CIAMとIAMを読み解く

アイデンティティおよびアクセス管理(IAM)の世界では、めったに議論が起きません。しかし今日、アイデンティティおよびアクセス管理(IAM)の顧客向けのユースケースについて、業界としてどのように対応するかを巡って論争が巻き起こっています。今では多くの人が、この問題をカスタマーアイデンティティおよびアクセス管理、またはコンシューマアイデンティティおよびアクセス管理と呼んでおり、両方とも CIAM と略されています。

CIAM に特有の要件が存在するのは確かですが、だからといって、CIAM のみに特化した製品が必須になるわけではありません。Okta のアプローチは、強力な基盤プラットフォームと機能を備えた幅広いアイデンティティおよびアクセス管理クラウドサービスを提供して、CIAM ユースケースに対応するというものです。私たちは、これが優れた長期的な選択だと考えています。

CIAM および IAM とは

アイデンティティ管理ソフトウェアを簡単に説明すると、「『適切な個人が適切なリソースに適切なタイミングと適切な根拠でアクセスできるようにする』セキュリティおよびビジネス上の規律」とウィキペディアにあります。この定義は幅広いもので、コンピューティングおよび IT 分野のほとんどすべてが該当します。

これは、大部分のアプリにとっては、プロファイルやパスワードが格納されたデータベーステーブルのイメージです。そこにアクセス権データが含まれることもあります。より複雑なアプリケーションや大規模な配備の場合、セキュリティを強化したり、多数のアプリケーションを横断してはるかに複雑な権限付与を管理する事前構築済みのフレームワークを提供したりする、パッケージ版のアイデンティティおよびアクセス管理ソフトウェアを使用できます。

一般に、アイデンティティおよびアクセス管理ソフトウェア(IAM)は、さまざまなユースケースで上記に対応できます。ただし、ユーザーが従業員で権限の付与が組織内のロールに基づいている場合と、ユーザーが顧客で権限の付与がメンバーシップ会員のステータスに基づいている場合があり、後者のシナリオが、カスタマーアイデンティティおよびアクセス管理(CIAM)の世界につながるのです。

CIAM と IAM の類似点

一言で表せば、セキュリティ、拡張性、高可用性が共通しています。

すべてのアイデンティティおよびアクセス管理(IAM)ソリューションが、顧客に直面するいわゆる B2C ユースケースの要件に対応できるわけでないことは確かです。ただし、アイデンティティおよびアクセス管理の中核となる機能構成要素やプロトコルは、認証、権限付与、ディレクトリサービス、ライフサイクル管理などの分野にわたって同じです。IAM プラットフォームのコア機能セット(OpenID 接続や OAuth サポートなど)を従業員、外注先、パートナー、顧客、および消費者のユースケースに広く活用するベンダーは、1 つのユースケースだけに対応した独自のテクノロジーを構築するベンダーよりも、はるかに力があります。最終的に、その力は優れたイノベーションと市場での長期的な成功となって表れます。つまり、企業のアプリ開発プロジェクトにおいて長期的なパートナーになれるということです。アプリを開発する企業も、市場で長期間にわたり主流となるような基盤の上に構築したいと思うはずです。

IAM システムがこの分野での成功の鍵を握っているゆえに、どんなユースケースであっても、IAM 製品のセキュリティが最重要になります。Office 365 を利用する従業員、サポートポータルを利用する顧客、MGM Resorts International のような大規模ホスピタリティ企業の複数のホテル Web 資産を行き来する消費者のどれに該当するにせよ、認証やフェデレーションサービスについて同じセキュリティ制御が適用されるのです。従業員アカウントが侵害されると内部システムのハッキングにつながり、消費者アカウントが侵害されると通常は情報の開示を要求されるので、上場企業でなくても企業評判の損失は非常に大きくなります。

拡張性の話になると、CIAM に特化したベンダーは、特有の要件があることを主張しますが、これにも一理あります。専用の CIAM クラウドサービスと従来のオンプレミスのアイデンティティおよびアクセス管理製品とを比べると、CIAM サービスは 1 つの顧客につき何千万件ものアイデンティティを処理できなければなりません。従来型のオンプレミス製品の多く、または汎用の Identity-as a Service(IDaaS)製品でさえ、そのような規模に対応できるアーキテクチャではありませんでした。一方、すべてのユースケースに対応し、月あたり何千万件もの認証が発生する顧客を何千社も擁する IDaaS であれば、何百万ものユーザーを擁する新しい顧客に対応するように簡単に拡張できます。したがって、CIAM に特有の要件があるという主張は、すでにマルチテナントクラウドサービスを大規模に運用しているベンダーには当てはまらないのです。

最後に、高可用性はすべてのユースケースで重要です。IAM がダウンすると、業務を遂行できません。従業員の生産性の低下は甚大ですが、さらに eコマースサイトがダウンすると収益の喪失に直結します。ここでも、冗長性を極度に高めた最新のクラウドサービスは、すべてのユースケースに必要な高可用性を実現しています。

