いま、次世代のID管理の要として注目されるIGA(Identity Governance and Administration)。しかし、その実装には、日本企業特有の難所が存在します。本座談会では、当社の経営層、営業、エンジニアが集まり、現場のリアルな課題から主要製品の選定基準、AI時代のガバナンスの在り方まで、IGAの本質を語り合います。
この記事で分かること
代表取締役社長
米田 一樹
ID管理、認証認可全般の提案から導入までを支援
執行役員/エンジニアリング事業部 事業部長
湯浅 圭介
IGAを始めID認証・認可についてのスペシャリスト
執行役員/パートナー営業部 部長
加藤 由佳
ID管理・認証認可の営業活動でプライムベンダーのIGAに関する興味や方向性を把握
エンジニアリング事業部 マネージャー
飯島 舞香
主にID管理サービスの導入、PMを実施。ID管理サービスをメインに対応
エンジニアリング事業部 システムエンジニア
稲葉 陵人
認証認可案件(SailPoint/Oktaほか)を担当。新たなIGAサービスの検証にも参加
本日はお集まりいただきありがとうございます。日本企業においてもID認証の重要性は周知されつつありますが、今回、敢えて「IGA(Identity Governance and Administration)」という、一歩踏み込んだキーワードでの発信を考えられた背景を、教えてください。
米田
我々はこれまで、ID管理や認証といったITインフラの領域で仕事をしてきました。その中で、グローバルの潮流として「ゼロトラスト」と同じような文脈で、業界のネクストワードとして「IGA」というワードが注目されています。ただ、日本ではまだ認知が低く、当社としてもそれに関する発信をあまりしてきませんでした。当社はここにコミットし、やっていくんだ、という姿勢をアピールしたいのと同時に、会社として「何がIGAなのか」という定義を改めて整理したいという気持ちもあり、今回の場を設けました。
「IGA」という言葉も知らない、あるいは知っていたとしても、これまでのID管理(IDM)やSSO(シングルサインオン)との違いが、ピンとこない方も多いと思います。本質的な違いはどこにあるのでしょうか。
湯浅
従来、我々も多く手がけてきた「IDM(IDマネジメント)」は、「効率化」の観点が非常に大きいです。人事システムを上流とし、人事担当者が入力した正しいデータを、他のアプリケーションにも自動で伝播させていく。管理者が本来やるべきIT投資にリソースを割けるようにするのが、IDMの要点です。一方の「認証」は、本人確認の確からしさ、つまり「なりすまし」を防ぐための強化が主眼です。
これらに対して、いま注目されているガバナンス(IGA)の領域は、「正しく権限を管理できているか」を統制するものです。例えば、ファイルサーバにログインできても、私が見られる領域と社長の米田が見られる領域は当然違います。しかし、その権限設定の実態は各システムを個別に覗かないとわからない。バラバラに点在して戻ってこない情報を集約・可視化して、「このシステムではこの権限だけど、別のシステムと合わせたらおかしくないか?」という視点で異常、過剰な権限などを検知・棚卸しするのがIGAの考え方です。
なるほど、IDMが「管理を効率化する」ものなら、IGAは「権限を監視・統制する」ものだと。
湯浅
そうです。IGAは棚卸しが主目的ですが、一部にIDMの機能を包含することもあります。ただ、相談に来られるお客様自身、IDMとIGAの区別が明確でないケースが多いのが実情です。
加藤
そうですね。ですので当社はアセスメントの冒頭、まず「IGAとは何か」「ID管理とガバナンスは別のものですよ」というレクチャーから始めます。お客様とナレッジの前提を揃えることが、プロジェクトを進める上で、非常に重要だと考えています。
IDMとIGAの違い・取扱商品・プロジェクトのススメ型などはこちらをご参照ください。
では、実際にIGAに関する引き合いは増えているのでしょうか。現場で感じるニーズについて教えてください。
湯浅
プライムベンダー各社から「IGA」という言葉は頻繁に聞くようになりましたが、実態は「IDMのオンプレミス製品の入れ替え」だったり、「データのID連携を自動化したい」というニーズだったりすることが多いです。本来のIGAの価値である「可視化・棚卸し・コンプライアンス遵守」とは少しズレしているな、と感じることもあります。
「ガバナンス」という目的よりも、まずは実務的な連携ニーズが先行しているのですね。
湯浅
