はじめに

適切なアクセス管理は、機密性を担保するために重要な要素です。

Identity and Access Management (IAM) はアクセス管理機能を提供します。
IAM は、Enterprise IAM (EIAM) と Customer IAM (CIAM) に大別できます。

EIAM は従業員のアクセス管理、CIAM は顧客向けのアクセス管理です。

このブログは CIAM を掘り下げ、その機能や活用方法について記載します。

Customer IAM (CIAM) の価値

CIAM は、どのような価値があるのでしょうか?

従来のアプリでは、自身でユーザー認証を作り込むのが一般的でした。
アプリ内のデータベースで ID や password による認証が組まれていました。

これらには課題があります。

一番大きな課題は、利用者の利便性が低いことです。
自社で複数のアプリを提供する場合に ID がそれぞれで連携していなかったり、複数の ID、password をユーザーで管理する必要があるなど、ユーザーにとって敷居が高くなります。

これに対しては OpenID Connect などの複数の規格が登場しましたが、それらを自身で実装、管理する必要が出てきます。

CIAM を利用することで、これらの認証、認可の管理を Identity as a Service (IDaaS) 側に移譲することが可能となります。

他にも、シングル・サインオン (SSO) や MFA、FIDO2、リスクベース認証など、最新のセキュリティ機能を容易に実現することが可能となります。

CIAM の便利な点は、これらの最新のセキュリティ要件やユーザー管理要件を、アプリから完全に切り離して管理できることです。

Customer IAM (CIAM) の提供する機能

先の章では、EIAM と CIAM について記述しましたが、CIAM もその機能から大きく 2つに分類できます。

一つが完全な顧客のための CIAM 機能、もう一つが組織と統合する CIAM 機能です。

IDaaS で有名な Okta の Auth0 では、前者を B2C 、後者を B2B 機能と呼んでいます。

この章では、それぞれが提供する機能について見ていきます。

Business to Consumer (B2C)

B2C 機能が提供するのは、完全な顧客のためのアクセス管理機能です。
主なユースケースでは、B2C SaaS アプリケーションの認証などに利用されます。
たとえば、EC サイト、ゲーム、Web サービスなどです。

B2C では、顧客はアプリ内でプロビジョニングされたユーザーや、OpenID Connect などの認証でアプリケーションを利用します。

そのため、B2C では Google Identity や Apple ID、Microsoft ID、Facebook など、複数の認証基盤を用いたユーザープロビジョニングやログインといった個人 ID の持ち込み (Bring Your Own Identity (BYOI)) がサポートされています。

B2C 向けの IDaaS は、自社のブランド ID (例えば、iret Identity のような) を集中管理するために利用されます。

これにより、ユーザーはブランド ID を一つ登録するだけで、その会社の提供する複数のアプリで同じ ID を利用できるなどのメリットを享受できます。

Business to Business (B2B)

これに対して B2B が提供するのは、複数企業の統合です。
主なユースケースは、ビジネス向け SaaS アプリケーションの認証などです。
例としては、パートナーポータルや、サプライヤー向けサイト、企業向け SaaS サービスなどが考えられます。

B2C CIAM の最大の欠点は、顧客の所属を特定できないことです。

B2C CIAM のユーザーは個々で独立していて、所属関係などはありません。
これは、通常の B2C アプリケーションでは特に問題ありません。

しかし、ビジネス向けのアプリケーションにとって重要なのは、顧客の所属を特定することです。

B2C では Facebook などの個人向けアプリと連携するように、B2B では組織の IDaaS と連携する機能が提供されます。
これらの機能は、個人の ID ではなく組織が管理する EIAM を信頼することが原則になっていて、ユーザーは各利用組織が管理することとなります。

顧客組織との連携は、想定外に難しいです。

顧客の組織ポリシーに準拠するため、顧客が利用している EIAM の利用を前提とし、多くの EIAM 製品と統合する必要が出てきます。

例えば、アプリが SAML 連携をサポートしていても、複数の SAML と連携できないなどの技術的制約が発生する可能性が出てきます。

これらの間をつなぐ製品が、B2B の CIAM 製品となります。
このようなニーズに対しては、Okta の Auth0 を検討してください。

まとめ

CIAM 製品は、自社のブランディングを維持して、ユーザー管理を簡素化し、自社の提供する複数のアプリにまたがったユーザー一元管理を実現できる製品です。

また、その特性から B2C と B2B などの製品が利用可能となっています。

これらを活用することで、複雑になってしまうアクセス管理を透過性をもって維持することが可能となります。

アイレットでは、クラウドID管理 コンサルティングサービス を提供しています。
CIAM の導入や、PAM (特権アクセス管理) 導入などのお手伝いが必要な際は、お声掛けください。