アクセス管理ベンダーの比較・評価

SaaSによるアクセス管理は、MFAを含む高度なユーザー認証と同様に、一般的なものとなっています。AMベンダーは、セッション管理、文脈に応じたアクセス、適応型アクセス、API保護のアプローチを成熟させており、これによりCARTAに沿ったアクセス管理アプローチが可能になり始めています。

戦略的計画の前提条件

2022年までに、アクセス管理実装の60%がユーザーおよびエンティティ行動分析(UEBA)機能やその他のコントロールを活用して、継続的な認証、承認、オンライン詐欺の検出を提供するようになると考えられ、現在の10%未満から増加します。

2022年までに、すべてのシングル・サインオン(SSO)トランザクションの60%が、独自のアプローチではなく、SAML、OAuth2、OIDCなどの最新のIDプロトコルを利用するようになり、現在の30%から増加します。

2024年までには、アクセス管理ソリューションを介したアプリケーションアクセスに多要素認証(MFA)を利用することで、現在の10%から70%以上のアプリケーションアクセスが利用されるようになると予想されます。

市場の定義/説明

アクセス管理市場を、アクセス制御エンジンを使用して、複数のユースケース(B2E、B2B、B2C)のターゲットアプリケーションに集中認証、SSO、セッション管理、および認証の実施を提供するソリューションを提供するベンダーと定義しています。SAML、OAuth2、OIDCなどの最新のIDプロトコルをサポートしているのと同様に、適応型認証とコンテキスト認証が中心的な要素となっています。

また、AMベンダーは、アプリケーションやサービスに認証と承認を統合するためのAPIやソフトウェア開発キット(SDK)の機能を備えています。対象アプリケーションは、Web ブラウザや Web アプリケーションサーバを使用する従来の Web アプリケーションアーキテクチャを持つ場合もあれば、ネイティブまたはハイブリッドモバイルアプリケーションである場合もあり、また、これらのアプリケーションは、人間の操作者の有無にかかわらず実行される場合もあります。保護されたターゲットシステムには、ウェブアプリケーションサービスやAPIが含まれている場合があり、顧客の構内やクラウド上で実行される場合があります。

また、アクセス管理はコア機能ではないが、AMベンダーが提供するものの中で成熟しつつある以下の機能を含んでいる場合があります。

  • セルフサービス登録やプロファイル管理などの基本的なユーザーセルフサービスのアイデンティティ管理
  • APIの認証と承認 (OAuth/OIDCを使用)
  • パスワード管理
  • 一連のターゲットシステムへの基本的なアイデンティティの同期化
  • アイデンティティのリポジトリサービス
  • ソーシャルIDの統合

ベンダーは、プロキシアーキテクチャとエージェントアーキテクチャのいくつかの組み合わせを使用し、標準ベースのIDフェデレーションを使用してSSOを提供することがよくあります。アクセス管理製品とサービスは、プロキシやエージェント、またはフェデレーション標準では十分にサポートされていないターゲット非標準アプリケーションのパスワードの保管と転送もサポートする場合があります。潜在的なパスワード侵害の関連リスクがあるため、パスワードの保管と転送を使用しないことを強く推奨します。 代わりに、可能な場合は標準ベースのフェデレーションを使用してください。

ツールは、組み込みまたはバンドルされているユーザー認証機能の組み合わせをサポートし、サードパーティが他の認証機能を統合することを可能にします。ベンダーはセッション管理をサポートしており、ユーザーセッションの開始と終了を許可するために使用されるプロトコルに応じて、ポリシーとユーザー、デバイスのコンテキスト、およびリスクスコアが必要な場合には、再認証(ステップアップ認証)もサポートしています。

ビルトインまたはバンドルされたコンテキストに沿った適応型アクセス機能は成熟し、信頼性の向上を必要とする適応型アクセスポリシー決定のトリガーとして、リポジトリが保有するデータとコンテキストに沿ったデータを使用する分析機能が含まれるようになりました。

アクセス管理メソッド

ESSO

エンタープライズSSO(ESSO)、Webアクセス管理(WAM)、およびフェデレーションID管理(FIM)はすべて、アクセス管理へのアプローチが多少異なり、長所と短所が異なります。エンタープライズSSOは、ヘルスケアや製造業などのいくつかの業種で使用されているレガシーなアプローチで、多くのレガシーな「厚い」クライアントアプリケーションを使用しています。ESSOツールは、Windowsデバイスにインストールされたエージェントで構成されており、アプリケーションからのログイン要求やパスワード変更要求を傍受します。

ESSO ツールは、エージェントベースのパスワード蓄積・転送メカニズムと考えることができます。ここでは、ユーザとアクセスされるアプリケーションとの間に認証の相互作用が残り、パスワードを含む実際の認証情報がアプリケーションに送信されます。

このアプローチの利点は基本的な SSO 機能ですが、このアプローチの弱点は、クレデンシャルがストアとフォワードのメカニズムを通じてすべてのアプリケーションにさらされていることです。これらのクレデンシャルの妥協はすべてを公開し、すべてのアプリケーション間でクレデンシャルの同期化は困難です。このアプローチはまた、セッションの終了を集中的に制御したり、状況が変化したときにユーザー・セッションの継続的な可視性を維持したりすることを不可能にします。

FIM

最新の ID プロトコル(SAML、OAuth2、OIDC など)を使用するアクセス管理プラットフォームは、異なる観点からアプリケーションアクセスにアプローチします。例えば、SAML を使用したフェデレーションは、すべてのアプリケーションに一意のチケット、アサーション、またはユーザー ID やパスワードを公開しない署名データの一部を提供します。可能な場合はMFAを使用した1つの中央認証は、クレデンシャルを共有したり同期したりすることなく、アプリケーション間で再利用することができます。

認証の観点から見ると、相互作用はユーザと ID プロバイダ(IdP)の間だけであり、アプリケーションは認証を必要としますが、もはや認証の課題に積極的に参加することはありません。むしろ、ユーザが許容できる程度の信頼性で認証されたという IdP の主張を受け入れます。ログアウト機能の中央制御は、フェデレーションの課題となっています。

このアプローチの弱点は、従来はウェブベースのアプリケーションに限定されていた SAM のみのシナリオにあります。これらのシナリオでは、最新の ID プロトコルを介して通信するように構成されていない Web アプリケーションや、Web や HTML インターフェイスを持たない厚いクライアントにフェデレーションを提供するのに苦労してきました。フェデレーションをサポートする AM ベンダーは、OIDC や OAuth2 のような新しい API 駆動型のメカニズムを使用して機能を拡張することで、このシナリオに対処してきました。また、エージェントや ID を意識したプロキシを使用した WAM 中心のアプローチも採用しており、最新の ID プロトコルをターゲット・アプリケーションが理解できるインタラクションに変換しています。

WAM

最後に、WAMはSSOのためのより伝統的なアプローチです。これは、フェデレーションのための様々なコンポーネントがどこにでも配置でき、最新の ID プロトコルとトランザクションによって安全にバインドされていることを意味し、分散型の ID インフラストラクチャを使用する代わりに、WAM アプローチは、エージェント、プロキシ、および独自のアプローチを含む統合されたインフラストラクチャ手法を使用します。WAMの実装は、通常、データセンターにインストールされたソフトウェア・スイートとして提供されるか、サービスとしてのインフラストラクチャ(IaaS)内で提供され、多大で複雑なサポート努力が必要となります。

フェデレーション・アプローチと比較してWAMソリューションを選択する際のトレードオフは、フェデレーションは一般的にインフラサポートの労力が少なくて済み、ユニバーサル・アクセス・プラットフォームのビジョンを持つ企業にとって理想的であるということです。WAMアプローチは伝統的に、アプリケーションがユーザーとどのように相互作用しているかを可視化するという点で、より多くのコントロールを提供してきました。

しかし、連携型 SSO ベンダーは、継続的な適応型リスク・信頼性評価(CARTA)に基づいたアプローチを実現するための新機能を追加しています。UEBA、クラウド・アクセス・セキュリティ・ブローカー(CASB)、統合エンドポイント管理(UEM)、ウェブアプリケーション・ファイアウォール(WAF)プラットフォームとの統合、より詳細なセッション管理機能、セッションの終了と再認証を駆動するコントロールなどが、認証済みセッションのダイナミクスの変化に対応するために利用できるようになってきています。

価格設定

ベンダーの価格設定についてのハイレベルな視点を説明するために、このMagic Quadrantの各ベンダーについての説明では、「平均を大幅に上回る」、「平均以上」、「平均」、「平均以下」、「平均を大幅に下回る」といった用語を用いて、個々の製品の価格設定についてコメントしています。特定のコンポーネントの平均とは、本調査で評価されたすべてのベンダーの、さまざまな異なるアクセス管理の価格設定シナリオの平均スコアを指します。

ベンダーの比較

ベンダーの強みと注意点

Atos社 (Evidian)

Evidian は、従来の WAM 製品である Evidian WAM と、エンタープライズ SSO、デスクトップおよびシック クライアント、パスワード管理、MFA 向けのエンタープライズ SSO 製品 (Evidian Enterprise Access Management) を提供しています。いずれの製品もソフトウェアとして、またマネージド・サービス・プロバイダ(MSP)のパートナーを通じて提供されます。Evidianは、まだSaaSで提供されるアクセス管理製品を導入していません。WAM 製品は、SAML と OIDC を通じて最新のアイデンティティ プロトコルをサポートし、OAuth 2.0 を通じて認証と認可機能を備えた API 保護のための基本的な機能を提供しています。セッション管理機能も基本的なもので、グローバルな制御設定を提供しますが、アプリケーションレベルの粒度の細かい制御はサポートしておらず、Evidian はまた、いくつかの限定的なコンテキスト認証およびアダプティブ認証方法を提供しています。Evidianはシーメンスと提携し、アクセス管理プラットフォームでInternet of Things (IoT)機能を開発しています。

アクセス管理シナリオの複雑さによっては、製品の価格設定は不均一になる傾向がありますが、さまざまなAMシナリオの平均価格設定は、市場の平均に近いものです。

強み
  • Evidianは、顧客サービス戦略が優れていることと、顧客レビューが肯定的であることから、顧客経験のある顧客調査で高得点を獲得しました。
  • Evidianは、HTTPヘッダーへの資格情報の注入を通じて非標準のアプリケーションを有効にするためのリバースプロキシとして機能できます。
  • 欧州での販売・サポート体制が充実しているベンダーです。
  • Evidianは、欧州のコンソーシアムであるENACTと提携し、IoTにIAMを応用した「モノ」管理の解決に取り組んでいます。
注意点
  • Evidian は、特にマイクロサービスと DevOps に関連して、いくつかの人気のある市場動向についてのビジョンを欠いています。
  • Evidian には、SaaS で提供されるアクセス管理製品がなく、ロードマップ上では提供されていますが、現在のところ SaaS 製品は提供されていません。
  • ベンダーのマーケティング戦略は、イベント参加のみを中心としたものです。Evidianは、開発者に焦点を当てた特定のマーケティングキャンペーンを行っていない数少ないベンダーの1つです。
  • 地理的には、Evidian は北米およびアジア太平洋地域で限定的に事業を展開しています。

Auth0

Auth0は、強力な開発者コミュニティの伝統を持つAMソリューションを提供しています。IAMプラットフォームには、Auth0 Free、Developer、Developer Pro、Enterpriseの4つのバージョンがあります。Auth0は、マルチテナント型のSaaSで提供されるほか、顧客のデータセンターやIaaS上でホストされるマネージドサービスとして提供されます。Auth0は、成熟したアダプティブ認証とコンテクスト認証に加えて、ソーシャルメディアアプリケーションをサポートするための長期セッションのタイムアウトのための追加設定など、成熟したセッション管理機能を提供しています。Auth0はAmazon Web Services(AWS)と提携しており、AWSのIAMプラットフォームであるAmazon Cognitoと並んで、AWSのIAMサービスにネイティブに選択できる2つのオファリングのうちの1つにしかなりません。

