情シスのかたち

powered by gin

CIAMとは?IAMとの違いや必要性、機能まで分かりやすく解説!

CIAMとは?

CIAM(Consumer Identity and Access Management)は、顧客・消費者向けに特化したID管理・認証を行うサービスです。

オンライン上におけるアカウント情報の連携強化と個人情報を守る仕組みの強化が目的のサービスです。私たちの生活はスマートフォンアプリ・SNS・オンラインショッピングなど、オンラインと常に密接しています。企業としても消費者の心理やニーズを把握し、メールやアプリでのクーポン配布や店舗で在庫切れだった商品をECサイトで注文し自宅や勤務先の最寄り店舗で受け取れるサービスを展開するなど、消費者との接点を増やすオムニチャネルの強化に力を注いできました。

消費者はスマートフォンがあれば、商品・サービスの検討から購入まで完結できる一方、複数のチャネル間でID連携が取れていないためWebサイトやサービスごとに、ID登録やパスワードを設定することを求められています。利便性を確保するために単一パスワードの使い回しや生年月日・名前を入れた解読しやすいパスワード設定を行う傾向が強まることで、犯罪者にパスワードのハッキングや不正アクセスによるなりすまし被害に遭うケースが多発しています。

個人情報を安全に管理するため、サイト間のID連携・アクセス権の管理・デジタルリソースの管理など、利便性と安全性を兼ね備えた機能を多数搭載したCIAMが注目されています。

CIAMが求められる理由とは?

生活様式の変化によりオンライン上で行う行動範囲が拡大し、複数のID連携が求められるようになりました。 一方でサイバー攻撃の脅威も増えているため、利便性を確保しつつ安全性の強化も求められています。

複数のサービスとのID連携技術

ECサイト・アプリ・クラウドサービスなど、インターネット上で私たちが利用するサービスの数はスマートフォンの普及もあり増大しました。 サイトやサービスごとに複数のID・パスワード管理が求められましたが、前述のようにパスワード管理が甘くなり犯罪者からアカウント情報をハッキングされるリスクが高まります。

そのため、ID連携技術を高めて利用頻度の高いアカウント情報を他のサービスにも利用できれば、煩雑なパスワード管理をする必要はありません。 例えば、普段ユーザーが利用しているSNSのアカウント情報を活用して他のアプリにログインできる環境を作ることで、利便性が向上します。 企業にとってもアカウント情報の登録作業を省けることで、顧客のサービス利用へのハードルを低下させ、ユーザー数増加が期待できます。

パスワードリスト型攻撃への対策

パスワードリスト型攻撃とは、犯罪者が特定のユーザーID/パスワード情報を盗み取り、盗んだアカウント情報を活用して別のサイトに不正アクセスを試みる攻撃です。 単一のパスワードを複数のサービスで使い回している方は、クレジットカードやインターネットバンキングの情報が盗まれるリスクが高まります。 国内のサイバー攻撃の被害は依然としてパスワード管理の設定の甘さを突いた形が多く、二段階認証など認証機能を強化して自らの個人情報を守らなければなりません。

CIAMに搭載されているワンタイムパスワードや生体認証など複数の認証機能を活用することで、パスワードをハッキングされるリスクを軽減することが可能です。

各認証機能の特徴

機能&特徴導入効果
ワンタイムパスワード
生体認証
  • 偽造・コピーが困難
  • セキュリティレベル向上
  • 入力作業・パスワード管理は不要
FIDO2/U2F認証

顧客体験の変化に対応

ブランド製品や高価な車の所有といった「モノの所有」から、ライブ・旅行・アミューズメント施設などでの体験に価値を見出す「コト消費」が活性化しました。 ですが、新型コロナウイルス感染により、アーティストのライブやスポーツ観戦などを現地で見ることは難しくなり、ライブやスポーツ観戦の特徴である臨場感や躍動感など「この場でしか味わえない」といったリアルな感覚を味わうことは難しくなりました。