現場の感覚だと、「ガバナンスが効いていないから、ツールを入れたら効くんじゃないか」と期待されるケースがすごく多い。なので、「ガバナンスが効いていないままツールを入れても、何も変わりませんよ」とお話しすることもあります。ツールをどう入れるか以前に、「貴社では内部監査や統制をどう定義していますか?」という、本質的な部分の整理が求められる領域なのです。
米田
経営側からしても、「IGA」というワードは知っていて、コンプライアンス的に統制を効かせたいという意向はあるけれど、実体がよくわからない…というケースは多いでしょうね。
IDMの構築よりもIGAは難易度が高いと聞きます。つまずきやすいポイントは、どこにあるのでしょうか。
湯浅
構築する側の視点では、最初にやるべきスコープが定まらないため、ウォーターフォールで進めるのが難しい。まずは一度データを持ってきて可視化してみて、「何が効果的か」「どうすれば運用負荷が下がるか」を会話しながら進めるやり方が、最適だと感じています。
飯島
また、現場の協議では「決めてよい権限がない」「自信がなくて決められない」というシチュエーションによく遭遇します。本来、ガバナンスはトップダウンで決めるべきもので、情シス案件として進むと「情シスの範疇ではない」と止まってしまう。結果として、実態に合わない古いセキュリティポリシーを延々と守り続けたり、新たなツールを入れるはずなのに「いまと同じことがしたい」と言われてしまったり…。
湯浅
IDMはIDの統制とプロビジョニングが目的ですが、IGAは「コンプライアンス、セキュリティ、効率化」の順です。まず「どうありたいか」をトップが決めて、末端まで遵守させる。この順番を間違えないことが重要ですね。
実際、お客様からはどのようなきっかけで相談が来るのでしょうか。
飯島
きっかけとして多いのは、やはり情報漏えいなど「セキュリティ事故」のニュースです。他人事ではなく自分事としてリスクを感じ始めた、というお客様が増えています。
湯浅
ただ、「どこからやればいいのか」は、ITのプロであるSIer様も悩まれている。そこで我々は、「IDアセスメントサービス」を提供しています。聞き取りをしながら課題を整理し、実際にデータを集めて状況を見ていただく。「こんなに危ない状態なんだ」と理解していただいた上で、あるべき姿へのロードマップを引いていく。営業とコンサルのペアで、この「整理の段階」から入ることが多いですね。
具体的な製品選びについても伺いたいです。SWJでは、どういった製品を推奨していますか?
湯浅
基本は、「SailPoint」「Saviynt」「YESOD」「Okta」の4つです。我々はあくまで中立な立場なので、SIer様が売りたい製品がある場合はそれを尊重しますし、エンドのお客様から「第三者のプロ目線」での評価を求められれば、プライムベンダー様と役割分担をして対応します。
それぞれの製品の特性を、エンジニア視点で教えてください。
稲葉
「SailPoint」は、マーケットリーダーとして非常にバランスが良い製品です。技術的な面で言えば、接続設定後の「アグリゲーション(データ収集)」の安定性と、権限申請の「アクセスリクエスト」から「プロビジョニング」までのフローが強固に統合されています。標準機能がリッチなので、複雑な作り込みをせずとも、製品が持つベストプラクティスに乗る形でクイックに導入できる点が大きなメリットです。
飯島
IDMの現場では、お客様から「数が多くて面倒なので一括承認したい」「特例で一部、自己承認も許可したい」といった例外要望も出ます。でも、ガバナンスの観点で言えば、それは架空請求などの不正を生む状態を作るようなもので、許されません。日本企業の考え方が性善説なのに対して、グローバルでは「性悪説」に基づいたシステム制御が、前提になっていると感じます。
稲葉
一方、「Saviynt」は柔軟なカスタマイズ性が特長です。例えば、属性に基づいた動的な権限付与(ABAC:Attribute-Based Access Control)や、非常に細かな承認フローを顧客の現行業務に合わせて定義しやすい構造になっています。ただし、「何でも作れてしまう」ということは、一歩間違えれば従来の日本企業的な、統制が効きにくい複雑な運用をそのままシステム化してしまうリスクも含んでいます。エンジニアリングの観点では、業務標準化と柔軟性のトレードオフをどうコントロールするかが、重要になります。
湯浅