Auth0の価格設定は、ほとんどすべてのアクセス管理シナリオにおいて市場平均値を下回っています。

強み
  • Auth0 はアクセス管理に対して開発者に焦点を当てたアプローチをとっており、 開発者コミュニティの間では非常に成功している戦略です。アプリケーションの迅速な統合を促進するために、開発者に特化した2つのサービスを提供しています。
  • 入力制約のあるデバイス向けのデバイス認証フロー機能は、メディア、家電、産業機器、医療機器などのユースケース向けに最近発表されました。
  • スウェーデンやノルウェーの銀行ID、オランダのNetIDなどの主要なソーシャルIdP、企業や法的なIDプロバイダを含むBYOI統合の広範なリストがベース製品でサポートされており、CIAMのユースケースに役立ちます。
  • Auth0は、Rules and Hooksと呼ばれる機能を提供しており、機能を拡張し、認証のためのより複雑なシナリオのための連鎖したルールを作成することができます。
注意点
  • Auth0製品には、非常に基本的なデバイスベースのコンテクスト認証信号がありますが、デバイス固有の情報を活用したい企業には、UEMの統合が必要です。
  • プラットフォームのログはアクセスイベントデータを取得しますが、レポートや分析機能は最小限です。ベンダーは、ログデータをサードパーティの分析プラットフォームに取得する方法を提供しています。
  • 開発者コミュニティに焦点を当てているため、開発者に焦点を当てていないIAMチームは、コンフィギュレーションベースのアプローチを取る競合他社と比較して、特にSaaSアプリケーションイネーブルメントの場合、ワークフォースAM(B2E)の実装がより複雑になることが予想されます。
  • Auth0は第2次決済サービス指令(PSD2)を完全にはサポートしておらず、顧客向けの統合済みSaaSアプリケーションのリストは非常に限られており、利用可能なものは数十種類程度しかありません。

Broadcom社 (CA Technologies)

CA Technologies(昨年Broadcomに買収された)は、Layer7 SiteMinder(旧CA SSO)と呼ばれるWAMベースのアクセス管理プラットフォームを提供しています。Layer7 SiteMinder はソフトウェアで提供されるプラットフォームであり、Broadcom には AM の SaaS 提供機能はありません。Layer7 SiteMinder は、基本的な認証と承認のための API インターフェイスの使用をサポートし、最新の認証のための最新の ID プロトコルをサポートしています。Broadcom は、セッションに関与するエンドポイントの継続的な検証をサポートする DeviceDNA とセッション管理コントロールを組み合わせることで、基本的な継続的な認証モデルを実現できます。Broadcom は、1 つの価格で AM、特権アクセス管理 (PAM)、ID ガバナンスおよび管理 (IGA) を含むすべての IAM 製品に無制限にアクセスできるポートフォリオ ライセンス製品 (PLA) を展開しています。

価格設定は非常に競争が激しく、価格シナリオの見積もりは市場全体の平均を下回っています。

強み
  • Broadcom/CA は、マーケティング戦略を既存の 1,000 社の大口顧客に限定し、それぞれの顧客に合わせたカスタム ランディング ページを作成しました。これにより、そのセグメントの既存顧客がLayer7 SiteMinder製品をうまく採用することができるようになります。
  • Broadcom/CA は、ソフトウェアで提供されるアクセス管理製品の多くの顧客基盤を有しており、強固な基盤から市場を拡大する機会を得ています。
  • Broadcom/CA には IAM およびセキュリティ機能があり、アクセス管理製品との追加統合により活用することができます。
  • Broadcom/CA は地理的戦略について高い評価を受けており、北米、ヨーロッパ、アジア太平洋地域を含むすべての市場をカバーしており、グローバルな顧客のために強力な言語サポートを提供しています。
注意点
  • Broadcom/CA は、今回の調査で評価されたすべてのベンダーの中で、顧客体験のカテゴリーで最も低いスコアを獲得しました。Broadcom/CA の顧客参照スコアも、すべてのベンダーの中で最下位でした。
  • Broadcom による CA の買収を市場に反映させるためのブランディング戦略が不十分でした。このようにメッセージングが曖昧なため、Broadcom が新規顧客のアクセス管理問題の解決にどのように貢献できるかについて混乱が生じています。また、Broadcom/CA は、開発者に焦点を当てた特別なマーケティング・キャンペーンを行っていない数少ないベンダーの 1 つでした。
  • Broadcom/CA は SaaS で提供するアクセス管理ソリューションを中止し、製品のアーキテクチャは昨年の評価から変更されていません。これは市場の反応性のスコアリングに影響を与え、全ベンダーの中で最も低いスコアの1つとなりました。
  • Broadcom / CAは、CAのプロフェッショナルサービスチームをHCL Technologies社に売却しました。

ForgeRock社

ForgeRock は ForgeRock Identity Platform を提供しています。このプラットフォームは、ForgeRock Access Management、ForgeRock Directory、ForgeRock Customer Experienceなどの複数のモジュールで構成されており、これらを組み合わせたり、個別に購入することができます。ForgeRockはソフトウェアを通じてアクセス管理サービスを提供しています。SaaSを通じて利用できるForgeRock Identity Cloud(CIAM)とOpen Bankingの2つのForgeRockコンポーネントがありますが、現在、その労働力アクセス管理ソリューションのSaaS代替はありません。ForgeRockは、優れたセッション管理機能と、広範な適応およびコンテキスト認証機能を備えています。このベンダーはオープンバンキングムーブメントをサポートする独自の機能を備え、オープンバンキングサンドボックスと呼ばれるSaaSベースのソリューションを提供します。そこでは、規制要件を満たすEUおよび英国の銀行をサポートするために、安全なAPIがバンキングトランザクションに公開されます。

ベンダーの価格設定は、さまざまなアクセス管理シナリオの市場平均と一致しています。

強み
  • ForgeRockは今年、英国ではオープンバンキング、欧州ではBerlinGroupやPSD2などのオープンバンキング規制に対応するためのDIY「キット」(コード、コンフィグレーション、リファレンスアーキテクチャ)をSaaSで提供するサービスを発表しました。
  • ForgeRockは、市場で最も強力なIoT製品の1つであり、IoTのユースケースでアクセス管理ソリューションをサポートするための広範な機能を拡大しています。
  • セッション管理と組み合わせることで、ForgeRock のグラフィカルな設定機能である「認証ツリー」は、継続的な認証と認可機能の一部の要素を容易にします。
  • ForgeRock は、認証および承認標準の定義に積極的に取り組んでおり、すべてのオープンなフェデレーション標準、SAML、OIDC、さらにはユーザー管理型アクセス (UMA) をサポートしています。
注意点
  • ForgeRock には、労働力 (B2E) AM 向けに SaaS を提供するサービスがありません。
  • ForgeRock は IoT のユースケースについて豊富な経験を持っていますが、これらのシナリオは ForgeRock Identity Platform のソフトウェア提供バージョンでのみサポートされています。
  • ForgeRock が提供する SaaS は、市場に比べてアプローチが限られています。現在、SaaS として提供されているのは、CIAM に焦点を当てた Express Edition と Open Banking の 2 つのサービスのみです。
  • ForgeRock には、グローバルおよび地域の BYOI (ソーシャル ID) ネットワークの広範なオプションがありません。

IBM社

IBM はアクセス管理サービスに 2 つのオプションを提供しています。それは、IBM Security Access Manager (ISAM) と呼ばれる成熟したソフトウェア提供型アクセス管理製品と、Cloud Identity と呼ばれる SaaS 提供型 AM 製品です。どちらもコアとなるAM機能を提供します。ISAM は伝統的な WAM 製品であり、内部および非標準アプリケーション向けに独自の SSO を提供します。一方、Cloud Identity プラットフォームは、SaaS および内部アプリケーション向けの AM にモダンな ID プロトコルベースのアプローチを提供します。IBMは、AM製品との追加統合を通じて活用できるIAMおよびセキュリティ機能の豊富なライブラリを持っています。ISAMプラットフォームはセッション管理のためのきめ細かな制御を提供していますが、Cloud Identityは基本的な機能しか提供していません。IBMは、パブリック・ブロックチェーン・インフラストラクチャへの取り組みでイノベーションを推進し、分散型アイデンティティ標準への取り組みや、アイデンティティ証明のためのIBM Blockchain Trusted Identity製品につながっています。

IBM製品の価格設定は、すべてのアクセス管理シナリオの平均をわずかに上回っています。

強み
  • IBMは、B2E、B2B、B2C AMの実装と不正防止の統合を提供してきた経験を持っています。
  • サードパーティとの統合以外にも、IBMは、オンラインでの不正行為の検出と防止のためのIBM Trusteer、APIライフサイクルの完全な管理のためのAPI ConnectとDataPowerなど、自社のポートフォリオ内の隣接するテクノロジーのための統合を提供しています。エンドポイントのコンテキストデータは、UEM製品であるMaaS360 with Watsonを通じて提供することができます。
  • IBMは、グローバルな営業力、サポート力、サービス力に加えて、地域の言語サポートもしっかりしているので、グローバルなお客様には良い選択肢になるでしょう。
  • 顧客は、製品の安定性と柔軟性を強調しています。
注意点
  • 一般データ保護規則(GDPR)などの規制に準拠したB2CへのIBMのアプローチは、かなりの量のカスタム・コーディング開発を必要とするAPIを介してのみ対処されています。
  • ISAMプラットフォームは、SaaSと比較した場合、最も広範なアクセス管理機能を備えています。IBMは、SaaSで提供されるアクセス管理への投資とコミットメントを継続する必要があります。
  • 複雑なユースケースでは、ソフトウェアで提供されるISAM製品に、SaaS版ではサポートされていない追加機能(例えば、拡張可能な認証や身元証明フレームワークなど)が必要になります。
  • 顧客や顧客は一貫して、アクセス管理製品の重要な関心事として複雑さを挙げてきました。

Idaptive社

Idaptiveは、Centrifyからの売却により誕生した新会社です。Idaptiveは、コアとなるAM機能を提供するSaaS型AMソリューションとしてIdaptive Application Servicesを提供していますが、基本的なエンタープライズ・エンドポイント管理(EMM)ソリューションや、エンドポイントを介した認証・認可のための追加要素も含まれています。Idaptive AM プラットフォームは、他のベンダーと比較して、アダプティブ認証とコンテキスト認証の優れた制御機能と、競争力のあるセッション管理機能を提供します。Idaptive セッション管理は、コンテキスト要因の定期的なチェックをサポートし、要因が変化した場合には再認証を強制的に行うことができます。このベンダーは、ネットワークベースの攻撃に基づく脅威インテリジェンスのために、パロアルトネットワークスと提携しています。

Thoma Bravo社によるCentrifyの買収とその後のIdaptiveのスピンオフは破壊的なものであり、価格設定のシナリオは業界の平均値をほぼ上回っていると報告されています。クライアントには、今後2年間の製品ロードマップの明確化を求めることをお勧めします。

強み
  • IdaptiveはBrokered Authenticationと呼ばれる機能を提供しており、従来のActive Directory (AD)にログインしないリモートユーザーやクラウドユーザーをサポートするために、複数のディレクトリにまたがって認証を抽象化しています。
  • ベンダーは、最新のIDプロトコルをサポートしていないアプリケーションを統合するために、App Gatewayサービスと呼ばれるソフトウェアで提供されるリバースプロキシを提供しています。
  • Idaptive EMMは、エンドポイントデバイスに関連するコンテキスト要因をIdaptiveが使用できるようにする一連のコントロールを提供します。
  • Idaptive MFAは、ユーザーの行動に基づいてリスクスコアリングを作成するために機械学習を適用する基本的なUEBA機能を提供しています。
注意点
  • IdaptiveのAPI保護機能は基本的なもので、悪意のあるコンテンツの検出や検証、コンテンツの暗号化、他のAM製品に見られる独自のトークン変換などの高度な機能を欠いています。
  • Centrifyからの売却がIdaptiveのAMサービスにどのような影響を与えるのかは不明ですが、顧客は要件を明確に伝え、ベンダーがどのように要件を満たすことができるのかを理解する必要があります。
  • Idaptiveは、AMプラットフォームでのきめ細かい認証機能をネイティブには提供していません。
  • Idaptiveアプリケーションサービスは、非常に基本的なEMMサービスのみを提供しています。完全な機能を備えたEMM制御を行うには、Idaptiveエンドポイントサービスパッケージを追加する必要があります。