代わりに求められつつあるのが、「トキ消費」と呼ばれる参加型のコト消費です。 その場・その時間でしか味わえない限定性を維持しつつ、実際に参加者が企画の趣旨や盛り上がりに貢献できていると実感できる点がトキ消費の特徴です。 実際、アーティストのオンライン配信によるライブ、企業支援を行うクラウドファンディング、企業セミナーの開催など、様々な分野で新たなビジネスの形が生まれています。

今後もSNSを活用したキャンペーン、再現性を可能な限り排除したグッズ販売、配信者と視聴者の交流などオンライン上で様々な交流が行われるでしょう。 そのため、複数のサービスやアプリを利用する機会が今まで以上に増えるため、アカウント情報を一括で管理して顧客体験の質を向上させる必要があります。 SNSや別のサービスにおいてのアカウント情報を適用できることで、消費者はシームレスに新たなサービスを利用することが可能です。

ただし、実店舗の存在意義が低下することはありません。 素材の質感・選ぶ楽しさ・視覚的な情報の多さなど、実際に自分の目で確かめてわかることも多いからです。 今後はオンライン上でのキャンペーンや商品販売と並行して、経営戦略を求められる傾向がより強まります。

コロナ禍でのトキ消費の実例

CIAMの機能とは?

CIAMの基本的な機能をまとめました。 オンラインでの活動範囲が広い方は、CIAMを導入して個人情報を保護する仕組みを強化することを推奨します。

内容&特徴導入効果
シングルサインオン
  • 特定のWebサイトやアプリにログイン成功した認証機能を信用
  • 他のサービス利用時にワンクリックでログイン可能
  • 利便性確保
  • 作業時のストレス削減
  • 複数パスワード管理が不要
同意モデル管理
  • 利用規約・プライベートポリシーの管理
  • ユーザーが過去に同意した同意文書の参照・撤回
  • データ収集への同意文書情報の付与
  • 企業が行うデータ収集の目的把握
  • データ確認・管理
  • データ利用の停止や継続判断に活用可能
端末脅威の分析
脅威インテリジェンス
  • サイバー攻撃を仕掛ける犯罪者の特徴を分析
  • 攻撃能力・攻撃の意図・傾向などを分析
  • セキュリティ対策の判断材料として活用
  • 収集した情報を踏まえた強固な対策が可能
認証機能
  • 不正アクセス・パスワードリスト型攻撃対策
  • 偽造やコピーが困難
  • 利便性確保

CIAMとIAMの違いは?

CIAMは消費者・顧客に特化したセキュリティソリューションで、IAM(Identity and Access Management)は企業の社員に向けたID・アクセス管理ソリューションです。CIAMはユーザー自らアカウント情報を登録し、自身が利用するWebサイトやSNSとIDを連携させます。

一方、IAMは企業内で利用するシステムやアプリのアカウント情報を一元的に管理し、アクセス管理や多要素認証を活用して内部犯行や不正アクセスのリスク軽減につなげます。

CIAMは利便性を保ちながら安全性も高めていく一方、IAMは利便性を多少失っても安全性を強化できることを優先しています。企業が抱える情報資産は利用価値が高い情報を多数保有しているのに加え、情報漏洩が起きた場合の社会的影響も大きいからです。

また、近年の働き方改革新型コロナウイルス感染予防対策として、オンプレミスからクラウドサービスに移行する企業が増えました。 クラウド上でアクセス管理・ID認証を利用できるIDaaS(Identity as a Service)を導入する企業も増えています。

CIAMとIAMの比較

CIAMIAM
ID管理対象者顧客・消費者社員
ID登録人事担当者・ワークフローを活用自己登録
認証対象システム企業内のシステム利用頻度の高いWebサイト・アプリ・SNS
ID属性構造化・固定化拡張可能
権限管理複数人の承認が必要顧客の同意
セキュリティと利便性の比重セキュリティ=利便性セキュリティ>利便性

IAMの機能

機能・特徴効果
ID管理
  • 社員のアカウント情報一括管理
  • システム管理者・社員の業務負担軽減
  • 人為的ミスによる情報漏洩リスク軽減
アクセス管理
  • 所属部署や階級によって閲覧できるデータファイルやアプリを限定
  • 業務との関連性が低いWebサイトの閲覧禁止・制限
  • ユーザー行動の監視
認証
  • 安全性の強化
  • 偽造・コピーが困難
  • パスワードリスト型攻撃対策
連携
  •  利便性確保
  • 業務上のストレス削減
  • クラウドサービスへの移行時もスムーズに対応

CIAMを導入する前に整理しておくべき4つのポイントは?