この2製品には明確な思想の違いがあります。まずSailPointは「フィット・トゥ・スタンダード」という考え方。製品側が「これがガバナンスのベストプラクティスである」という定義を持っており、ユーザー側が運用を変えて製品のポリシーに合わせることで、結果として高い運用性と統制レベルを担保します。対して、Saviyntは「フィット・アンド・ギャップ」。限りなくお客様のビジネスロジックに近づけた実装を目指す製品であり、既存の複雑な業務を維持しなければならない場合には、非常に強力なツールとなります。どちらも正解なのですが、「ガバナンスの例外」を多く作りすぎると本来の統制が失われるため、お客様にとっての「ガバナンスとは何か?」という問いに立ち返る必要があります。
一方、IDMや認証機能の延長線上でIGA機能を提供する「ライトIGA」という領域があり、その代表格が「Okta」です。すでにOktaをID基盤として導入されている企業にとっては、追加機能でIGAを始められるため、スムーズに導入できるメリットがあります。特定のガバナンス要件に特化するのではなく、認証・認可のライフサイクルの中でクイックに統制を始めたい場合にハマります。
日本発の製品として、最近リリースが出ていた「YESOD」との関係について教えてください。
湯浅
はい。我々は株式会社イエソドと2025年12月に連携強化のパートナーシップを締結しました。「YESOD」も、いわゆるライトIGA的な立ち位置ですが、日本の複雑な組織構造や運用フローにマッチしやすい設計になっています。対向アプリからデータを全取得する思想が優れており、ID管理の延長線上で実効性のあるIGAをクイックに実現できる製品として、有力な選択肢です。このパートナーシップにより、高機能だが高価格なグローバル製品から、日本独自の商習慣に適した、比較的導入しやすい国産製品まで、お客様のフェーズに合わせた最適なラインナップを中立に提案できる体制がさらに強固になりました。
IGAは入れて終わりになりがち、という話も聞きます。
米田
もはやシステムの開発だけならAIでできる時代です。当社のバリューは、お客様のリソース不足という課題に対し、どれだけ「一緒にやっていけるか」にあると思っています。また、ガバナンス(IGA)は継続しないと意味がない。そのため、構築後の運用やPDCAサイクルを見据えた「伴走支援」を強く意識しています。
湯浅
セキュリティに絡む領域なので、PDCAは非常に重要です。最初から「満点」ではなく、及第点を維持し続ける仕組みの構築が、お客様から望まれているのではないかと感じています。
今後の展望について、AI時代、ID管理のリスクはどう変わっていくのでしょうか。
加藤
最近は生成AIの活用が急速に広まっていますが、そこで懸念されるのが「non-human ID(人間以外のID)」の爆発的な増加です。これまでは「社員一人に一つのID」を管理すればよかった。しかしこれからは、一人ひとりが業務のために数十、数百のAIエージェントやRPAを使い分ける時代が来ます。これらが「誰の権限で、どこまでアクセスしていいのか」を、人が手動で管理するのはもはや不可能です。ガバナンスの効かないAI IDが野放しになれば、それは企業にとって計り知れないセキュリティホールになります。
湯浅
まさにそうですね。1人が50〜80ものAIエージェントのIDを持つようになる時代、基盤がバラバラではIT投資のスピードそのものが停滞してしまいます。ID基盤を整えることは、単なる防御策ではなく、「新たなテクノロジーを即座に、安全に導入するためのアクセル」なのです。認証強化もポリシー遵守も、ID基盤という土台がしっかりしていれば、意思決定から導入までの時間を劇的に短縮できる。これからのビジネス変革のスピードを決めるのは、まさにID管理の在り方だと思います。
最後に、今回の取り組みを通じて、伝えたいメッセージをお願いします。
米田
国内のIGA市場はミドル層以下を中心に、グローバルベンダーが未開拓の領域が大きく広がっています。この難度の高い市場を切り拓くには、パートナー企業様との共創が不可欠です。我々は特定のメーカーに縛られず、実務に即した徹底的な技術検証を積み重ねてきました。常に、最新かつ最適な選択肢を検証し続けています。パートナー様の「技術的・実務的な右腕」として、我々のナレッジをフル活用していただきたい。共に汗を流し、日本におけるIGA実装のベストプラクティスを創り上げていく。IGAを単なる管理ツールではなく、企業の成長スピードを支える「文化」として定着させる挑戦を、ぜひ皆様と共に進めていければと願っています。
IDMとIGAの違い・取扱商品・プロジェクトのススメ型などはこちらをご参照ください。