Micro Focus社

Micro Focusは、NetIQ Access Managerをソフトウェアおよびサービス(IaaS)として提供しています。Micro Focusは、IGAからPAMまで、NetIQ Access Managerの機能を拡張するためのIAMプラットフォームの広範なポートフォリオへのアクセスを提供します。Micro Focusは、強力な適応性とコンテクスト認証機能を持ち、非標準アプリケーションの統合のためのリバースプロキシを活用しています。Micro Focusは、粒度の細かいセッション管理制御を提供し、初歩的な継続認証機能まで提供しています。2019年にMicro Focusは、脅威検知に機械学習とUEBAを応用したソフトウェアを提供するIntersetを買収しました。Micro Focusは、IntersetのUEBA機能をNetIQ Access Managerを含む同社のIAM製品に統合する意向を表明しています。

ベンダーの価格設定は、さまざまなAMシナリオの市場平均と一致しています。

強み
  • NetIQ Access Managerは、独自のポートフォリオの中で優れたAPI管理機能を提供しています。
  • Micro Focusは、分散型アイデンティティ基盤を活用したクラウド型アイデンティティ・認証サービス「Micro Focus Global Product Authentication Service(GPAS)」との統合による分散型アイデンティティのアプローチを行っています。
  • Micro Focusには、NetIQ Access Managerを使用したアイデンティティ・データ用のLDAPベースのディレクトリ、eDirectoryが含まれています。
  • ベンダーは、基本的なCASBソリューションを製品にバンドルしていますが、他の主要なCASB製品との統合もサポートしており、サービスに認証を提供するだけでなく、SaaSアプリケーションの意図した、または意図しない誤用の監視と制御を追加することができます。
注意点
  • Micro Focus は、SaaS で提供される AM 製品を欠いていますが、一部のコンポーネントは SaaS 配信モデルに従っています(Micro Focus は SaaS と呼んでいます)。NetIQ Access Manager は、より正確には IaaS ホスト型モデルと定義されており、顧客が管理するために AM ソフトウェアを実行するサーバーをホストしていることを意味します。
  • Micro Focusが提供する統合前のアプリケーションのカタログは非常に限られており、他のベンダーの数千のカタログに比べて数百のカタログしかありません。
  • ソフトウェアで提供される NetIQ Access Manager は、NetIQ IGA との統合を通じて、アプリケーションへのアクセスのためのロールおよび属性ベースの認証メカニズムを提供することができますが、この統合は NetIQ Access Manager では利用できません。
  • 幅広いユーザー認証メカニズムが利用可能ですが、その多くはNetIQ Access Managerには含まれておらず、Advanced Authenticationパッケージの追加ライセンスを購入する必要があります。

Microsoft社

Microsoftは、Azure Active Directory (Azure AD) PremiumとAzure AD B2Cを通じてAMを提供しています。MicrosoftがAzureを通じて提供するすべてのAMソリューションは、マルチテナントSaaSプラットフォームとして提供されています。Microsoftは、Active DirectoryベースのIdPであるADFSを引き続きサポートしていますが、Azure IdPでは、事前に統合されたSaaSアプリケーションのカタログなど、より新しい機能が提供されています。Azure ADはSaaSアプリケーションですが、多くの企業はAMのコア機能のためにADFSやAzure AD Connectのようなソフトウェア提供コンポーネントを活用し続けています。Azure ADは、条件付きアクセスルールを介して非常に強力なアダプティブ認証とコンテキスト認証を提供し、ユーザー認証メカニズムの豊富な品揃えを提供しています。セッション管理は、Azureユーザーが利用できるのはグローバルなセッションの有効期間のみで、レビューした中では最も成熟していません。MicrosoftのIntelligent Security Graphは、あらゆるMicrosoftプラットフォームにアクセスするユーザーのリスクスコアを生成する有望なリスクスコアリングメカニズムであり、これを活用してAzureによる認証と認可の決定を行うことができます。

マイクロソフト製品のリスト価格は、一連の価格設定のシナリオのために、平均以上の価格が設定されていることもあれば、平均以上の価格が設定されていることもあります。

強み
  • Microsoftは、市場理解と顧客体験で最高得点の1つを達成しています。
  • Microsoftは、パスワードの排除やCIAMのユースケースのためのアイデンティティの分散化の推進など、いくつかの分野で市場のイノベーションをリードしてきました。
  • Microsoftは、Azure ADを使用しているすべてのOffice 365の顧客向けに、コアAM機能に加えて、条件付きアクセスとMFA機能を搭載しています。
  • 多くの組織では、合併、買収、事業売却がMicrosoftのテナントでのアイデンティティの管理に与える影響に悩まされています。Microsoftは、Azure AD Syncソリューションを使用した「サービスとしての合併・買収」の提供を、企業の顧客基盤の成長セグメントのために活用しています。このサービスには、移行コストやコストのかかる長期契約を必要とせず、合併や買収のシナリオに対応するために必要なすべてが含まれています。
注意点
  • 多くの競合他社が非標準アプリケーションの有効化のためにプロキシやその他の機能を追加していますが、MicrosoftはHTTPヘッダベースの認証やその他の非標準アプリケーションのシナリオのために、Ping Identityのようなサードパーティとのパートナーシップを依然として必要としています。
  • Microsoftは、それがOffice 365の要件であるため、Azure AD Premiumの市場シェアを迅速に追加し続けています。しかし、多くの顧客は、非標準アプリケーションのサポートのための機能のギャップのために、別のAMプラットフォームを購入することを選択しています。Microsoftアプリケーションプロキシでサポートされる非標準アプリケーションは、統合されたWindows認証とKerberos制約付き委任に限定されています。
  • Microsoft のライセンスは非常に複雑で、機能はレイヤーでバンドルされているため、上位ライセンス レベルの 1 つまたは 2 つの機能を望む顧客は、十分に使用できないライセンスを購入することを余儀なくされます。
  • MicrosoftのB2BとB2Cのユースケースは、まだ比較的未熟です。

Okta社

Oktaは、2つのベース製品を含むSaaS型AMソリューションを提供しています。Okta Single Sign-OnとOkta Adaptive Single Sign-Onの2つのベース製品が含まれます。アドオンには、Universal Directory、Adaptive Multi-Factor Authentication、API Access Managementが含まれています。Oktaはこの1年で大幅に成長し、AMの急成長セグメントであるCIAM市場で大きなシェアを獲得しています。Oktaは、非標準アプリケーションの統合を支援するリバースプロキシ機能を追加することで、昨年のギャップに対処しました。Oktaには広範な適応認証とコンテキスト認証があり、セッション管理機能は、継続的な認証アプローチをサポートするには十分ではありませんが、ほとんどのユースケースでは十分です。昨年、OktaはThreatInsightと呼ばれる機能を開発しました。これは、Okta環境全体のすべてのOktaログインからのデータを相関させ、AMプラットフォームのための脅威インテリジェンスの広範な収集を可能にします。

OktaはAM市場で最も頻繁に議論されているソリューションの1つですが、クライアントからの問い合わせ統計によると、さまざまなAMシナリオの価格設定は市場平均を大きく上回っています。

強み
  • Oktaは、顧客体験部門で最高得点を獲得しました。顧客のコメントでは、製品の導入と使用のしやすさが広く補完されています。
  • Oktaはその市場対応力と実績で非常に高い評価を得ています。例えば、レガシーなオンプレミスアプリケーションを保護するためのOkta Access Gatewayは、ハイブリッドクラウドとオンプレミスの保護シナリオの重要な要件に対応しています。
  • OktaはOkta Hooksと呼ばれる機能を開発し、新しいリクエストやユースケースに対応するために、認証と承認フローの拡張性を提供することができます。
  • Oktaでは、基本的なUEBA機能に加えて、コンテキスト認証とアダプティブ認証を利用するというアプローチで、パスワードレス認証を実現しています。
注意点
  • IoTのサポートは非常に基本的なもので、ソーシャルアイデンティティの統合はMicrosoft、LinkedIn、Google、Facebookのアウトオブボックスに限定されています。
  • Okta Access Gatewayリバースプロキシの発表は、まだごく最近のことであり、すべての顧客が利用できるわけではありません。また、その機能やスケーラビリティはまだ世界規模で実証されていません。
  • 顧客の分析では、Oktaは一般的に最も高価格の代替品であり、顧客はライセンスの価格やポストセールスサポートの質に不満を持っています。
  • OAuth 2.0は承認と認可のためのAPIインタラクションを保護していますが、OktaのAPI保護機能は思ったよりも成熟しておらず、悪意のあるコンテンツの検出、コンテンツの暗号化、独自のトークン変換、APIのサービス拒否保護などのサポートが不足しています。

OneLogin社

OneLogin は、ディレクトリサービス、認証、MFA、承認、ライフサイクル管理をバンドルした統合アクセス管理プラットフォームを提供しています。OneLogin製品はSaaS型で、機能を拡張するソフトウェア配信型のコンポーネントもあります。例えば、OneLoginのエンドポイントエージェントであるOneLogin Desktopは、エンドポイント証明書を介してパスワードレスのログインを提供することができます。OneLogin は適応型認証とコンテキスト認証を提供していますが、ユーザ認証方法とエンドポイントのコンテキスト要因は、市場の他のものに比べてあまり広範囲ではありません。セッション管理はきめ細かな制御を提供しますが、継続的な認証制御のためのものはまだありません。OneLogin は、エージェントやリバースプロキシ機能を介して非標準アプリケーションを有効化するための優れた機能を提供しています。

分析によると、異なる AM シナリオの OneLogin 製品の価格は、業界平均を上回っています。

強み
  • 顧客は、OneLogin の実装、統合、利用のしやすさを一貫して高く評価しています。
  • OneLoginは、グローバルパートナーポートフォリオの印象的な増加を達成しました。これにより、適切に管理されていれば、パートナー関係からより多くの顧客が生まれます。
  • 大規模なクライアントは、OneLogin がこれまで重視していた中堅企業よりも企業アカウントに重点を置くようになったことで恩恵を受けることができるかもしれません。
  • OneLogin は製品をバンドルしており、製品でネイティブにサポートされている AM 機能と機能の幅広い選択肢を顧客に提供しています。
注意点
  • 製品にはAPI保護機能は含まれておらず、基本的な機能も含まれていません。 API承認製品のロードマップ計画があります(19年第2四半期)。
  • MFAプラットフォームは、指紋やその他のアクティブおよびパッシブバイオメトリクスなどの主要な機能をサポートしていません。
  • エンドポイント・エージェントは存在しますが、コンテキスト認証に役立つであろう多くの重要なエンドポイント・データ・ポイントが欠けています。
  • OneLogin は、サードパーティの ID 証明ソリューションとの統合に関する明確な計画を明らかにしていません。

Optimal IdM社

Optimal IdMは、高度なカスタマイズを必要とする顧客や、AM業務のアウトソーシングをご希望の顧客に、フルサービスの製品を提供するという、AMに対する独自のアプローチをとっています。大多数の顧客に利用されているOptimal IDM製品であるOptimal Cloudは、シングルテナント型のSaaSソリューションです。顧客は、Optimal IdMを利用して、ディレクトリサービス、認証、アプリケーションの承認など、高度にカスタマイズされたIAMの実装を作成することができます。Optimal IdMは、アダプティブ認証やコンテクスト認証を提供していますが、これらの機能を提供するためのUEBA機能や確立されたパートナーを持っていません。Optimal IdMは基本的なAPI保護機能を提供しており、セッション管理はグローバルレベルとアプリケーションレベルの制御が可能な粒度の高いものとなっています。Optimalは、行動バイオメトリクス機能を追加するためのパートナーを追加しています。TypingDNAのようなベンダーとの認証は、ユーザーを認証し、識別するためにタイピングパターンを使用しています。

