどが該当します。一つの特権IDを複数の人間で使い回している場合、内部統制において常にリスクを伴います。セキュリティ強化の観点からも、特権IDの利用履歴取得、利用申請(ワークフロー)管理などの機能を持つシステムがおすすめです。
「SecureCube Access Check」なら、「誰が」「いつ」「どの端末から」「どのサーバーで」「何をしたか」まで随時確認でき、監査業務を効率化できます。
重要度の高いIDに関しては、ログの確認のみならず、利用者の操作画面そのものを録画できる「Password Manager Pro」といったシステムもあります。
なお、特権ID管理ツールについては、「特権ID管理ツール7選。メリットやタイプ別の選び方」で詳しくご紹介しています。
一つのID・パスワードで、複数のシステムに自動ログインできる「シングルサインオン」。システムごとにIDを配布したり、パスワードを定期的に変更したりする必要がなくなり、手間とコストを削減できます。セキュリティに不安がある場合は、特定の場所や指定の端末以外はアクセスさせない「アクセスコントロール」と併用すると有効です。
「CloudGate UNO」や「Gluegent Gate」なら、様々なクラウドサービスにシングルサインオンでログイン可能。「オフィスからのみ」「会社が認めた端末のみ」といったアクセスコントロールにも長けているため、利便性とセキュリティの両立が実現します。
Excelなどの台帳でシステムごとの従業員ID・パスワードを管理するには、煩雑な更新作業への対応が必要。社員一人ひとりに膨大な負荷がかかる上、何人もの人手が求められます。こういったケースでは、ID管理台帳機能を持つシステムを利用したIDの棚卸を行いましょう。
従業員情報を雇用形態ごとに管理している場合には「Bundle」がおすすめ。人事労務システムやスプレッドシートなどを、インポートや連携によって統合的なデータベースへと昇華できます。人事発令に合わせたSaaSアカウントの自動発行・削除も容易です。
ID管理システムをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
自社の環境に適切なシステムは、目的に応じて選びます。IDの一元管理を主目的とした場合と、更なる機能を求めている場合で、適したシステムが変わります。
おすすめはクラウドベースの「Microsoft Entra ID」による一元管理です。特に、Windows OSの社内PCが中心で、オンプレミスで「Active Directory」を利用している場合に手堅い手法です。
「Active Directory」から「Microsoft Entra ID」へアカウント情報を同期するだけで、同じユーザー名とパスワードを使ってオンプレ・クラウドどちらへもサインインが可能。その都度情報を入力したり、別々に管理したりする手間が省けます。
「Microsoft Entra ID」は多くのサービスと連携できますが、中には連携できないサービスも存在します。連携できないサービスについては、別途ID管理が必要となります。 また、「Microsoft Entra ID」は基本的な特権 ID 管理機能を提供していますが、より高度な管理を行うには、「Microsoft Entra ID ガバナンス」や「Microsoft Entra Permissions Management」などの製品を追加導入する必要があります。
IDの一元管理に加え、アカウント管理の自動化や特権ID管理、アクセスコントロールなどを包括的に行いたい場合は、「プロビジョニング」「特権ID管理」機能を備えたシステムを検討しましょう。
具体的なシステムを選ぶ際には、大きく分けて「システムの連携範囲」「特権ID管理の要否」「シングルサインオン対応の要否」のポイントで比較するのがおすすめです。
目的に応じて、必要とされる機能やその優先順位も変わってくるため、自社のユーザー情報(ID・パスワード)がどのように運用されているかを考えながら検討していきましょう。
