CIAMとは?CIAMとIAMの違いと認証

アイデンティティおよびアクセス管理(IAM)の世界では、めったに議論が起きません。しかし今日、アイデンティティおよびアクセス管理(IAM)の顧客向けのユースケースについて、業界としてどのように対応するかを巡って論争が巻き起こっています。

CIAMに特有の要件が存在するのは確かですが、だからといって、CIAMのみに特化した製品が必須になるわけではありません。Oktaのアプローチは、強力な基盤プラットフォームと機能を備えた幅広いアイデンティティおよびアクセス管理クラウドサービスを提供して、CIAM ユースケースに対応するというものです。私たちは、これが優れた長期的な選択だと考えています。

CIAMとは

CIAMとは、Customer Identity and Access Managementの略称で、カスタマーアイデンティティおよびアクセス管理と呼びます。Webサービスやアプリケーションなどにおけるアカウント情報の連携強化と個人情報を守る仕組みといったセキュリティ強化がCIAMの目的です。

アイデンティティ管理ソフトウェアを簡単に説明すると、「『適切な個人が適切なリソースに適切なタイミングと適切な根拠でアクセスできるようにする』セキュリティおよびビジネス上の規律」とウィキペディアにあります。この定義は幅広いもので、コンピューティングおよびIT分野のほとんどすべてが該当します。

これは、大部分のアプリにとっては、プロファイルやパスワードが格納されたデータベーステーブルのイメージです。そこにアクセス権データが含まれることもあります。より複雑なアプリケーションや大規模な配備の場合、セキュリティを強化したり、多数のアプリケーションを横断してはるかに複雑な権限付与を管理する事前構築済みのフレームワークを提供したりする、パッケージ版のアイデンティティおよびアクセス管理ソフトウェアを使用できます。

一般に、アイデンティティおよびアクセス管理ソフトウェア(IAM)は、さまざまなユースケースで上記に対応できます。ただし、ユーザーが従業員で権限の付与が組織内のロールに基づいている場合と、ユーザーが顧客で権限の付与がメンバーシップ会員のステータスに基づいている場合があり、後者のシナリオが、カスタマーアイデンティティおよびアクセス管理(CIAM)の世界につながるのです。

CIAMとIAMの類似点

一言で表せば、セキュリティ、拡張性、高可用性が共通しています。

すべてのアイデンティティおよびアクセス管理(IAM)ソリューションが、顧客に直面するいわゆるB2Cユースケースの要件に対応できるわけでないことは確かです。ただし、アイデンティティおよびアクセス管理の中核となる機能構成要素やプロトコルは、認証、権限付与、ディレクトリサービス、ライフサイクル管理などの分野にわたって同じです。IAMプラットフォームのコア機能セット(OpenID接続やOAuthサポートなど)を従業員、外注先、パートナー、顧客、および消費者のユースケースに広く活用するベンダーは、1つのユースケースだけに対応した独自のテクノロジーを構築するベンダーよりも、はるかに力があります。最終的に、その力は優れたイノベーションと市場での長期的な成功となって表れます。つまり、企業のアプリ開発プロジェクトにおいて長期的なパートナーになれるということです。アプリを開発する企業も、市場で長期間にわたり主流となるような基盤の上に構築したいと思うはずです。

IAMシステムがこの分野での成功の鍵を握っているゆえに、どんなユースケースであっても、IAM製品のセキュリティが最重要になります。Office 365を利用する従業員、サポートポータルを利用する顧客、MGM Resorts Internationalのような大規模ホスピタリティ企業の複数のホテル、Web資産を行き来する消費者のどれに該当するにせよ、認証やフェデレーションサービスについて同じセキュリティ制御が適用されるのです。従業員アカウントが侵害されると内部システムのハッキングにつながり、消費者アカウントが侵害されると通常は情報の開示を要求されるので、上場企業でなくても企業評判の損失は非常に大きくなります。

拡張性の話になると、CIAMに特化したベンダーは、特有の要件があることを主張しますが、これにも一理あります。専用のCIAMクラウドサービスと従来のオンプレミスのアイデンティティおよびアクセス管理製品とを比べると、CIAMサービスは1つの顧客につき何千万件ものアイデンティティを処理できなければなりません。従来型のオンプレミス製品の多く、または汎用のIdentity-as a Service(IDaaS)製品でさえ、そのような規模に対応できるアーキテクチャではありませんでした。一方、すべてのユースケースに対応し、月あたり何千万件もの認証が発生する顧客を何千社も擁する IDaaSであれば、何百万ものユーザーを擁する新しい顧客に対応するように簡単に拡張できます。したがって、CIAMに特有の要件があるという主張は、すでにマルチテナントクラウドサービスを大規模に運用しているベンダーには当てはまらないのです。

最後に、高可用性はすべてのユースケースで重要です。IAMがダウンすると、業務を遂行できません。従業員の生産性の低下は甚大ですが、さらにeコマースサイトがダウンすると収益の喪失に直結します。ここでも、冗長性を極度に高めた最新のクラウドサービスは、すべてのユースケースに必要な高可用性を実現しています。