最適な IDM AM の価格設定は業界平均を上回っていますが、ベンダーは主に、ユーザーベースやトランザクションベースではなく、テナントベースの定額料金モデルをサービスに使用しており、大規模な顧客にとってはメリットがあるかもしれません。

強み
  • Optimal IdMは、クライアントに仮想ディレクトリを提供し、アイデンティティデータを同期させずに、ソースディレクトリ内のアイデンティティデータをリアルタイムで参照します。
  • Optimal IdMのビジネスモデルは、より多くの顧客に包括的なサービスを提供することで、顧客にエンジニアとの直接アクセスを提供することができ、各組織に合わせた個別のサービスを提供することが可能になります。
  • シングルテナント型のクラウドモデルでは、より高いレベルのプライバシー、カスタマイズ性、柔軟性を実現しています。
  • コアIAMサポートをアウトソースしたい、カスタマイズのニーズが高いという組織も、Optimal IdMモデルに適しています。
注意点
  • Optimal IdMは、顧客体験のカテゴリーで、評価された全ベンダーの中で最も低いスコアを獲得しています。ベンダーの成功事例や参考文献はほとんどありません。
  • 非標準アプリケーションのサポートは、IIS ベースのエージェントに限定され、クレデンシャルの挿入で利用できるプロキシサーバはありません。
  • Optimal IdM は、SaaS 配信モデルのシングルテナント化を推進しています。ベンダーやクライアントがマルチテナント・ベンダーのサービスをより多く採用するという明確な傾向を見ていますが、Optimal IdMは縮小するターゲット市場に焦点を当てているため、最終的には成長と安定性に影響を与えます。
  • Optimal IdMのIAM市場に対する理解は、マルチクラウド環境のIAM保護、不正行為防止、API保護などの潜在的なユースケースが不足しています。

Oracle社

Oracle社は、AMサービスのためのいくつかのソリューションを提供しています。Oracleのソフトウェア配信型AMサービスであるOracle Access Manager(OAM)では、独自のWAMベースのSSOを提供し、AMのコア機能を提供しています。Oracle Identity Cloud Services(IDCS)はSaaSベースのAMプラットフォームで、標準ベースのSSOと、優れたOIDCおよびOAuth機能を含むコアAM機能を提供していますが、OAMとの機能的な同等性はまだ達成されていません。どちらのプラットフォームも成熟したアダプティブ認証とコンテクスト認証を提供しており、OAMは一般的にIDCSと比較してより広範な機能を持っています。OAMのセッション管理機能は成熟しており、アプリケーションレベルの制御が可能ですが、IDCSはグローバルなセッション制御に限定されています。しかし、IDCSは、Oracle CASB Cloud Serviceやその他のパートナーとの統合により、OAMにはないUEBA機能を提供しています。

評価した一連の価格設定シナリオでは、価格設定は業界平均を下回っており、場合によっては大幅に下回っています。

強み
  • Oracleは、IDCSの顧客に対して追加コストなしでWAFを追加し、追加のセキュリティ機能とマルチクラウド環境向けにWAF保護を拡張する機能を提供することを計画しています。
  • IDCSは、平均以上のAPI保護機能を提供するだけでなく、Oracle独自のポートフォリオやサードパーティ・プロバイダを介したAPIライフサイクル管理の完全な統合によって拡張することもできます。
  • IDCSを他のOracle Cloud製品と組み合わせるというOracleの戦略は、AMソリューションの市場にも参入しているOracleの顧客にメリットをもたらします。たとえば、Oracle Human Capital Management(HCM)の顧客は、2つの製品を併用することで、この2つの製品によって実現されるすぐに使える機能の相乗効果を活用できます。
  • Oracleは、既存の顧客がソフトウェア配信型AM製品に支払ったサポート料をIDCSのサブスクリプション費用の削減に変換できるBYOL(Bring Your Own License)プログラムを用意しており、OAMからIDCSにアップグレードする顧客の移行パスを容易にしています。
注意点
  • Oracleに関するレビューは、提供されたカスタマー・リファレンスのスコアよりも低い評価でした。実際、Oracleに関するPeer Insightのスコアは、今回の調査では全ベンダーの中で最も低く、最も多かった不満はOAMの実装が複雑であることでした。
  • Oracleは、ナレッジベース認証(KBA)にいまだに依存しているレガシーのOracle AM製品のアイデンティティ証明/不正防止戦略が不十分であることを指摘しています。外部の不正防止機能を統合することは可能ですが、すぐに利用できるわけではなく、カスタマイズが必要です。
  • IDCSはOracleがSaaS提供のAM機能にコミットしていることを示していますが、問い合わせに参加した既存のOracle OAM顧客は、競合プラットフォームへのアップグレードを検討しており、IDCSについて言及しているのは非常に稀です。
  • OAMには基本的なAPI保護機能のみが存在し、高度な機能にはOracle API Platform Cloudの追加が必要です。

Ping Identity社

Ping Identityは、いくつかのAMプラットフォームを提供しています。PingFederateとPingAccessは、ソフトウェアで提供されるAMプラットフォームのコンポーネントであり、PingOne for Enterpriseは、PingIDと新しいPingOne for Customersとともに、SaaSで提供されるパッケージでAM機能を提供しています。成熟したソフトウェアで提供される機能を持つ他のベンダーと同様に、SaaSの提供は、その機能と完全に同等の機能を実現していません。PingFederateにはきめ細かなセッション管理機能があり、PingOne for Enterpriseはグローバルタイムアウトのみをサポートしています。PingAccessと組み合わせることで、ユーザーアクティビティの可視性はセッション全体を通して維持されます。両プラットフォームは成熟したアダプティブ認証とコンテクスト認証をサポートしており、PingはAPI保護のための機械学習機能であるPingIntelligence for APIsの導入により、API保護機能を継続的に強化しています。PingAccessとPingDataGovernanceと組み合わせることで、Pingはコンテキストを認識した認証、APIとデータのセキュリティにおいて高度な機能を提供します。

製品の価格設定は、AMシナリオの複雑さに応じて、低いものから非常に高いものまで不均一になることがありますが、ベンダーの異なるAMシナリオの平均価格は市場平均をわずかに下回っています。

強み
  • Pingは、Azure AD Premium内で自社製品を提供することでMicrosoftとのパートナーシップを拡大するなど、AM機能のいくつかのアップデートを発表しています。また、PingはAzure AD ConnectとADFSを使った認証のための標準的な方法を提供しており、市場での対応力と実績の点で最高のスコアを獲得しています。
  • 専用CIAM製品(PingOne for Customers)の新リリースは、Pingのポートフォリオに欠けていた開発者に優しいAPI指向のプラットフォームを提供します。また、Elastic Beam(現PingIntelligence for APIs)の買収により、Pingのクライアントのマルチクラウドやサーバーレス環境にAPI保護のための新たなオプションが提供されることになります。
  • 顧客からは、製品の柔軟性、導入の容易さ、統合性について肯定的なコメントが寄せられています。
  • Pingは、現代的な認証の標準化に大きく関与しており、主要なパートナーと協力して、AMにおける現代的なアイデンティティプロトコルの進歩のために、業界全体のいくつかのイニシアチブをリードしています。
注意点
  • 顧客の中には、GUIの使い勝手が悪いと文句を言う方もいます。
  • PingOne for Customersは比較的新しい製品であり(4Q18のGA)、規制遵守や同意管理のサポートは含まれておらず、BYOIのサポートは限定的です(オンプレミスブリッジとの統合が必要)。
  • API保護機能は成熟していますが、PingOne for EnterpriseもPingFederateも、完全なAPI保護のための基本的な機能以上のものを提供していません。完全なAPI保護のためには、PingAccessやPingIntelligenceも必要になります。
  • SaaSの提供は、機能的にはソフトウェア・プラットフォームに遅れを取り続けています。

SecureAuth社

SecureAuth は、SecureAuth Identity Platform と呼ばれるソフトウェアで提供される AM 製品を提供しています。この機能は、顧客のデータセンターまたは AWS にホストされ、SecureAuth クラウドから提供される MFA などの追加機能を備えた硬化型仮想アプライアンスを中心に構築されています。SecureAuth Identity Platform には、非常に強力なアダプティブ認証機能とコンテキスト認証機能があります。セッション管理設定は、領域ごとにグローバルに定義されます。SecureAuth には、ネイティブ UEBA 機能があります。この機能は、多くの種類の攻撃者の活動を検出することができますが、現在のところ、ユーザーセッション内の変更を可視化するためのセッション管理コントロールを活用して、必要に応じて追加の認証または承認アクションを実行することはできません。今年、SecureAuthは、わずか18ヶ月前に買収したIGAとセキュリティツールの会社であるCore Securityを売却しました。

ベンダーの価格設定は競争力があり、様々なシナリオでの価格設定は一般的に市場の平均的なものです。

強み
  • 上述したように、SecureAuth プラットフォームの適応型およびコンテキスト認証機能は、レビューしたすべての AM ベンダーの中で最も強力であり、最も成熟しています。さらに、SecureAuth Identity Platform は、MFA 用の認証方法の豊富なリストを提供しています。
  • SecureAuth は、SecureAuth Identity Platform で基本的な UEBA 機能を提供しています。
  • 顧客は、製品の柔軟性と幅広い統合オプションを気に入っています。
  • SecureAuthは、非標準アプリケーションを統合するためのSecureAuthアクセスゲートウェイを追加しました。
注意点
  • SecureAuth には、API 保護機能が不完全です。API を保護するための認証、承認、トークン変換機能などの標準的な API 保護要件には、外部 API ゲートウェイ (サードパーティが提供する) との統合が必要です。
  • SecureAuth は、真の SaaS 型 AM 製品を提供していません。その製品は、より正確には IaaS ホスト型モデルと表現されます。
  • 一部の顧客からは、製品の複雑さ、特に単一のアプリケーションまたはアプリケーションのグループに割り当てられたポリシーの集合体である「領域」を設定して管理する場合の複雑さについてのコメントがありました。
  • IoTやBYOIのような新興のAMユースケースに対応するためのSecureAuthの戦略は、競合他社に遅れをとっています。

ベンダーの追加と削除

私たちは、市場の変化に合わせてMagic Quadrantの対象基準を見直し、調整しています。このような調整の結果、Magic Quadrantに含まれるベンダーの構成は時間の経過とともに変化する可能性があります。ある年にMagic Quadrantに掲載されたベンダーが次の年には掲載されていないということは、必ずしも当社がそのベンダーに対する評価を変更したことを意味するものではありません。それは市場の変化を反映している可能性があり、したがって、評価基準が変更されたか、またはそのベンダーの焦点が変更されたことを反映している可能性があります。

追加

AMサービスを提供するベンダーは増えてきていますが、私たちの評価基準を満たしていないため、追加されませんでした。従来のAMとCIAMのみを提供しているベンダーの両方を含めて、いくつかのベンダーを佳作に挙げました。1つのベンダーに変更がありました。以前はAMとPAMの両方のソフトウェアのプロバイダーであり、2018 Access Management Magic Quadrantに含まれていたCentrifyが2つの組織に分割されました。「Centrify」という名前はPAM製品のブランドになり、以前のAM製品はIdaptiveという新しい会社に移行されました。

削除

前述の通り、CentrifyはPAMに独占的に注力しているため、Magic Quadrantの一員ではなくなります。また、i-Sprint Innovations社のAMサービスは中止され、i-Sprint InnovationsはAM機能を提供するソフトウェアを提供し続けていますが、グローバルなマーケティングとサポート機能については、今年の当社の包含基準を満たしていませんでした。