OS、Active Directory、LDAP(ディレクトリサービスに接続するプロトコル)…と、システムによって、一元管理の対象は異なります。一部でも未対応だと一元的な管理とはいえず、かえって対処が煩雑に。よく利用するサービスがあれば、各サイトの「ID管理対象」という項目をチェックします。「対応OS」「対応ディレクトリ」「DB」などの詳細から、カバーできる範囲を確認しておきましょう。
特権IDの適切な管理はシステム監査の対象となっており、多くの企業で特権IDの対象や操作履歴をセキュリティポリシーに定めています。監査やセキュリティポリシーの対応を強化したい場合は、アクセス申請やログ管理・操作記録など、特権ID管理機能が充実したシステムを選びましょう。
シングルサインオンに対応したID管理システムを選ぶことで、ユーザビリティの向上が期待できます。たとえばID台帳管理・ID棚卸ツール「アカンサス」では、オプションでシングルサインオンに対応。まずはシステムを導入して一元管理を強化し、追ってシングルサインオンに対応するのも一手です。
セキュリティ強化には、「アクセスコントロール」「認証方法の強化」などの機能も効果的です。多要素認証(MFA)に対応したシステムも多く、「Microsoft Entra ID」は2段階認証、生体認証(顔、虹彩、指紋)が可能。スマホの生体認証機能を利用したパスワードレス認証が行える「CloudGate UNO」や「LOCKED」であれば、リモートワーク下でもスムーズです。
ここからは、4つの目的ごとにおすすめのID管理システムを紹介します。
上記に当てはまる場合は、Windows内蔵の「Active Directory」(オンプレミス)及び「Microsoft Entra ID」(クラウド)の利用をまず検討します。導入した後、企業の成長過程に応じて、「特権ID管理」など他システムを併用するのがいいでしょう。
(出所:Microsoft Entra ID公式Webサイト)
Microsoft が提供するクラウドベースの ID およびアクセス管理サービス。クラウド上の様々なアプリケーションを登録することで、複数のアカウントをまとめて管理できる。Windows搭載の「Active Directory」と同期すれば、オンプレミスで利用するユーザー名とパスワードを使って、クラウド上でもシングルサインオンでアクセス可能。
スマホやワンタイムパスワードの認証を組み合わせた「2段階認証」のほか、顔、虹彩、指紋による「生体認証」、「デバイス認証」などID管理機能も豊富。多要素認証を行い、またアクセス条件をユーザー別に設定することで、セキュリティを強化する。
2023年10月より「Azure Active Directory」から名称を変更した。Microsoftのクラウドサービスに含まれるため、無料での利用が可能(有料プランもあり)。
(出所:CloudGate UNO公式Webサイト)
1,600社、 71万ユーザーに利用されているSSOソリューション。ユーザーがサービスにアクセスするごとに確認(認証)を行う、都度判定を採用したゼロトラストモデルのシングルサインオン機能が特徴。個人/グループ単位で、「オフィスからのみ」「会社が認めた端末のみ」など細かな制限ができるなど、アクセスコントロールに優れている。
ユーザーがサービスインすると同時に、自動でアカウントを作成・更新したり、新規ライセンスを自動的に割り当てたりする。パスワードレス認証にも対応しており、WindowsやMacの端末に搭載された生体認証器を「見るだけ」「触るだけ」で完了。専任のサポートチームが24時間サポートしてくれ点のも魅力。
(出所:統合認証・アクセス管理ソリューション公式Webサイト)
ID管理からユーザー認証強化まで、オンプレ・クラウド問わずワンストップで対応するソリューション。ID管理、シングルサインオン、特権ID管理など、認証環境にまつわる様々な課題をトータルサポートし、分散するID・アクセス権管理を統合する。
人事システムなどのマスターデータを用いるID一元管理ソリューションでは、アカウントの自動更新による更新作業の削減と管理漏れ防止を実現。ICカード、生体情報、ワンタイムパスワード、乱数表認証など、多要素認証にも対応している。
(出所:Soliton ID Manager公式Webサイト)