目的の明確化、導入コストの確保、導入形態の確定、人材有無の確認が必要です。

目的の明確化

CIAMの導入によって一番改善を図りたいポイントがどんなことか明確にすることが大切です。場合によっては求めているソリューションがCIAMでは無い可能性もあるからです。 CIAM導入で考えられるメリットとしては、消費者のアカウント情報の管理・認証の安全レベルの強化、シングルサインオンサービスの導入、複数点在しているIDの一括化などが挙げられます。

上記の場合はCIAMの導入により改善効果が期待できますが、例えば社員向けのアクセス管理・多要素認証を強化したい場合はIAM・IDaaSの導入が求められます。 また、業務で必要なるツールをクラウド上に集約しテレワークの導入を加速したい場合はネットインフラ環境を整備するのに加え、グループウェア・ビデオ会議システム・ファイル共有管理ツールなど、自社に足りないツールを導入する必要があります。

導入コストの確保・時期の見極め

CIAMに限らずセキュリティ分野への投資は目に見える形として実感しづらいため、投資の優先順位としては低くなりがちです。また、消費の低迷により利益の確保に腐心する企業も多く、資金的に余裕がある企業は限られています。ただし、近年はサイバー攻撃の多様化や犯罪者の技術が向上しており、情報漏洩事件の被害は後を絶ちません。

自社の情報資産だけではなく、取顧客の個人情報の安全性を強化する体制を一層強化することが求められます。 特に新型コロナウイルス感染拡大の影響で、オンラインショッピングやクレジットカードの利用頻度増加など、人々の生活の中でオンラインを利用する比重が高まると同時に、オンラインショップからの情報漏洩やフィッシング詐欺の被害も増えています。

顧客に安心感の付与とサイバー攻撃の被害リスクを軽減するため、自社のセキュリティ環境の見直しと段階的にセキュリティソリューションを導入することが重要です。 そのためには、脆弱性をリストアップし優先順位を振り分け、経営状況と見極めながら導入時期を模索することが求められます。

導入形態を確定

CIAMの導入形態は3種類ありますが、よほどの事情が無い限りパッケージ製品の導入を推奨します。 サービスでの利用や自社開発の場合はベンダーサポートが望めないため、知識やノウハウを保有した人材が必要とされるからです。 自社開発の場合は特に顕著で自社にとって必要な機能だけを搭載できる反面、脆弱性が多数発生するリスクを抱えています。

パッケージの場合はベンダーサポートを受けられるため、不明点やアクシデントがあった場合でも落ち着いて対応ができます。

サービスパッケージ自社開発
メリット
  • 低コストでスムーズな導入が可能
  • 業務への影響を最小限に抑制
  • 課題に対して柔軟に対応可能
  • ベンダーサポートを享受可能
  • 安心感を持って作業進行可能
  • 自社にとって必要な機能のみを搭載可能
  • 費用を最小限に抑制可能
デメリット
  • 設定や実装を行えるだけの人材が必要
  • 自社にとって利用しやすいサービスがあるかは不明
  • 一定のコストは必要
  • 完全なカスタマイズ使用は困難
  • 技術・知識に長けた人材確保が必須
  • 脆弱性の産出リスク増大
  • 開発の長期化が懸念
  • 業務の効率性低下・停滞を招く可能性増大

人材確保

自社にセキュリティ分野に精通した人材の有無を確認してください。 人材が社内にいた場合は自社のセキュリティ上の課題・環境を踏まえた上で、CIAM導入の必要性確認や導入すべきツールの選定を指示します。 経営者の独断で判断するよりも現場に精通しノウハウを豊富に持つ社員に判断を委ねた方が、精度の高い判断が期待できます。

自社に人材がいない場合は外部のセキュリティコンサルタントや専門機関から話を伺い、情報収集に努めることが大切です。 経営者がCIAMの必要性を理解しないと、投資への決断を判断良くできないからです。