包含および除外基準

このMagic Quadrantには、以下の包含基準が適用されます。

  • ベンダーは、2018年12月31日時点で600社以上の現在のAM顧客を有している必要があります。それらの顧客は、ベンダーと独自の契約を結んでいた、他の製品の顧客ではなく、個別のAM顧客組織でなければなりません。無料または「フリーミアム」の非有料顧客は、顧客の合計に含めることはできませんでした。
  • ベンダーは、次の主要な市場で大量の顧客数と適切なデリバリーおよびサポート機能を備えている必要があります。 ヨーロッパ、中東、アフリカ(EMEA)。 アジア太平洋地域(APAC)地域。
  • ベンダーは、すべての主要なユースケース(B2E、B2C、B2B)をサポートするために、2018年に製品やサービスを販売・販売している必要があります。各ユースケースの実質的な顧客数が求められました。例えば、B2Cのユースケースのみをサポートするためにのみ、またはそのほとんどがマーケティングされているCIAMソリューションは除外されました。
  • ベンダーは、販売する AM 製品及びサービスの知的財産を所有していなければなりません。他のベンダの製品を再販しているもの、あるいは他のベンダのAM製品やサービスを再販用に、あるいはマネージドサービスやホストサービスの提供用に補強しているだけのものは除外されました。

本分析の対象となるベンダーのAM製品又はサービスには、以下の機能が必要となります(注:「製品」とは、製品又はサービスを意味します。これらの機能は、複数の製品を通じて提供される場合もありますが、以下に定める場合を除き、ベンダーの製品であり、第三者の製品ではないことが必要です)。

  • ユーザー認証 – 製品は、AM ツールにパスワード認証の固有のサポートを提供する必要があります。製品は、AMベンダーとそのパートナーが提供する追加の認証方法のサポートを提供する必要があり、認証方法のためのコンテキストデータとアダプティブアクセスの使用が検討されました。
  • 信頼性の向上 – 管理者が特定のアプリケーションへのアクセスに信頼性の向上を必要とするポリシーを設定することで、アダプティブ・アクセスを有効にできるようにする必要があります。ステップアップ・ユーザ認証(再認証)を要求する機能は、基本的な要件でした。
    • 評価基準では、信頼性向上のためのリスクスコアを計算するための分析とコンテキスト情報の使用、および他のタイプの必要なアクションを開始する能力が考慮されました。
  • SSO – 製品は、SAML と OIDC を使用して Web アプリケーションに SSO を提供する必要があります。製品はまた、Windows/AD に認証し、Windows/AD と統合されていないアプリケーションを保護するために SSO を提供するユーザーの特定のユースケースをサポートする必要があります。製品はまた、BYOI を可能にするために、1 つ以上のソーシャルメディアネットワークからのアイデンティティを使用した AM へのサインオンをサポートしなければなりません。これは OAuth と OpenID Connect のサポートを意味します。

評価基準の一部として、以下のSSO法を分析しました。

    • SAML、OIDC、OAuthなどの最新の認証プロトコルを使用した標準ベースのSSO
    • リバースプロキシのインクルードと使用 (HTTP ヘッダで転送される資格情報を使用)
    • AMツールと対話するためのアプリケーションサーバーエージェントの組み込みと使用
    • パスワードの不正使用と転送技術の利用
    • 認証済みのアプリケーションやユーザーのアプリケーションフローの一部として、認証および認証情報(アクセストークンなど)をAPIに送信すること。
  • セッション管理 – 製品は、ユーザーが 1 つまたは複数のアプリケーションに認証されたときにセッションの状態を維持する機能を提供する必要があります。セッション管理は、製品が確立されたセッションを「認識」するため、SSO を可能にします。また、セッション管理機能は、構成されたポリシー、および管理者が設定した設定(タイムアウトパラメータの使用や、1つまたは複数のセッションからのユーザーのログアウトに基づく設定など)に基づいて、個別または複数のアプリケーションのセッションを終了する機能も提供する必要があります。
  • セキュリティトークンサービス(STS) – 製品は、製品に対する最初のクライアント認証と、それ以降のユーザーによる、異なるセキュリティトークン形式と構文、および異なる認証またはSSOプロトコルを使用するターゲットアプリケーションへのアクセス試行に基づいてSSOを可能にするためのプロトコルとセキュリティトークンの変換を提供する必要があります。
    • ユーザーが本製品または本製品とフェデレートされたIDプロバイダで認証すると、本製品はプロトコルとセキュリティトークンの変換を提供する必要があります。これにより、異なるセキュリティトークンのフォーマットや構文、SSOプロトコルを使用するターゲットアプリケーションへのSSOや属性の送信が可能になります。
    • 認証・承認に関わる API やサービスをターゲットとして保護するために使用される STS は、評価基準で考慮されます。STS の種類には、以下のものがあります。
      • WS-Trust
      • プロキシベースのSTS
      • 資格情報を交換するためのRESTベースのSTS(プロプライエタリ)
      • 資格情報交換のための REST ベースの STS (IETF ドラフト-ietf-OAuth-token-exchange を使用して標準化されたもの)
  • 承認の実施 – 製品は、ディレクトリやデータベースなどの ID リポジトリで利用可能な属性データ、および JSON ウェブ・トークン(JWT)または X.509 認証で送信されるジャストインタイム属性に基づいて、アプリケーションのプライマリ・アクセス・ポイントへのユーザーのアクセスを最低限許可または禁止しなければなりません。また、製品は、管理者がアクセス決定を行い、その決定を強制するために製品が使用するアクセスポリシーを作成、管理し、本番環境に投入できるようにしなければなりません。

評価基準では、以下の機能性を考慮しています。

    • APIへの権限付与をサポートする能力
    • エンドポイントデバイスとソフトウェアからのコンテキスト情報(地理位置情報、インタラクションメトリック、履歴、デバイスの特性、アクセス決定への入力としての日付または時刻、その他のサードパーティソースなど)を使用する能力
    • アプリケーション内のサブオブジェクトに対して、きめ細かな権限付与を実行する能力
    • ルールと属性の複雑な組み合わせを使用してアクセス決定を行う能力
    • ルールベースのポリシーエンジンを強化または代替できるアナリティクスエンジンを使用する能力
    • 外部認証サーバーの統合、拡張可能なアクセス制御マークアップ言語(XACML サーバー)、およびプログラム可能なトリガーを使用する能力
  • AM 機能への開発者のアクセス – ベンダーは、アプリケーションから認証・承認機能の外部化をサポートするために、開発者がアプリケーションから AM ツールを呼び出すことを可能にする一連の API または開発ライブラリを提供しなければなりません。
  • パスワードリセット – この機能は、隣接する市場、特にIGAの製品に多く含まれています。しかし、パスワードリセットの必要性は AM フローの一部として一般的です。AM 製品にパスワードリセット機能が含まれていることは、評価基準で考慮されます。
  • 認証と承認のための UEM シグナル – 一部のベンダーは、UEM を IAM と統合しており、UEM 機能はアクセス決定のレンダリングをサポートするために使用されています。ベンダーが、内部機能または戦略的パートナーを通じて提供するエンドポイント情報とシグナルを自社のコアAM製品に含めることは、評価基準で考慮されます。

このMagic Quadrantでは、以下のことはカバーしていません。

  • 承認および認証ポリシーの決定および実施エンジンを持たない AM オファリング。これには、純粋なユーザ認証製品およびサービス、または純粋なユーザ認証製品として開始され、その後機能的に拡張されて SAML または OIDC を介して SSO をサポートするようになりましたが、セッションを管理したり、認証決定を行うことができない製品が含まれます。
  • オペレーティングシステムおよび/またはPAMをサポートするためだけに設計されたAMオファリング。
  • 主要なユースケース(ワークフォース、B2C、B2B)のすべてをサポートできない、またはサポートするために販売されていないAM製品。例えば、B2Cのユースケースのみをサポートするためにのみ、またはそのほとんどが市場に出回っているCIAMソリューションは除外されます。
  • グローバルに販売・サポートされていないAM製品は、北米・南米、EMEA、アジア・太平洋地域など、主要な市場のすべてにおいて、顧客、販売、サポートが重要な役割を果たしている必要があります。
  • リモートまたはオンプレミスの「管理された」AM – ベンダー自身の知的財産の提供ではなく、顧客が所有するAM製品またはホストされたAM製品の管理を引き継ぐように設計されたサービス。
  • より広範なインフラストラクチャーまたはビジネスプロセスのアウトソーシング契約の一部としてのみ提供されるAM機能。AMは、独立して利用可能で価格設定された製品またはサービスとして提供されなければなりません。
  • APIのフルライフサイクル管理。AM製品ではAPI機能が増加していますが、この機能は通常、APIのフルライフサイクル管理とは対照的に、API保護機能に焦点を当てています。これは他の調査でカバーされている別の市場ですが、隣接する市場です。
  • UEM。一部のAM製品はUEM機能の要素を提供していますが、UEMは別個の市場ですが、他の調査では関連市場として取り上げられています。
  • CASB。一部のAM製品はCASBの機能を提供しています

佳作

商業ベンダー

これらのベンダーはB2E、B2B、B2C AMサービスを提供していますが、このMagic Quadrantの対象基準を満たしていませんでした(個別の顧客の数やグローバルなプレゼンスの有無に関わらず)。

  • Cisco-Duo Security
  • eMudhra
  • Exostar-Pirean
  • Identity Automation
  • i-Sprint Innovations
  • iWelcome
  • OpenText-Covisint
  • Symantec
  • Thales (Gemalto)
  • Transmit Security

オープンソースベンダー

これらのベンダーはAM機能も提供しています。このMagic Quadrantには、分析のためのオープンソースのAMベンダーは含まれません。

  • Gluu
  • Keycloak (Red Hat Single Sign-On)
  • OpenIAM
  • Soffid
  • Shibboleth Consortium
  • WSO2

CIAM専用ベンダー

B2CとB2BのAMサービスのみを提供しているベンダーです。

  • Akamai
  • LoginRadius
  • Salesforce
  • SAP
  • TrustBuilder

評価基準

実行力

ITプロバイダーのパフォーマンスを競争力があり、効率的で効果的なものにし、市場の見解における収益、維持、評判にプラスの影響を与えるプロセス、システム、方法、または手順の品質と有効性についてベンダーを評価します。

製品またはサービス。さまざまな企業向けシステムやクラウドベースのシステムのいずれかと統合できるAMのアーキテクチャ、セキュリティ、機能、品質、機能セット。2019年3月30日時点で一般的に入手可能で文書化されているオファリングを評価します。

また、AM機能の範囲と品質、モバイル・エンドポイントのサポートの充実度、サードパーティのアイデンティティの組み込み、顧客とそのデータの継続性、セキュリティ、プライバシーの確保に役立つことが実証されたコントロールについても評価されました。

これらのサービスの幅広いユースケースや異なるアプリケーション・アーキテクチャへの適用性と適合性を、異なるユーザー・コミュニティ、異なるエンタープライズ・システムやクラウドベースのシステムにまたがって評価しました。

評価基準の要素としては、以下のものがあります。

  • 一般的な製品アーキテクチャ
  • セキュリティ、信頼性、スケーラビリティ、可用性
  • ユーザ認証とアダプティブアクセス
  • 権限付与の実施
  • SSOとセッション管理
  • 規格対応
  • BYOI(ソーシャルメディアのアイデンティティ統合)
  • ユーザー管理機能
  • ロギングとレポート作成
  • クラウドアプリケーションの有効化
  • オンプレミスアプリケーションの有効化
  • APIターゲットの有効化

全体的な実行可能性。ベンダーの全体的な財務の健全性、AM市場での財務的、実際的な成功。また、ベンダーがAMポートフォリオへの投資を継続し、AM市場でのプレゼンスを維持していく可能性も評価され、顧客獲得、競争力、リテンション、導入規模の面での顧客の重要性など、AM市場での成功も評価されました。

