業務システムが社内から社外のSaaSへ広がるにつれて、「誰が、どのシステムに、どんな権限でアクセスできるのか」を一元的に管理する重要度が急速に高まっています。20年前は社内Active Directoryで完結していたID管理が、今は数十のSaaS、複数のクラウドサービス、社外協力者まで対象範囲が広がりました。

アイデンティティ管理は、もはや単なる「ID/パスワードの管理」ではありません。SSO、MFA、自動プロビジョニング、定期的なアクセス権棚卸し、職務分離、退職時の即時停止。これらを一体で運用することが、セキュリティとガバナンスの土台になります。

本記事では、アイデンティティ管理の基本を情シス向けに整理しました。何を管理対象とし、どんなレイヤー構造で実装するか。IAM・IDaaS・IGAといった主要カテゴリの違いと、自社に合った組み合わせの選び方を、5ステップの実装フレームワークと併せて解説します。

アイデンティティ管理とは何か

アイデンティティ管理とは、システム利用者（人・サービスアカウント・APIキー等）の識別情報と、それに紐づくアクセス権を、組織の方針に沿って統合的に管理する仕組みを指します。英語ではIdentity Management、またはIdentity and Access Management（IAM）と呼ばれます。

実務の観点では、以下4つの機能をひとつの基盤として運用することがアイデンティティ管理の中核になります。

• 認証（Authentication）: 利用者本人を確認する
• 認可（Authorization）: 認証された利用者が何をできるかを決める
• ライフサイクル管理: 入社・異動・退職に応じてIDと権限を発行・変更・停止する
• 監査・ガバナンス: アクセス権の妥当性を継続的に確認し、記録に残す

SaaS時代に重要度が増している理由は、管理対象の拡大とリスクの集中の2点です。1社で50〜100以上のSaaSを利用する企業が増え、各SaaSにIDが分散すると、管理コストとセキュリティリスクの双方が膨らみます。一方で、認証情報を統合すれば「ひとつの認証経路を破られると全SaaSに影響が及ぶ」という新たな構造的リスクも生まれます。

統合と統制を両立させる設計が、現代のアイデンティティ管理に求められるテーマです。

参考：NIST SP 800-63 Digital Identity Guidelines（NIST）

アイデンティティ管理の対象範囲

アイデンティティ管理の対象は「人」だけではありません。SaaSとクラウドの普及により、サービスアカウント、APIキー、デバイス、IoT機器までが管理範囲に含まれるようになりました。

人のアイデンティティ

• 正社員: 入社から退職までのライフサイクル全体
• 契約社員・派遣社員: 契約期間に応じた期限付きアカウント
• 業務委託先・外部協力者: 業務範囲に限定した最小権限のアクセス
• 顧客・パートナー: B2B/B2C の外部ID連携、ID Federation

サービス・システムのアイデンティティ

• サービスアカウント: アプリケーション間連携用の自動アカウント
• APIキー: SaaS間のAPI連携で使用される認証情報
• マシンアイデンティティ: コンテナ、Kubernetes Pod、サーバー証明書
• ボット・RPA: 自動化処理を実行する非人格アカウント

デバイス・モノのアイデンティティ

• 業務用PC・スマートフォン: MDM管理対象、信頼デバイスとしての認証
• IoT機器・産業機器: 工場・物流現場で接続される機器の認証
• 共有デバイス: 受付端末、会議室予約タブレット等

各カテゴリで管理目的・ライフサイクル・リスクが異なるため、ひとつの基盤で網羅的に管理するアプローチと、カテゴリ別に最適な仕組みを組み合わせるアプローチがあります。中堅企業以上では、IDaaSを中心に「人」のIDを統合し、サービスアカウント・マシンアイデンティティは別の専用基盤（Secrets Management、PAM等）で管理する構成が一般的です。

参考：サイバーセキュリティ経営ガイドライン Ver3.0（経済産業省）

アイデンティティ管理の3つのレイヤー

アイデンティティ管理は、機能の役割別に3つのレイヤーに分けて理解すると、各カテゴリ製品の位置づけが整理できます。

レイヤー1: 認証基盤（IAM/IDaaS）

認証経路を統合し、「誰が」のチェックを担うレイヤーです。SSO、MFA、条件付きアクセスを統合提供する基盤で、SaaSへのログイン経路を一元化します。代表カテゴリは IAM（Identity and Access Management）と IDaaS（Identity as a Service）です。