CIAM と IAM の相違点

従業員向け IAM システムは通常、社内サービスへのサクセスに使用されます。それにはユーザーポータルが含まれる場合があります。CIAM サービスの対象ユーザー層は、一般に Web サイトの訪問者またはモバイルアプリからの訪問者です。それらのユーザーは Web サイトにログインしたいのであって、サードパーティのアイデンティティおよびアクセス管理ベンダーのポータルに用はありません。そのため、CIAM 製品は基本的に開発者主導型で、使いやすいものでなければなりません。CIAM プロバイダーの製品で、開発者がアプリケーションのユーザーアカウントの登録、ログイン、および管理操作を簡単に行えないなら、別のプロバイダーを探す必要があります。アイデンティティおよびアクセス管理サービスには、これらの機能すべてをプログラムからきめ細かく操作できる REST API が必要です。また、複数のプログラミング言語の SDK や埋め込み可能なウィジェットなどを含む最新の開発者ツールも必要です。

CIAM の認証機能には、B2B 顧客のフェデレーションからソーシャル認証、ネイティブ認証、さらにはパスワードレス認証に至る、幅広いユースケースに対応した高い柔軟性が求められます。常に最先端の認証テクノロジーおよびプロトコルを提供する最新のアイデンティティおよびアクセス管理クラウドサービスはこの点で有利で、これらのユースケースすべてをカバーした選択肢を提供してくれます。ソーシャル認証では、消費者ユースケースでソーシャルプロファイルをユーザーのコアプロファイルにリンクおよびリンク解除する機能が特に重要です。開発者はほとんど常に、このソーシャルデータの動作のカスタマイズを考えているため、アイデンティティおよびアクセス管理システムには、さまざまなユーザープロファイル操作をプログラムから実行できる柔軟性が求められます。

CIAM の権限付与モデルは、IT ユースケースよりもシンプルになると考えられます。多くの場合、顧客のロールは、大規模エンタープライズ内に見られる多様な社内ロールよりも権限が限られているからです。この分野では、エンタープライズシナリオを処理できるだけの強力な権限付与機能を備えたアイデンティティおよびアクセス管理システムは、グループメンバーシップやユーザー属性などの項目をプログラムから変更できる限り、CIAM の権限付与要件を確実に処理できます。

CIAM では、EU の一般データ保護規則(GDPR)のようなユーザーの個人情報に関する法規制を遵守するために、追加の措置が必要です。たとえば、消費者が直接操作するアプリには、エンドユーザーの同意を得るためのチェックボックスが必要です。この場合の基盤となるアイデンティティおよびアクセス管理要件では、ユーザーデータを安全に管理することが求められます。これは、すべてのアイデンティティおよびアクセス管理ユースケースで最高度に重要な基本的セキュリティ要件です。ここで、基盤となるセキュリティが最高レベルであるプラットフォームを優先する選択を行うことが重要です。コードを記述してチェックボックスを操作するのは簡単ですし、おそらくはカスタマイズで必要になることでもあります。

マーケティング分析について

デジタル変革が始まったばかりの頃にサービスの構築を始めた CIAM ベンダーもあります。彼らには先見の明があったかもしれませんが、当初はユーザーの行動を追跡して、マーケティング分析に応用することが重視されていました。それらは重要な要件ではありますが、そのような製品の市場はすでに成熟しており、今では CMO に向けたマーケティング分析製品の選択肢は豊富に用意されています。

同じタイミングで、IAM テクノロジーも進化を重ねてきました。OpenID 接続や OAuth などの新しいプロトコルによって、最新のアプリアーキテクチャ(バックエンド REST API を呼び出すモバイルまたはシングルページアプリ)やマイクロサービス(API を経由したサーバー間通信)が実現しています。これらの最新アプリケーションを構築する開発者には、こうした最新のプロトコルを使用してアプリケーションを保護できるアイデンティティおよびアクセス管理プラットフォームが必要です。最新の IAM サービスは、マーケティング指向の強い CIAM 専用製品に比べて、すべてのシナリオをサポートできる可能性が高いと考えられます。

エンタープライズ IT の全体像

すでにお分かりのように、アイデンティティおよびアクセス管理の B2C ユースケースの世界でも、Okta のような市場最先端の IDaaS を最善の選択肢と考えるべき十分な理由があります。Okta は最新の IAM 機能を備え、カスタマーユースケースの求めるセキュリティ、拡張性、高可用性の要件を達成するためにゼロから設計されています。

しかし、デジタルビジネスおよびエンタープライズ IT の世界は、B2C だけではありません。ユースケースや要件には、さまざまな色合いの違いがあるのです。Okta は、消費者アプリから、B2B カスタマーアプリ、B2B パートナーコラボレーション、サプライチェーン統合、サポートポータル、リモート勤務者の生産性を高めるための社内アプリ、顧客が直接使用する eコマースサイト群のシームレスな統合、SaaS アプリへの従業員の接続、大学の卒業生が母校の情報に生涯アクセスできるようにすること、安全な eコマースの迅速な構築、企業が自社のデータを収益化し API エコノミーで事業を立ち上げるための支援に至るまで、幅広い視野で「顧客」を捉えています。

Okta は、あらゆるタイプの組織でこのように広範なユースケース全体をけん引する CIO、CDO、CTO、CMO の皆様のことを念頭に置いています。そして、さまざまに異なる環境に適合する最善の方法は、このように幅広い状況を処理できるアイデンティティおよびアクセス管理 (IAM) パートナーを見つけることです。他の選択肢では、将来のイノベーションの幅がきわめて狭いものになります。

CMO、CISO、CIO 向けのカスタマーアイデンティティ管理について詳しくは、こちらをご覧ください: https://www.okta.com/resources/whitepaper-consumer-identity-management-for-the-cmo-ciso-and-cio/