販売実行/価格設定。案件管理、プリセールスサポート、付加価値のある再販業者やサードパーティのマネージドサービスプロバイダーを含む販売チャネルの全体的な有効性などの分野におけるベンダーの能力。また、ベンダーの競争上の勝利とビジネスの維持における実績と、さまざまなシナリオにおける価格設定も評価されました。

基準は以下の通りです。

  • 販売実績
  • チャネル別売上高内訳
  • ユースケース別売上高内訳(B2E、B2B、B2C)
  • 競合他社の言及
  • いくつかのシナリオでの価格設定—この下位基準は、大きく重み付けされました。ベンダーは、さまざまなシナリオに適切な割引を使用して、実際の予想取引価格を特定することを強く推奨されました。ベンダー間の同じ機能のコストが低いほど、スコアが高くなります。

市場の応答性/記録。機会の発展、競合他社の行動、顧客ニーズの変化、市場力学の変化に対応し、方向性を変え、柔軟に対応し、競争上の成功を収めるベンダーの能力。この基準では、変化する市場の需要に対応してきたベンダーの歴史も考慮しています。また、さまざまなユースケースで進化する顧客のAMニーズにどのように対応しているか、AMおよび隣接する市場セグメントにおける標準化の取り組みをどのように取り入れているか、関連する規制や法律にどのように対応しているかについても評価されました。

マーケティングの実行。市場に影響を与え、ブランドを促進し、製品の認知度を高め、顧客の心の中に肯定的な識別を確立するために、ベンダーのメッセージを提供するように設計されたプログラムの明快さ、品質、創造性、および有効性。このマインドシェアは、パブリシティ、プロモーション、ソートリーダーシップ、ソーシャルメディア、紹介、販売活動の組み合わせによって駆動することができます。

顧客体験。評価された製品を使って顧客が期待される結果を達成できるようにする製品やサービス、プログラム。具体的には、サプライヤーとバイヤーとの質の高いやりとり、技術サポート、アカウントサポートなどが含まれます。これには、補助ツール、カスタマーサポートプログラム、ユーザーグループの利用可能性、サービスレベル契約なども含まれます。

基準は以下の通りです。

  • 顧客関係とサービス
  • 顧客満足度
  • 参考文献とその他のクライアントからのフィードバック

オペレーション。ベンダーが目標とコミットメントを達成する能力。要因には、ベンダーが効果的かつ効率的に業務を行うことを可能にする組織構造、スキル、経験、プログラム、システム、その他の手段の質が含まれます。


表1:評価基準の実行力

評価基準重み付け
製品またはサービス
全体的な実行可能性
販売実行/価格設定
市場の応答性/記録
マーケティングの実行
顧客体験
オペレーション

 


ビジョンの完成度

アナリストは、バイヤーが求めるものやニーズを理解し、それらのニーズを満たすために製品を提供する際に、ベンダーがどれだけ予測し、理解し、革新的な対応をしているかでベンダーを評価しています。ビジョンの高い完成度を示すベンダーは、市場のバイヤーが直面している課題を理解する能力を示し、バイヤーがそれらの課題を満たすのを助けるために製品の提供を形成するための能力を示しています。

市場の理解。顧客のニーズを理解し、製品やサービスに変換する能力。市場の明確なビジョンを示すベンダーは、顧客の要望に耳を傾け、顧客の要求を理解し、付加的なビジョンをもって市場の変化を形成または強化する高い能力を実証しました。

基準は以下の通りです。

  • 顧客のニーズを理解し、それに応える
  • ベンダーのAM市場の将来に対する意識と対応戦略

マーケティング戦略。明確で差別化されたメッセージングを一貫して社内に発信し、ソーシャルメディア、広告、顧客プログラム、ポジショニングステートメントなどを通じて外部に発信します。

基準は以下の通りです。

  • 成約率
  • リード開発の内訳

販売戦略。直接販売、間接販売、マーケティング、サービス、コミュニケーションなどの適切なネットワークを活用した、ベンダーのAM製品を販売するための健全な戦略。また、そのベンダーが市場へのリーチ、専門知識、技術、サービス、顧客基盤の範囲と深さを拡大するパートナーを持っているかどうかも評価されました。

基準は以下の通りです。

  • 営業組織とパートナーシップ
  • チャネル別売上高内訳
  • 社内営業力向上のためのプログラム

オファリング(製品)戦略。市場での差別化、機能性、方法論、機能を重視した製品開発と提供に対するベンダーのアプローチを、現在および将来の要件に対応させたもの。ベンダーがどのようにしてAM製品やサービスの競争上の差別化を図っていくのか、また、AMや隣接する規格開発への参加状況も評価されました。ベンダーの AM オファリングと戦略が、IAM やその他の市場で現在および計画されている隣接するオファリングにどのように適合しているかを評価しました。

基準は以下の通りです。

  • エンドポイント、アイデンティティ・プロバイダー、ターゲット・リソースのアーキテクチャおよび運用上の変更によって生じる顧客の選択基準とニーズへの対応
  • 特定開発計画
  • その他の戦略要素

ビジネスモデル。継続的な成功を実現するためのベンダーのビジネス提案の設計、ロジック、実行など。

  • AM市場における目的
  • AM市場での差別化
  • 到達したマイルストーン
  • 今後の成長計画

垂直/産業戦略。垂直を含む個々の市場セグメントの特定のニーズを満たすためにリソース(販売、製品、開発)、スキル、製品を指示するための戦略。

基準は以下の通りです。

  • 業種別の顧客内訳
  • 顧客の業種別内訳の推移
  • 業種およびその他のセグメンテーションの戦略

イノベーション。投資、統合、防衛または先制的な目的のために、資源、専門知識または資本を直接、関連、補完的、相乗的に配置すること。市場をリードするイノベーションにおけるベンダーの継続的な実績、特徴的な製品、機能、能力、価格モデルなどの提供を評価しました。2018年1月以降に導入された技術的・非技術的イノベーションと、今後数年間のベンダーのロードマップに注目しました。

基準は以下の通りです。

  • 基盤となるイノベーション
  • 最近のイノベーション(この1年間)
  • 計画的なイノベーション

地理的戦略。その地域や市場に応じて、直接、またはパートナー、チャネル、子会社を通じて、「本国」またはネイティブの地域以外の地域の特定のニーズを満たすために、リソース、スキル、および製品を提供するためのベンダーの戦略。

基準は以下の通りです。

  • 地域別の顧客の内訳(すべての主要市場に対応)
  • 顧客の地域別内訳の推移・変化
  • 地理的範囲の変更戦略
  • グローバルサポート力

表2:ビジョン評価基準の完成度

評価基準重み付け
市場の理解
マーケティング戦略
販売戦略
オファリング(製品)戦略
ビジネスモデル
垂直/産業戦略
イノベーション
地理的戦略

 


クアドラントの説明

リーダー

AM市場のリーダー企業は、一般的に大規模な顧客基盤を持ち、販売とサポートのためのグローバルなプレゼンスを持っています。これらの企業は、現在の顧客のユースケースのニーズに適した機能セットを提供し、市場の新たな問題を解決するための機能を開発しています。また、リーダーは、技術、方法論、または提供手段に関連して予想される要件に対する強力なビジョンと実行の証拠を示し、関連する製品や隣接する製品の集合体においてAMがどのような役割を果たしているかの証拠を示しています。リーダーは通常、全体的なAM能力、販売プロセス、および/または関連するサービスやサポートに対して、顧客の満足度が高いことを示しています。

チャレンジャー

チャレンジャーは、強力な実行力を示し、大きな顧客基盤を持っています。しかし、リーダーのようにAMに対するビジョンの完全性を示しているわけではありません。むしろ、マーケティング、テクノロジー、方法論、提供手段に関するビジョンと実行は、特定の機能、プラットフォーム、地域、サービスに焦点を当てているか、限定されている傾向があります。チャレンジャーのブランド認知度は比較的低いです。チャレンジャーの顧客は比較的満足しています。

ビジョナリー

ビジョナリーのクアドラントのベンダーは、多くのAMクライアントの要件を満たす製品を提供していますが、リーダーのように市場に浸透していない可能性があります。ビジョナリーは、AM技術、方法論、提供手段に対する革新的なアプローチで注目されています。AMをより広範なサービスポートフォリオの重要な一部として捉えている場合もあれば、開発者などの特定の購買層をうまくターゲットにするために、機能性、マーケティング、セールスを提供している場合もあります。これらの企業は多くの場合、独自の機能を持っており、特定の業界や特定のユースケースに焦点を当てている可能性があります。さらに、市場の将来とその中での自分の立ち位置についての強いビジョンを持っています。

ニッチプレーヤー

ニッチプレーヤーは、特定のユースケースに適したAMテクノロジーを提供しています。特定の業界に特化していたり、設置場所が地理的に限定されている場合もありますが、多くの競合他社を凌駕することができます。このクアドラントのベンダーは、他のクアドラントの競合企業に比べて顧客数が比較的少ないことが多いですが、大規模な顧客を抱えている可能性があり、また強力なAM機能セットを持っている可能性もあります。ブランドの認知度は、他の分野のベンダーと比較して低いのが普通です。ビジョンと戦略は、現在の製品の機能改善に留まらないかもしれません。一部のニッチベンダーが提供する価値に対して価格が高すぎると考えられるかもしれません。しかし、このクアドラントに含まれていても、より狭い範囲に焦点を当てたベンダーの価値を否定的に反映しているわけではありません。ニッチなソリューションは、その重点分野において非常に効果的です。

コンテキスト

このMagic Quadrantで評価されたベンダーは、それぞれに異なるバックグラウンドを持っています。バイヤーが持っているすべてのターゲットシステムをサポートできるAMを提供する能力と同様に、ベンダーの経歴も大きく異なっています。また、地域、業界、顧客規模別のセグメンテーションによっても、ベンダーの顧客サービスに対する願望は異なっています。

クライアントは、Magic Quadrantの数字におけるベンダーのポジションを、ベンダーのショートリストを決定するための唯一の情報源として使用しないよう強く注意してください。ベンダーは、複数のユースケース、複数の地域、業界にまたがるAM機能の一般的なセットを提供する能力と、顧客が認識する価格に見合った確かな価値を提供する能力を評価しています。このMagic Quadrantの対象となっているすべてのベンダーは、顧客のニーズを満たす製品とサービスを提供することに成功しています。

ベンダー選定の重要な意思決定要因

SaaS提供またはソフトウェア提供のAM

IDaaSの説明が変更されました。これらのサービスをより曖昧にしない用語としてSaaS-delivered IAMがあると判断し、AMだけでなくIGAやPAMも含めるように拡張し、製品提供の範囲をより広く反映させています。

ソフトウェア提供型IAMは、伝統的に “オンプレミス型IAM “と定義されてきました。しかし、IaaSやPaaS(Platform as a Service)によって、クラウドコンピューティングは従来のデータセンターの延長線上にあり、「オンプレミス」という言葉の意味が薄れてきています。ソフトウェア配信型IAMは、従来のソフトウェアインストールまたは仮想アプライアンスとして、データセンター内のサーバーにローカルにインストールされたもの、IaaSでリモートホストされたもの、またはPaaSのネイティブな一部として提供されたものなど、すべてのシングルテナントソリューションとして提供されるものと定義されています。

SaaS配信型IAM(以前はサービスとしてのIAM [IDaaS])は、ますます広く採用されるようになってきており、実際、新規のAM導入の大部分ではSaaSが好まれる配信方法となっています。SaaS型IAMを選択したバイヤーは、サードパーティに認証・承認サービスや個人情報を管理してもらうことへの懸念を上回るメリットとして、導入の容易さと使いやすさ、価値を生み出すまでの時間、頻繁で消費しやすい機能アップグレードを挙げています(特に従来のソフトウェア・ソリューションを管理するスキルが不足している場合)。