機能例: SAML/OIDC連携によるSSO、TOTP/FIDO2でのMFA、IPアドレス・デバイス・時間帯による条件付きアクセス、リスクベース認証。

レイヤー2: アイデンティティライフサイクル（プロビジョニング）

入社・異動・退職に応じて、IDと権限を発行・変更・停止する自動化レイヤーです。人事マスタを起点としたSCIM連携、APIによるアカウント操作、グループ・ロールの同期が中心になります。代表カテゴリは IDaaS のプロビジョニング機能、または IGA 製品です。

機能例: 入社時のアカウント自動発行、異動時の権限変更、退職時の即時停止、SCIMによる主要SaaSへの自動反映。

レイヤー3: ガバナンス（IGA）

アクセス権の妥当性を継続的に確認し、棚卸し・職務分離・違反検知を担うレイヤーです。アクセス申請ワークフロー、定期レビュー、SoD違反検知が中心になります。代表カテゴリは IGA（Identity Governance and Administration）製品です。

機能例: アクセス権申請の承認ワークフロー、四半期単位のアクセスレビュー、職務分離（SoD）違反の検知、監査ログの統合管理。

3レイヤーは独立した製品で実装することも、統合製品で一体運用することも可能です。中小企業はIDaaS主導で簡素化、エンタープライズ企業はIDaaS + IGAの組み合わせ、規制業界はIDaaS + IGA + PAM（特権アクセス管理）の3層構成が標準的なパターンです。

参考：NIST SP 800-207 Zero Trust Architecture（NIST）

アイデンティティ管理が解決する4つの課題

実務でアイデンティティ管理を導入することで解消される代表的な課題を整理します。それぞれの課題に対して、どのレイヤー・機能が貢献するかを把握しておくと、製品選定時の意思決定が容易になります。

課題1: パスワード使い回しと認証情報漏洩

複数のSaaSに別々のIDとパスワードを設定すると、社員は管理しきれず、結果としてパスワード使い回しが発生します。一度別サービスから流出したパスワードが、社内SaaSへの不正ログインに使われる事例は後を絶ちません。

解決策: IDaaSによるSSOで認証経路を統一し、パスワードを覚える必要を最小化します。MFAの必須化により、ID/パスワードが流出してもログインを許さない構成にします。

課題2: 退職者アカウントの放置

退職者のアカウントが削除されないまま稼働し続けるケースは、漏洩事件の代表的な原因です。SaaSが増えるほど、手作業での停止漏れが発生しやすくなります。

解決策: 人事マスタを起点とした自動プロビジョニングで、退職通知から数時間以内に主要SaaSのアカウント停止を完了させます。SCIM連携対応SaaSなら、IDaaSでの無効化操作だけで反映されます。

課題3: 過剰権限の蓄積

「念のため管理者権限」「とりあえず全フォルダ閲覧」といった運用が積み重なり、内部不正や攻撃成功時の被害を拡大させます。

解決策: IGA製品で四半期〜半期に1度、アクセス権の棚卸しを上長承認で実施します。最小権限の原則を徹底し、不要な権限を機械的に削減します。

課題4: 監査・コンプライアンス対応の負荷

ISO27001、Pマーク、ISMAP、SOC2 Type 2 等の認証取得・更新時、アクセス権付与・変更・削除の記録提示が求められます。手作業運用ではログが断片化し、監査対応で多大な工数を消費します。

解決策: IDaaS・IGAで操作ログを一元化し、監査対応用のレポート出力機能を活用します。アクセス権棚卸しの記録、SoD違反の検知履歴も自動的に蓄積されます。

参考：ISO/IEC 27001:2022 情報セキュリティマネジメントシステム（JIPDEC）

アイデンティティ管理の実装ステップ

導入をゼロから進める際の標準的な5ステップを示します。エンタープライズ規模でも中堅企業でも、基本構成は変わりません。

ステップ1: 現状の棚卸し

利用中のSaaS、契約済みSaaS、シャドーITを可視化し、各SaaSのID基盤・連携可否を整理します。経費精算データ、ネットワークログ、SaaS管理プラットフォーム（SMP）からの取得が現実的です。アカウント数、管理者数、未使用アカウント数を併せて記録します。