CIAMとIAMの違い

従業員向けIAMシステムは通常、社内サービスへのサクセスに使用されます。それにはユーザーポータルが含まれる場合があります。CIAMサービスの対象ユーザー層は、一般にWebサイトの訪問者またはモバイルアプリからの訪問者です。それらのユーザーはWebサイトにログインしたいのであって、サードパーティのアイデンティティおよびアクセス管理ベンダーのポータルに用はありません。そのため、CIAM製品は基本的に開発者主導型で、使いやすいものでなければなりません。CIAMプロバイダーの製品で、開発者がアプリケーションのユーザーアカウントの登録、ログイン、および管理操作を簡単に行えないなら、別のプロバイダーを探す必要があります。アイデンティティおよびアクセス管理サービスには、これらの機能すべてをプログラムからきめ細かく操作できるREST APIが必要です。また、複数のプログラミング言語のSDKや埋め込み可能なウィジェットなどを含む最新の開発者ツールも必要です。

CIAMの認証機能には、B2B 顧客のフェデレーションからソーシャル認証、ネイティブ認証、さらにはパスワードレス認証に至る、幅広いユースケースに対応した高い柔軟性が求められます。常に最先端の認証テクノロジーおよびプロトコルを提供する最新のIAMクラウドサービスはこの点で有利で、これらのユースケースすべてをカバーした選択肢を提供してくれます。ソーシャル認証では、消費者ユースケースでソーシャルプロファイルをユーザーのコアプロファイルにリンクおよびリンク解除する機能が特に重要です。開発者はほとんど常に、このソーシャルデータの動作のカスタマイズを考えているため、アイデンティティおよびアクセス管理システムには、さまざまなユーザープロファイル操作をプログラムから実行できる柔軟性が求められます。

CIAMの権限付与モデルは、ITユースケースよりもシンプルになると考えられます。多くの場合、顧客のロールは、大規模エンタープライズ内に見られる多様な社内ロールよりも権限が限られているからです。この分野では、エンタープライズシナリオを処理できるだけの強力な権限付与機能を備えたアイデンティティおよびアクセス管理システムは、グループメンバーシップやユーザー属性などの項目をプログラムから変更できる限り、CIAMの権限付与要件を確実に処理できます。

CIAM では、EUの一般データ保護規則(GDPR)のようなユーザーの個人情報に関する法規制を遵守するために、追加の措置が必要です。たとえば、消費者が直接操作するアプリには、エンドユーザーの同意を得るためのチェックボックスが必要です。この場合の基盤となるアイデンティティおよびアクセス管理要件では、ユーザーデータを安全に管理することが求められます。これは、すべてのアイデンティティおよびアクセス管理ユースケースで最高度に重要な基本的セキュリティ要件です。ここで、基盤となるセキュリティが最高レベルであるプラットフォームを優先する選択を行うことが重要です。コードを記述してチェックボックスを操作するのは簡単ですし、おそらくはカスタマイズで必要になることでもあります。

マーケティング分析について

デジタル変革が始まったばかりの頃にサービスの構築を始めたCIAMベンダーもあります。彼らには先見の明があったかもしれませんが、当初はユーザーの行動を追跡して、マーケティング分析に応用することが重視されていました。それらは重要な要件ではありますが、そのような製品の市場はすでに成熟しており、今ではCMOに向けたマーケティング分析製品の選択肢は豊富に用意されています。

同じタイミングで、IAMテクノロジーも進化を重ねてきました。OpenID接続やOAuthなどの新しいプロトコルによって、最新のアプリアーキテクチャ(バックエンドREST APIを呼び出すモバイルまたはシングルページアプリ)やマイクロサービス(API を経由したサーバー間通信)が実現しています。これらの最新アプリケーションを構築する開発者には、こうした最新のプロトコルを使用してアプリケーションを保護できるアイデンティティおよびアクセス管理プラットフォームが必要です。最新のIAMサービスは、マーケティング指向の強いCIAM専用製品に比べて、すべてのシナリオをサポートできる可能性が高いと考えられます。

エンタープライズITの全体像

すでにお分かりのように、アイデンティティおよびアクセス管理のB2Cユースケースの世界でも、Oktaのような市場最先端のIDaaSを最善の選択肢と考えるべき十分な理由があります。Okta は最新のIAM機能を備え、カスタマーユースケースの求めるセキュリティ、拡張性、高可用性の要件を達成するためにゼロから設計されています。

しかし、デジタルビジネスおよびエンタープライズ ITの世界は、B2Cだけではありません。ユースケースや要件には、さまざまな色合いの違いがあるのです。Oktaは、消費者アプリから、B2Bカスタマーアプリ、B2Bパートナーコラボレーション、サプライチェーン統合、サポートポータル、リモート勤務者の生産性を高めるための社内アプリ、顧客が直接使用するeコマースサイト群のシームレスな統合、SaaSアプリへの従業員の接続、大学の卒業生が母校の情報に生涯アクセスできるようにすること、安全なeコマースの迅速な構築、企業が自社のデータを収益化しAPIエコノミーで事業を立ち上げるための支援に至るまで、幅広い視野で「顧客」を捉えています。

Oktaは、あらゆるタイプの組織でこのように広範なユースケース全体をけん引するCIO、CDO、CTO、CMOの皆様のことを念頭に置いています。そして、さまざまに異なる環境に適合する最善の方法は、このように幅広い状況を処理できるアイデンティティおよびアクセス管理(IAM)パートナーを見つけることです。他の選択肢では、将来のイノベーションの幅がきわめて狭いものになります。