一方で、まだソフトウェアで提供される IAM を購入している IAM リーダーは、標準ベースの SSO をサポートしていないレガシーアプリケーションを持っている可能性が高くなります。これらのアプリケーションは、標準ベースの SSO への変換が難しい場合があり、従来のソフトウェアベースのアクセス・マネージャの製品は、独自のアプリケーション統合技術をサポートするために、ある程度の追加の柔軟性を提供することができます。また、管轄区域内でデータを独占的にホスティングできないサービスや、外国企業が運営するサービスの採用が、管轄区域の規制や政治的な懸念によって制限される場合もあります。

異なる機能要件を満たすためのベンダーの可変能力は別として、AMソリューションを自ら管理することを選択したIAMリーダーは、製品を管理するために必要なスタッフの専門知識を持っている傾向があり、これらのスタッフを維持することができると考えています。ソフトウェアで提供されるAM製品のインストールベースはまだかなりの数があります。しかし、既存のクライアントは、ワークロードを拡張したり、クラウドに移行したりするための代替案を評価しています。このような状況では、SaaS 配信型とソフトウェア配信型 AM ソリューションをブリッジングしてハイブリッドなユースケースを実現することができます。

IAMリーダーは、AMソリューションの運用管理をビジネスの中核に据えるのか、それともその機能をアウトソースするのかを判断しなければなりません。このMagic Quadrantの製品とサービスの評価に、フルSaaS型のAMソリューションを提供するベンダーの主要な能力と、ハイブリッド・デリバリー・モデルのアプローチのためにソフトウェアで提供されるAMコンポーネントで拡張できる柔軟性についての新たな検討を加えました。

ユースケース

このMagic Quadrantでは、ベンダーの製品やサービスを評価する際に、ベンダーが3つの一般的なユースケースすべてをサポートするニーズにどれだけ応えられるかを検討しています。B2E、B2B、B2Cです。

AMの新規購入の第一のドライバーは、ワークフォース・ユーザーがSaaSアプリケーションにアクセスするニーズが続いていますが、CIAMシナリオ(B2C)が大幅に増加しています。B2B向けのトポロジーと、社内システムにアクセスするワークフォース・ユーザー(つまりB2B)が3番目のドライバーとなっています。このMagic Quadrantでカバーしているすべてのベンダーは、これらのユースケースをサポートすることができます。しかし、SaaS対応のユースケースでは、SaaS提供のAMソリューションの方が優れている傾向があります。ベンダーはSaaSベンダーとのコネクションを構築・維持しているため、バイヤーはその必要がありません。クライアントは、B2Cのニーズに対応したSaaS型AMモデルに興味を持つことが多いです。私たちは、クライアントが自社で開発した IAM 機能をコンシューマ向けアプリケーションに置き換え、迅速な価値提供を求めているという問い合わせパターンを観察してきました。クライアントは、消費者のアイデンティティをオンプレミスで保持しなければならないことを、それほど強く感じていないことが多いようです。

顧客がいくつかの重要な要素で顧客を支援できるベンダーを探していることから、CIAM能力の採用に対する顧客の関心が高まっていると見ています。第一に、オンラインでの優れたユーザー体験の力が、混雑した市場での競争力を生み出すことが広く認識されています。多くの国産ソリューションは、デジタルビジネスの時代には効果を失い、新しいチャネル、サイバーセキュリティの脅威の増加、使いやすさへの期待の高まりにより、ビジネスを失ってしまった可能性さえあります。

さらに、プライバシー規制の成長がCIAM採用の成長を後押ししています。EUのGDPRからブラジルの一般データプライバシー法(GDPL)、カリフォルニア州の消費者向けのカリフォルニア州消費者プライバシー法(CCPA)まで、CIAMの採用を後押しするプライバシー規制の重要な部分がいくつかあります。この記事を書いている時点では、米国内だけでも、少なくとも11の州レベルの法案と6つの連邦レベルの法案が検討中です。また、カナダからイギリスなど世界の多くの国では、消費者保護の必要性に対応するためにプライバシー規制を展開しています。

このMagic QuadrantでカバーされているすべてのベンダーがB2C(CIAM)を提供していますが、CIAMのみに特化したベンダーも存在します。これらのCIAMベンダーは、顧客がプライバシー規制に準拠するのを支援するツールを追加しています。しかし、プライバシーコンプライアンスに高度なニーズを持つ顧客は、CIAMツールを成熟した同意・プライバシー管理ツールと統合することを推奨しています。

対象システムのサポート

対象システムの有効化は、ベンダーの差別化の領域です。従来のAMソフトウェアベンダーは、多様な認証アーキテクチャを持つWebアプリケーションをサポートするために、製品にフェデレーション、プロキシ、エージェントアーキテクチャを開発しなければなりませんでした。すべての AM ベンダーは、その配信モデルに関わらず、標準ベースのフェデレーション認証と SSO をサポートしており、ユビキタス SAML のサポートと成熟した OIDC のサポートを提供しています。差別化は、リバース・プロキシや HTTP ヘッダースタイルの認証を必要とするアプリケーションを直接サポートするベンダーの能力に最もよく見られます。また、外部化された AM を容易にサポートできない商用アプリケーションもあり、それらは “エージェント” や “統合キット” で AM ツールに統合されています。

Broadcom (CA Technologies)、IBM、Micro Focus、Ping Identity、Oracle などの従来の AM ソフトウェア・ベンダーは、このようなトリッキーなシナリオをサポートする傾向にありますが、昨年から純粋な SaaSdelivered AM のサポートが成熟してきました。例えば、Oktaはオンプレミスの統合向けに独自のAccess Gateway技術を発表し、他のゲートウェイベンダーとの既存のパートナーシップを引き続きサポートしています。OneLoginは、レガシーアプリの統合のために、Unified Access Management Access製品でAccess EPを提供しています。Microsoftは、フェデレーションやリバースプロキシを使用して顧客のアプリケーションにAMを提供することもできます。ただし、認証と承認のためにHTTPヘッダで専有情報を送信するように設計されているアプリケーションについては、Ping IdentityのPingAccess製品に依存しています。

レガシーなWebアプリケーションのサポートを必要とするクライアントは、AMツールベンダーがあらゆる種類のターゲットアプリケーションをサポートできることを保証することに、ベンダーの評価と概念実証に焦点を当てるべきです。

特に多数のアプリケーションと多様なアプリケーション・アーキテクチャを持つ組織が、それらのアプリケーショ ン、そのユースケース、およびアーキテクチャのインベントリを取るための体系的なアプローチをとることを推奨しています。この演習の結果、IAMリーダーは、ニーズを満たすための代替製品を評価できるようになります。

IoTとAM

AMツールは、ソースおよびターゲットのエンドポイントとしてさまざまなデバイスをサポートする必要があり、このサポートはIoTデバイスのサポートにまで広がり始めています。デバイス、特にスマートデバイスの普及は、AMベンダーに課題を与えると同時に、チャンスを与えています。最初の課題の一つは、ネイティブ・モバイル・アプリケーション、シングルページ・アプリケーション、ハイブリッド・アプリケーションなどの新しいアプリケーション・アーキテクチャをサポートすることでした。AMベンダーは、OAuth2やOIDCをサポートしたり、AMサービスでプログラミングライブラリやAPIを提供したりすることで、これを実現してきました。デバイスの拡散という課題に伴う機会は、ベンダーがアクセス決定を行うための入力として、さまざまなデバイスの姿勢データポイントやコンテキストを使用し始めていることです。これは、悪質な行為者がユーザーを危険にさらすことをより困難にする追加機能を提供しています。

現在、ほとんどのAMツールは、人とそのスマートデバイス、およびアクセスされなければならないターゲットリソースの関係をサポートするためにアクセスを管理する必要がある基本的なユースケースを扱うことができます。しかし、制約のあるデバイスや、ゲートウェイやコントローラなどのデバイス仲介者との相互作用を組み込むことは、依然としてニッチな追求です。

  • ForgeRock には、下流のデバイスやコントローラをプラットフォームに統合するために設計されたエッジゲートウェイがあります。
  • EvidianはSiemensと提携してIoT機能を開発しています。
  • Broadcomは、本番のIoTアプリケーションをいくつか持っています。
  • Ping Identity、Microsoft、Oracleは、このアプリケーションを積極的に模索しています。

今後3年間で、IoTをより広くサポートするためのプロトコルやポリシー決定能力を備えた製品やサービスを実現するAMベンダーが増えると予想しています。

CARTA

SaaS アプリケーションの採用からデータセンターへの移行、IaaS への移行、そして人々の働き方を変えることに焦点を当てたデジタルトランスフォーメーションまで、クラウドコンピューティングの驚異的な成長は、セキュリティのダイナミックな変化をもたらしました。これらの要因により、セキュリティは境界線ベースのアプローチから、アイデンティティ・コンテキストベースのアプローチへとシフトしています。しかし、AM市場では、継続的な評価アプローチを成熟させるような開発への対応が遅れています。最新のアイデンティティ・プロトコルは、CARTAアプローチの完全なサポートを提供する点で改善され続けているため、AMツールは、WAF、CASB、および他の補完的なプラットフォームとの統合のような追加の制御を追加する必要があります。これは、包括的な適応型アクセスをサポートし、継続的な認証と継続的な承認につながる継続的なリスクスコアリングを確立するのに十分な情報と信号を得ることです。

「アダプティブ」アプローチを主張する多くの認証ベンダーは、単純なルールベースの条件付き認証のみを提供したり、特定の攻撃や身元リスクの高まりを示す「ネガティブ」なシグナルを無視して、「親しみのシグナル」を提供するコンテキストデータのみを評価したりしています。

条件付きアクセス制御と適応型アクセス制御や継続型アクセス制御を区別することは基本的なことです。すべてのインタラクション/トランザクションに対して CARTA を有効にするために、ユーザー/顧客のセッション管理を提供する AM または詐欺防止ツールと並行して ID 照合を実装することを推奨しています。

このMagic Quadrantにおけるベンダーの製品およびサービスを評価し、CARTAのための組み込み型または統合型のID認証機能を提供するAMソリューションを提供するベンダーの主な能力について新たな考察を加えました。

すべてのAMツールは、ユーザーが特定の静的属性値を関連付けられた特定のセットを持っている場合や、特定のターゲットシステムにアクセスする際にステップアップ認証を必要とする粗視化された基本的な機能を持っています。例えば、ユーザがアクセス管理者によって使用されている下敷きディレクトリ内のファイナンスグループのメンバーである場合、AMシステムは、それらのユーザのみにアプリケーションへのアクセスを許可し、ユーザに再認証を強制することができます。そうでなければ、ファイナンスシステムにアクセスする際にパスワードよりも強力なもので認証することができます。これらは重要な機能です。

しかし、オンライン詐欺や悪意のあるアクセスが増加している今日の環境では、それだけでは十分ではありません。ほとんどのAMベンダーは、日付や時間などの文脈情報、ブラウザやソフトウェアの特性などのエンドポイント情報、IPアドレスや実際の地理的位置情報をアクセス判断の入力として使用することができます。これは現在、ベンダーによって「条件付き」アクセスとより正確に表現されるようになっています。

真に適応的なアプローチを採用するために、少なくともこれら3つのニーズに対応できるAMベンダーの能力を評価しました。

  • 上述したように、コンテキストベースの「条件付き」アクセス制御。
  • アプリケーションとリスクコンテキスト情報の他のソース間の統合。これは、外部化された認証アーキテクチャ(OFA、CASB)、アプリケーションのラッパーとプロトコルの解釈、WAF、ゼロトラストネットワークアクセス(ZTNA、以前はソフトウェア定義された境界線)、またはAPIゲートウェイを介して提供することができます。
  • 継続性。すべてのセッションを通じて、すべてのインタラクションに対してリスクと信頼性が自動的に評価され、アプリケーションとの統合によってのみ実現します。