ステップ2: 認証基盤の統一（IDaaS導入）

IDaaSを導入し、まず主要SaaS（Google Workspace / Microsoft 365 / Salesforce / Slack 等）への SSO 連携を実装します。MFA を全ユーザーに必須化し、管理者アカウントは特に強固な認証（FIDO2、ハードウェアキー）に設定します。

ステップ3: 人事マスタとの連携

人事システムとIDaaSをAPI連携し、入社・異動・退職通知をトリガーとした自動プロビジョニングを構築します。SCIM対応SaaSはIDaaSから自動反映、未対応SaaSはAPIスクリプトで補完します。

ステップ4: アクセス権ガバナンスの整備

IGA製品の導入またはIDaaSのガバナンス機能を活用し、アクセス申請ワークフローを実装します。四半期〜半期に1度のアクセスレビュー、SoD違反検知、棚卸し記録の自動保管を設定します。

ステップ5: 継続的なモニタリングと改善

ログイン異常、ライセンス使用率、休眠アカウント、SoD違反などのメトリクスを継続監視します。月次・四半期で経営層に報告するダッシュボードを整備し、改善サイクルを回します。

参考：Identity & Access Management 導入の手引き（IPA）

アイデンティティ管理の主要ソリューション

実装に役立つ代表的な製品カテゴリを整理します。各カテゴリの特徴と、選定時の観点を併せて解説します。

IDaaS（Identity as a Service）

クラウド型のID統合管理基盤です。SSO・MFA・条件付きアクセス・SCIMプロビジョニングを統合提供します。代表製品はMicrosoft Entra ID、Okta、Google Cloud Identity、OneLogin。中小企業から大企業まで適用範囲が広く、認証統合の起点として選定されます。

IGA（Identity Governance and Administration）

アクセス権ガバナンスを統合管理する基盤です。代表製品はSailPoint、Saviynt、Microsoft Entra ID Governance、Omada。エンタープライズ企業や規制業界（金融・医療）で導入が進んでいます。

PAM（Privileged Access Management）

特権アカウント・管理者アクセスを専用管理します。代表製品はCyberArk、BeyondTrust、Delinea。サーバー・データベース・ネットワーク機器の管理者アクセスを記録・監視・制限します。

CIAM（Customer Identity and Access Management）

顧客向けID管理に特化した基盤です。代表製品はAuth0、Microsoft Entra External ID。B2C・B2Bサービスのユーザー認証、ソーシャルログイン、プロフィール管理を担います。

SaaS管理プラットフォーム（SMP）

SaaSの契約・利用・アカウントを統合管理します。代表製品はジョーシス、Admina、Zluri。IDaaS・IGAと併用することで、SaaS全体の可視化と運用最適化を実現します。

ジョーシスの特徴とアイデンティティ管理への貢献

ジョーシスは、SaaS・デバイス・人を一元管理するAI駆動のSMPです。350以上のSaaSと連携し、アカウントの可視化・自動プロビジョニング・退職時の即時停止を実現します。導入企業数は国内外700社を超え、IT工数を最大50%、ITコストを最大75%削減した事例が報告されています。

アイデンティティ管理の観点では、IDaaSと併用することでカバー範囲を最大化できます。IDaaS連携対応SaaSはIDaaSが、未連携SaaSはジョーシスが担当することで、すべてのSaaSアカウントを管理対象に含められます。SaaS数が多い企業で、IDaaSだけではカバーしきれない領域を埋める用途で活用されています。

参考：ジョーシス公式サイト

資料ダウンロード：5分でわかるジョーシス

無料デモを予約する

アイデンティティ管理に関連する用語集

記事内で頻出する専門用語を整理します。

• IAM: Identity and Access Management。ID・アクセス管理の総称
• IDaaS: クラウド型のIAM。SSO・MFA・プロビジョニングを統合提供
• IGA: Identity Governance and Administration。アクセス権ガバナンスの基盤
• PAM: Privileged Access Management。特権アクセス管理
• CIAM: 顧客向けID管理基盤
• SSO: Single Sign-On。1度の認証で複数SaaSへログインできる仕組み
• MFA: Multi-Factor Authentication。多要素認証
• SCIM: System for Cross-domain Identity Management。ID同期の標準プロトコル
• SoD: Segregation of Duties。職務分離。承認・実行・監査を1人に集中させない統制
• 最小権限の原則: 業務に必要な最小限の権限のみを付与する原則
• 条件付きアクセス: IPアドレス・デバイス・時間帯等の条件で認証を制御する仕組み
• フェデレーション: 異なる組織間でIDを連携する仕組み