運用コスト削減とセキュリティ強化を実現する情報資産アクセス管理基盤ソフト。「誰が」「どんなIDで」「どの情報資産を」「どんな権限で」「どの期間」「どんな理由で」使えるのか一元管理し、権限を柔軟に制御できる。アカウントの自動作成・削除機能(自動プロビジョニング)を備え、人事異動に伴うアカウント登録・削除、アクセス権限設定が不要。1回のパスワード変更で、複数システムのパスワードを一括変更できる。Active Directoryパスワード変更に合わせた自動変更も可能。
パスワード忘れやパスワードロックの際は、登録済みのメールアドレスにワンタイムパスワードを送信する「パスワードリセット機能」が有効。ヘルプデスクへの負担を軽減し、効率的な運用を実現する。
(出所:LOCKED公式Webサイト)
アカウントの一元管理とシングルサインオン、双方に対応したSaaS管理ツール。セキュリティ強化と業務効率向上の両者を望む企業におすすめ。
入社/退職/異動などに合わせて、SaaSのアカウントを自動設定。特定のフォルダ・チャンネルへの招待など、SaaS固有の項目の設定もできるため、ID管理の運用負荷が低減する。ユーザーの属性やアクセス日時、IPアドレス、端末の承認状況など、様々な条件を組み合わせたシングルサインオンが可能。ログインの可否を含め、柔軟なアクセス制御を実現する。
棚卸台帳機能も搭載し、SaaSを含めたアカウント管理が容易。利用状況と照らし合わせ、無駄なライセンス契約を排除してコストカットとセキュリティ強化につなげる。
(出所:Gluegent Gate公式Webサイト)
認証基盤のほか、IDライフサイクル管理、統合ID管理、監査などの豊富な機能を備えるIDaaSソリューション。クラウドサービス連携、汎用SAML連携、汎用Webアプリ連携など、様々な方法でシングルサインオンが可能。場所や人、時間帯、端末種別などによるアクセス制限や認証要素を自由に組み合わせた多要素認証で、アクセスセキュリティを強化する。サービスごとに認証方式を選択し、認証ルールを複数設定しての管理もできる。
統合ID管理機能では、連携対象システムに対して、ID・グループ・組織・連絡先といったID付帯データを取り込み、伝搬する。セキュリティと利便性を同時に実現したい場合におすすめ。
(出所:Keyspider公式Webサイト)
日本企業向けの国産クラウドID管理サービス。複雑な階層型組織の管理や権限管理、人事異動発令日前後でのデータ同期など、日本独自の人事制度や慣習に柔軟に対応する。所属や属性に応じたサービス利用権限の自動付与機能や、登録数と利用数のライセンス数の差異確認機能(ID棚卸し)も搭載。IDライフサイクル管理を手間なく実現できる。
外部システムとの自動連携にも強みを持ち、クラウドサービスだけでなく、オンプレミスの社内システムとも簡単に自動連携。オンプレ・クラウドを問わずIDを一元管理できる。
(出所:Bundle公式Webサイト)
SaaSのアカウント管理に特化したID管理システム。190以上のSaaSと自動連携して、従業員の入社・退社・異動に合わせて生じるSaaSアカウントの発行・削除・権限切り替えなどを自動化する。人事労務システム等との連携により、人事発令のタイミングでのアカウント自動発行・棚卸しが可能。人事労務システムとの二重管理も防げる。
SaaSごとに特定の部署に管理権限を付与したり、Bundle内で複数のシステムの管理体制を統合したりと、柔軟な権限管理で安全なアカウント管理体制を効率よく構築できる。料金はユーザー数に応じた従量課金制。
(出所:SecureCube Access Check公式Webサイト)
特権ID管理に重要な予防・発見・監査の統制機能を持つオールインワンソリューション。日時を指定してサーバーへのアクセスを承認するゲートウェイ型コントロールが特徴で、利用者は承認された時間帯にのみ承認されたシステムを操作する。万が一マルウェアに感染した場合でも、不正アクセスや情報漏えいなどへの被害拡大を防げる。
SFTP、RDP、HTTP(S)、TELNETなど様々なプロトコルに対応しており、あらゆる操作のログ管理ができる点もポイント。アクセス申請と紐づけることで「誰がいつどの端末からどのサーバーで何をしたか」を随時確認でき、監査業務の効率化も見込める。