AM ツールは、サードパーティ製ツールとのオープンな統合やデータ交換をサポートする必要があります。また、入力を消費し、適応的な応答を行うための複雑なパスをマッピングできる柔軟なワークフローを推奨します。たとえば、Auth0と現在のOktaはプログラミングの拡張機能とルールである「フック」を使用し、ForgeRockは認証ツリーを使用します。どちらの例も、入力を消費する複雑なアプローチに対応する機能を有効にし、適応応答を有効にします。

API保護とライフサイクル管理

デジタルトランスフォーメーションやアプリケーションのリアーキテクチャーに対する需要が増加しており、それが組織内でのIAMの購買パターンに影響を与えています。IAMの意思決定は、IAMリーダーシップ・チームとソフトウェア・エンジニアリング・チームの間で共有され始めています。開発者は、社内アプリ、サービス、メッシュの構築プロセスをリードしており、それらすべてに追従できるAMツールが必要です。

企業アーキテクトは、セキュリティのベストプラクティスを標準化して展開しながら、AMツールに関連するよりアジャイルなDevOpsプロセスを採用する重要な仕事をしています(ここでは、ForgeRock、Auth0、Keycloak、IdentityServer4、およびCurityの出番です)。そのためには、AMベンダーは、アプリケーションからAMツールを呼び出すことができるAPIや開発ライブラリのセットを最低でも提供しなければなりません。そして、理想的には、このMagic Quadrant のAMベンダーは、埋め込まれたAPI、または完全なAPIゲートウェイとの統合パートナーシップを通じて、API保護のための明確な戦略を提供する必要があります。

組織が API を通じてより多くのサービスを公開するにつれ、その背後にある API とサービスを保護する必要性が高まっています。API保護は、フルライフサイクルAPI管理製品やサービスのコンポーネントであるAPIゲートウェイの領域となっています。APIゲートウェイは、呼び出し側のサービスやアプリケーションとターゲットAPIの間に配置されます。これらのツールは、トークンとプロトコル変換、認証、承認、脅威検知、データプライバシー、トラフィックと品質のサービス管理、サービスルーティングなど、多くの機能を提供しています。

AMツールが組み込みAPI保護機能を提供しないほとんどの顧客環境では、高度なセキュリティを提供するためにAPIゲートウェイが統合されている場合があります。AMツールはユーザーのセッションを処理し、APIゲートウェイは一般的には処理しません。このツールの組み合わせにより、ウェブアプリケーションは、ユーザー認証、SSO、およびセッション管理をAMツールにオフロードすることができます。アプリケーションがAPIを呼び出す必要がある場合(例えば、トランザクションを完了するために)、リクエストは、ユーザー属性とセキュリティトークンと共に、APIゲートウェイに送信され、APIアクセスを許可するか否かを解析して評価されます。

AM市場では、AM製品内でいくつかのAPI保護機能を扱うように進化しています。例えば、Ping Identity と ForgeRock は、基本的な API 認証、承認、トラフィックの絞り込みを実行する機能をツールセットに備えており、Ping Identity は、PingIntelligence for APIs でこの分野のセキュリティ機能を拡張しました。また、Okta は、API AM サービス・コンポーネントを導入しました。しかし、ほとんどの購買組織は、ゲートウェイが提供する付加価値と機能性を理由に、AMとフル機能のAPIゲートウェイを混合して使用し続けるでしょう。

パスワード認証のみをサポートするSaaS配信およびIaaSホストのAM保護ターゲットシステムに関するセキュリティ上の懸念

パスワードの保管と転送は、静的なユーザ名とパスワードを使用したフォームベースの認証とも呼ばれ、統合された SSO 標準をサポートしていないターゲットアプリケーションをサポートするために AM ベンダーが顧客に提供する機能セットです。AMの購入者は、ほとんど、またはすべてのアプリでSSOの利便性をユーザーに提供するために、パスワードの保管と転送を活用したいと考えるのが一般的です。一般的に広く使われているSaaSアプリケーションは、セキュリティ・トークン(パスワードではなく)をターゲット・システムに送信するフェデレーションをサポートしています。また、フェデレーション・アーキテクチャは、AMツールやサービスがユーザーとアプリケーションの間にあることを意味しており、サインオン・シーケンスの一部としてMFAやアダプティブ・アクセス・コントロールを活用することができます。残念ながら、小規模なSaaSアプリケーション・ベンダーのロングテールはフェデレーションをサポートしていません。

AM ベンダーは、安静時にパスワードデータを暗号化しているため、攻撃者が暗号化されたデータにアクセスすることは困難ですが、不可能ではありません。「王国への鍵」が失われる可能性があるため、AMベンダー(特にSaaS型AM製品のベンダー)が提供するパスワード・ボールトやフォワード機能を使用しないことを推奨しています。その代わりに、可能な限り、標準ベースのフェデレーションを使用すべきです。

しかし、残りのパスワードベースのアプリについては、多くの組織は、パスワードの保管と転送を通じてユーザーに利便性を提供することに耐えられない圧力を感じることになるでしょう。追加の認証方法やアダプティブ・アクセスを使用することで、エンドポイント・デバイスやネットワークの脆弱性を利用したいくつかのタイプの攻撃は緩和されますが、中央に保持されているパスワード・データが漏洩した場合には、何の役にも立ちません。残念ながら、パスワードは弱い認証方法です。パスワード認証を使用してSSOを許可することを選択している組織は、潜在的なパスワード漏洩のリスクを受け入れています。

パスワード認証のみの代替手段として、標準ベースのフェデレーションをサポートするようアプリケーションベンダーに働きかけることを強く推奨しています。これらの組織はまた、違反が発生した場合、ユーザーのアカウントとパスワードをリセットするための手順を維持し、テストする必要があります。

市場の概要

このMagic Quadrant は、以下のような傾向を含むAMの市場状況に対応して作成されました。

  • AM市場は、ユーザー認証方法の多様化、IoTデバイスへの基本的なアクセスの管理、コンテクストに基づくよりインテリジェントな適応アクセス、モバイルコンピューティング、APIターゲットサービスなどをより良くサポートするために進化してきました。これらの機能セットは2019年も成熟を続けます。
  • AMをサービスとして開発したベンダーの人気が高まっています。北米に拠点を置くクライアントの90%以上、ヨーロッパやアジア太平洋地域の国々では約65%が、AMの新規購入においてもSaaS提供モデルを求めていると推定しています。これは、アジリティ、新機能への迅速な対応、継続的なソフトウェア・アップグレードの排除、サポートされるインフラストラクチャの削減、その他市場で実証されているSaaS対ソフトウェアのメリットを好むことを示しています。
  • 従来のソフトウェアやアプライアンスベースのAMソリューションしか提供していなかった大手ベンダーやその他のベンダーは、AMツールのオプションとしてSaaS配信モデルを提供するようになりました。

このMagic Quadrantでは、14社のベンダーのうち10社がAMをSaaSとして提供しており、唯一のデリバリーモデルとして、またはオプションとして提供しています。

  • サービスとしてのみ:Idaptive、Microsoft、Okta、OneLogin、Auth0 (管理されたサービスも提供)
  • ソフトウェアまたはSaaSで提供されるAM:ForgeRock(SaaS向けCIAMのみ)、IBM、Oracle、Ping Identity、Optimal IdM。
  • ソフトウェアとしてのみ:Broadcom (CA Technologies)、Micro Focus、Evidian、および SecureAuth。これらのベンダーは、これらの製品をマネージドサービスまたはホストサービスとして提供できるパートナーを持っています。

このMagic QuadrantでカバーしているベンダーのAM市場の売上高を、2018年末時点で14億ドルと推定しています。読者の皆様、特に投資家の皆様には、この収益予測を、市場で利用可能なすべてのAM製品やサービスを会計処理していると解釈しないようご注意ください。このMagic Quadrantに含まれていない多くのベンダーは、少なくとも部分的な要件を満たすことができます。例えば、顧客が認証の実施を必要としない場合には、ユーザー認証とSSOを提供することで、顧客の要求を満たすことができます。

根拠

  • ベンダー調査
  • 参考になるインタビュー
  • Peer insights
  • 二次資源サービス

評価基準の定義

実行力

製品/サービス。ベンダーが定義された市場に向けて提供する中核的な商品とサービス。これには、市場定義で定義され、下位基準で詳述されているように、ネイティブで提供されているか、OEM契約/パートナーシップを通じて提供されているかに関わらず、現在の製品/サービスの能力、品質、機能セット、スキルなどが含まれます。

全体的な実行可能性。実行可能性とは、組織全体の財務健全性、事業部の財務的・実務的成功、個々の事業部が製品への投資を継続し、製品の提供を継続し、組織の製品ポートフォリオの中で最先端の技術を発展させる可能性を評価することです。

販売の実行/価格設定。すべてのプリセールス活動におけるベンダーの能力とそれをサポートする構造。これには、ディールマネジメント、価格設定と交渉、プリセールスサポート、販売チャネルの全体的な有効性が含まれます。

市場対応力/記録。機会の発展、競合他社の行動、顧客のニーズの変化、市場のダイナミクスの変化に対応し、方向性を変え、柔軟に対応し、競争上の成功を収める能力。この基準はまた、ベンダーの対応力の歴史を考慮します。

マーケティングの実行。市場に影響を与えるために組織のメッセージを提供するように設計されたプログラムの明快さ、質、創造性および有効性は、ブランドおよびビジネスを促進し、プロダクトの意識を高め、バイヤーの心の中でプロダクト/ブランドおよび組織との肯定的な同一証明を確立します。この「マインドシェア」は、宣伝、プロモーションの取り組み、思考のリーダーシップ、口コミや販売活動の組み合わせによって駆動することができます。

顧客体験。顧客が評価された製品で成功することを可能にする関係、製品、サービス/プログラム。具体的には、顧客がテクニカルサポートやアカウントサポートを受ける方法が含まれます。これには、補助ツール、カスタマーサポートプログラム(およびその品質)、ユーザーグループの利用可能性、サービスレベル契約なども含まれます。

オペレーション。組織がその目標とコミットメントを達成する能力。要因には、組織が継続的に効果的かつ効率的に運営することを可能にするスキル、経験、プログラム、システム、およびその他の乗り物を含む組織構造の質が含まれます。

ビジョンの完成度

市場の理解。バイヤーの欲求とニーズを理解し、それらを製品やサービスに変換するためのベンダーの能力。ビジョンの最高度を示すベンダーは、バイヤーの欲求やニーズに耳を傾け、理解しており、その付加されたビジョンでそれらを形にしたり、強化したりすることができます。

マーケティング戦略:明確で差別化された一連のメッセージは、組織全体で一貫して伝達され、Webサイト、広告、顧客プログラム、およびポジショニングステートメントを通じて外部化されます。

販売戦略。市場へのリーチ、スキル、専門知識、技術、サービス、顧客基盤の範囲と深さを拡大する直接・間接の販売、マーケティング、サービス、コミュニケーションの関連会社の適切なネットワークを活用した製品販売の戦略。

オファリング(製品)戦略。差別化、機能性、方法論、および機能セットを現在および将来の要件に対応させることに重点を置いた製品開発と提供に対するベンダーのアプローチ。

ビジネスモデル。ベンダーの根底にあるビジネス提案の健全性と論理。

垂直/産業戦略:垂直市場を含む個々の市場セグメントの特定のニーズを満たすためにリソース、スキル、および製品を方向付けるベンダーの戦略。

イノベーション。投資、統合、防御または先制的な目的のための資源、専門知識または資本の直接、関連、補完的、相乗的なレイアウト。

地理的戦略。リソース、スキル、および提供物を「本国」または本国以外の地域の特定のニーズを満たすために、直接、またはその地域および市場に適したパートナー、チャネル、および子会社を介して指示するためのベンダーの戦略。

 

コメント

タイトルとURLをコピーしました