ジョーシスを活用したSaaS統合管理

アイデンティティ管理の対象は人だけでなく、サービス・デバイスまで広がっています。これらを個別ツールで管理すると運用負荷が膨らむため、SaaS管理プラットフォームで統合管理するアプローチが現実的です。

ジョーシスは、SaaS・デバイス・人を一元管理するAI駆動のSMPです。アイデンティティ管理の文脈では、以下の機能が直接的な貢献となります。

• 利用SaaSの自動可視化: シャドーIT検出を含むSaaS全件の棚卸し
• アカウントライフサイクル: 入社・異動・退職に応じた発行・変更・停止の自動化
• ライセンス管理: 各SaaSの契約状況・利用率・休眠率の継続監視
• 監査ログ: アカウント・権限変更履歴を一元保管、監査対応資料に活用
• IDaaS連携: 主要IDaaSとAPI連携、二重運用を回避

導入後、IT工数の最大50%削減、ITコストの最大75%削減が報告されています。350以上のSaaSと連携可能で、SCIM/API両対応により幅広い環境で利用できます。

資料ダウンロード：5分でわかるジョーシス

無料デモを予約する

アイデンティティ管理に関するよくある質問

Q1. IAMとIDaaSの違いは何ですか

IAMは「ID・アクセス管理の機能・概念」全般を指し、IDaaSは「IAMをクラウドサービスとして提供する形態」を指します。実装手段としてオンプレミスのIAM基盤を使う場合と、クラウドのIDaaSを使う場合があります。新規導入は、運用負荷とコスト面でIDaaSが選ばれることが多くなっています。

Q2. 中小企業でもアイデンティティ管理は必要ですか

必要です。むしろ情シスの人員が限られる中小企業ほど、自動化の恩恵が大きく出ます。最低限、IDaaSによるSSO・MFAの統一と、退職時のアカウント停止自動化を導入することで、漏洩リスクと管理工数の双方を大幅に下げられます。

Q3. IDaaSを導入すれば全SaaSのアカウントが自動管理されますか

主要SaaS（SCIM対応）は自動管理できますが、SCIM未対応のSaaSは別途対応が必要です。SaaS管理プラットフォーム（SMP）と組み合わせることで、未対応SaaSも含めた全件管理が可能になります。

Q4. アイデンティティ管理の導入にはどの程度の期間がかかりますか

規模により異なりますが、IDaaSの基本導入は1〜3か月、人事マスタ連携と主要SaaSのプロビジョニング自動化で3〜6か月、IGAを含む完全実装で6〜12か月が目安です。「すべて完璧に」を目指すより、優先度の高いSaaSから段階的に拡大するアプローチが定着しやすい形です。

Q5. クラウドアイデンティティ管理のセキュリティは社内ID基盤より劣りますか

正しく設計・運用すれば、むしろ向上することが多いとされています。クラウドベンダーは大規模な投資でセキュリティ機能（リスクベース認証、行動分析、グローバル脅威情報）を維持しており、自社で同水準を維持するコストは膨大です。一方で、認証情報の集中管理は新たなリスクも生むため、MFA必須化、特権分離、条件付きアクセスの設計が重要になります。

まとめ

アイデンティティ管理は、SaaS時代の情報セキュリティとガバナンスの土台です。認証・認可・ライフサイクル・ガバナンスの4機能を統合的に運用することで、漏洩リスクの低減と管理工数の削減を同時に実現できます。

実装は5ステップ（棚卸し→認証統一→人事連携→ガバナンス→継続改善）の段階的アプローチが現実的です。IDaaS・IGA・PAM・SMPといった製品カテゴリを役割に応じて組み合わせ、自社の規模・業界・規制要件に合った構成を設計します。

SaaSが多く、IDaaSだけでは管理しきれない領域がある企業は、SaaS管理プラットフォーム（SMP）との併用で網羅性を高められます。詳細を知りたい方は、ジョーシスの資料をご確認ください。

資料ダウンロード：5分でわかるジョーシス

無料デモを予約する