第二回目「認証・ID管理の課題と、今後「SKUID」に求められる機能」

SLAや監査への対応

2016年12月5日、渋谷にあるGMOグローバルサイン株式会社において「クラウドサービス利用時のID/パスワード管理 運用実務 勉強会」が開催されました。

Office365やDropBox、SalesforceCRM、Cybozu.comなど、中小企業におけるクラウドサービスの利用が増大しています。一方、ユーザーのリテラシーを含めたクラウドへの周知をはじめ、システム担当者の負担は大きくなるばかりです。

本セミナーでは、クラウドサービスにおける認証とID管理の動向や、パスワード使いまわしなどID管理のリスクをご紹介するとともに、ID管理クラウド「SKUID」のハンズオンセミナーを行いました。

GMOグローバルサインが提供する「SKUID」は、ID管理、シングルサインオン、アクセスコントロールを提供するID管理クラウドサービスです。ビジネスレベルの機能を兼ね備えていながら、アカウント数、アプリケーション登録数が無制限であり、基本機能が無料で使えるという大きな特長があります。

本セミナーではハンズオン終了後、今後「SKUID」に実装してほしい機能についてディスカッションが行われ、活発な意見が飛び交いました。

本稿では、そのディスカッションの模様をダイジェストでご紹介します。第2回目のトピックは、「SLAや監査への対応」等についてです。

２－１．「SKUID」のクラウドサービスの利用制限機能について

Ｑ： システム管理者としてお聞きしたいのですが、自社の社員が「SKUID」に限らず独自に外部サービスに登録・利用することについて、他社では一般的にどこまで許可、又は禁止しているのでしょうか？

Ａ：企業によって事情は異なると思いますが、何らかのルール（社内規定）を設けている企業は多いようです。一部の企業では、特定のクラウドサービスの利用を禁止したり、不正利用を検知したりできる仕組みを導入しています。

「SKUID」では、将来的には対応する可能性もありますが、現状では利用制限の機能はありません。

利用制限機能を実現するものとしては、やや大規模向けですが、「CASB(キャスビー)」というクラウドサービスがあります。こちらは外部のクラウドサービスをモニタリングし、それぞれにランク付けをした上で危険度の高いクラウドサービスは使わせないなどの制御が可能です。

２－２．「SKUID」のSLA対応、セキュリティ認証について

Ｑ：クラウドサービスのSLA (Service Level Agreement：サービス品質保証)という観点から、「SKUID」はISMSのようなセキュリティ認証を取得する必要があるのではないでしょうか？　認証が止まってしまうとその先のサービスがすべて使えなくなるという懸念があり、企業にとって「SKUID」は重要なサービスになると思います。それについては現状どのようにお考えでしょうか？

A：はい、セキュリティ認証は非常に重要であると考えています。一方、当社には「基本機能を無償で提供する」という確固たる理念があり、社内的にそのバランスで悩んでいます。

もちろんSLAは提示すべきであると認識していますが、具体的にどの程度までのSLAを設けるのか、それをどのように保証するのか、どのような約款にするのか、認証を止めないことをどのように担保するか、といったところも含めて前向きに検討している段階です。

Ｑ：一定以上の可用性を求めるのであれば、Amazonのように有償でサービスを提供するという考えもあるのではないでしょうか？

Ａ：そうですね。そのようなオプションも選択肢として考えています。しかしその場合は、無償のシステムと有償のシステムを別立てでどのように管理していくのかという課題も残り、即答が難しいテーマです。

Ｑ：外部監査の認証について、例えばISMSやSOC2等は、ユーザー企業側では重要視されるのでしょうか？

Ａ： ISMSはかなり重視するお客様はいるようです。海外の認証に関してはあまり聞いたことがありません。

以上、GMOグローバルサインでは、今回の意見を参考に「SKUID」の機能拡張やサービス改善に取り組んでいくとのことでした。

次回は、利用環境についての意見を紹介します。

ご参考

講演資料はマジセミからダウンロード可能です。
SKUIDのサービスサイト
第一回目　人事異動への対応やSAML認証への対応