サービス版としてSaaS型特権ID管理に長けた「Cloud Auditor by Access Check」、廉価版のアクセス制御・証跡取得ソリューション「Access Check Essential」も提供している。
(出所:Password Manager Pro公式Webサイト)
製品をインストールするだけで、特権IDを安全かつ簡単に管理できる特権ID管理専用ソフトウェア。利用申請・承認記録など、特権ID管理に必要な機能を網羅的にカバー。利用履歴はもちろん、重要度の高いIDに関しては操作画面を録画してより詳細な履歴を取得できる。
年間98万円と低コストで利用でき、ライセンス費用は「承認者(管理者)」の数に応じて決定。申請者やITリソースが増えても同額で利用できるため、将来的にIT設備や組織規模の拡張を見込んでいる企業に適している。1年ごとの年間ライセンス契約更新のため、スモールスタートを望む企業にもおすすめ。多言語対応で、ビジネスをグローバルで展開する際にも有用。
(出所:アカンサス公式Webサイト)
社内のID台帳を一元化し、ID棚卸業務を効率化するSaaS型ID台帳管理・ID棚卸ツール。正社員・契約社員・協力会社などの「従業員一覧」と、利用するシステムやサービスの「ID一覧」をインポートするだけで、「どのシステムにどこの部署の誰がIDを持っているか」を瞬時に整理。退職者や異動者の不要なIDを自動抽出・削除すれば、ID棚卸業務の効率化やコスト削減、情報漏えい防止につながる。「正社員は人事システム」「契約社員はExcel」など、管理方法がバラバラでも問題なく利用可能。
普段利用しているIDプロバイダ(IdP)を経由したシングルサインオンでログインできるオプションも用意。業務効率化とともに、セキュリティレベルの強化を実現する。
管理者数と、登録する従業員データ数に応じた3つの料金プランがそろう。
(出所:JumpCloud公式Webサイト)
世界160カ国20万社以上の導入実績を持つID/デバイス管理プラットフォーム。Windows、Mac、LinuxなどのOSやGoogle Workspace、Microsoft 365などの既存の環境に対応・連携。1つの管理画面で全社員のアカウント作成・削除などのユーザーサイクルを管理できる。一覧でID/パスワード情報を表示でき、個人ごと、グループごとなど、任意の単位でアクセス制御も容易。
シングルサインオンのほか、ワンタイムパスワード、指紋認証、SMSコードといった多要素認証にも対応しており、求めるレベルに応じてセキュリティ強化できる。スマホ、タブレット向けのモバイル端末管理(MDM)機能も搭載。遠隔でリモートロックやデータ消去ができるため、万一のデバイス紛失時にも安心。
煩雑になりがちなID・パスワード管理を効率的に行い、セキュリティ強化やコストカットにも寄与するID管理システムは、次のような目的から各社で導入が進んでいます。
自社に適したID管理システムは、上記の目的に加えて以下のポイントを比較して見極めます。
ID管理のみを主目的とした場合は、Windows内蔵の「Active Directory」(オンプレミス)及び「Microsoft Entra ID」(クラウド)の利用がおすすめです。更なる機能を求める場合は、目的と社内でのユーザー情報の運用の仕方を加味して検討しましょう。
ID管理システムを効果的に利用することで、情報システム担当者の手間を減らし、従業員が安心できる環境を構築できます。セキュアな環境の実現に向けて、導入を検討してはいかがでしょうか。
ID管理システムをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
サイオステクノロジー株式会社
シングルサインオンと多要素認証、統合ID管理に対応したIDaaSソリューション。セキュリティと利便性を同時に実現します。全ログデータを記録する監査機能も搭載。...
記事をシェア
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
