正しい利用者が適切なリソースへアクセスできるようにするには、アクセス制御が必要だ。
ADとIDaaSにおけるアクセス制御
まずはAD(Active Directory)のアクセス制御の流れを確認しよう。ADはリソースへのアクセス権をセキュリティーグループ単位で設定する。
セキュリティーグループ「人事」に所属するユーザーアカウントは、リソースにアクセスする前にドメインコントローラーへアクセスし、チケットを要求する。ドメインコントローラーはユーザーアカウントを認証すると、リソースにアクセス可能なチケットを払い出す。利用者はこのチケットを提示して、セキュリティーグループ「人事」がアクセスを許可されたリソースへアクセスできる。
次にクラウドサービスへのアクセスを制御する仕組みを見てみよう。その一例としてIDaaS(IDentity as a Service、アイダース)とIAP(Identity-Aware Proxy)を組み合わせる方法がある。
次のようにアクセスを制御する。利用者がリソースにアクセスする際、最初にIAPへアクセスする。IAPはIDaaSに利用者の認証状態とロール(役割)を問い合わせる。IAPは認証状態とロールを受け取り、利用者に適切なリソースへのアクセスを認可する。
動的な情報を基にアクセス制御
ロールに基づく制御は静的な情報に基づく。これに対しアクセス元の端末の状態に応じてリソースへのアクセスの可否を決める制御方式もある。「動的アクセス制御」だ。
動的アクセス制御の一例を説明する。端末の状態を取得するためにIDaaSをEDR(Endpoint Detection and Response)やMDM(Mobile Device Management)と連携させておく。例えば利用者の端末にはEDRのエージェントをインストールし、端末のセキュリティー状態をEDRで把握できる状態にしておく。
アクセスの際は次のような流れとなる。まずEDRエージェントが各端末のセキュリティー状況をEDRサーバーへ通知する。EDRサーバーは端末のセキュリティー状態を分析してIDaaSへ伝達する。MDMも各端末がきちんとMDMに管理されているかをIDaaSへ伝達する。IDaaSはEDRとMDMから伝達された情報を鑑み、安全な端末だけリソースへのアクセスを許可する。
