ロリポップ固定IPアクセス byGMOペパボ
SaaSの「IP許可リスト方式」と「IDaaS条件付きアクセス方式」、どちらで守る?比較と使い分け

SaaSの「IP許可リスト方式」と「IDaaS条件付きアクセス方式」、どちらで守る?比較と使い分け

サービスの選び方

SaaSのアクセス制御を強化しようとすると、必ず突き当たるのが「どの方式で守るか」という選択です。大きく分けると、**各SaaSに直接IP制限をかける「IP許可リスト方式」**と、**IDaaS(Identity as a Service)で全SaaSのアクセスを一括制御する「条件付きアクセス方式」**の2つがあります。どちらも有効ですが、コスト・運用負荷・制御の柔軟性が大きく異なり、自社の規模や予算によって最適解が変わります。

この記事では、2つの方式のメリット・デメリットを比較表で整理し、規模・予算別の使い分けを提案します。結論を先に述べると、小〜中規模では「IP許可リスト方式」がコスト効率に優れ、規模が大きくなりSaaSが増えるほど「IDaaS条件付きアクセス方式」が有利になります。そして重要なのは、どちらの方式を選んでも「固定IP」が土台になるという点です。この記事を読めば、自社がどちらを選ぶべきか、判断軸が明確になります。

まず用語を整理する:IP許可リスト・条件付きアクセス・IDaaS

混同しやすい3つの言葉を整理します。

つまり、「IP許可リスト」はネットワークの単一条件、「条件付きアクセス」はIDaaSが提供する複数条件の制御機能、という関係です。本記事ではこの2つの方式を比較します。

方式1:IP許可リスト方式(各SaaSに直接IP制限をかける)

仕組み

利用している各SaaSの管理画面で、それぞれ「許可するIPアドレス」を登録し、許可IP以外からのアクセスを遮断する方式です。SalesforceのログインIP制限、Microsoft 365の信頼できる場所、Google WorkspaceのIP制御など、SaaSごとに設定します。

メリット

デメリット

方式2:IDaaS条件付きアクセス方式(一括制御)

仕組み

各SaaSへのログインをIDaaS経由のSSOに集約し、IDaaSの条件付きアクセスポリシーで「IP・デバイス・時間帯」などの条件を一元的に制御する方式です。ユーザーはIDaaSに一度ログインすれば、連携した各SaaSへ自動でログインできます。

メリット

デメリット

比較表:IP許可リスト方式 vs IDaaS条件付きアクセス方式

比較項目 IP許可リスト方式 IDaaS条件付きアクセス方式
制御の単位 SaaSごとに個別設定 IDaaSで一括設定
制御できる条件 IPアドレス(接続元)中心 IP・デバイス・時間帯・役割など複数
追加コスト 低い(SaaS標準機能を活用) ユーザー単位の月額が発生
導入の手軽さ 高い(設定するだけ) 設計・連携に知識が必要
SaaS増加時の運用負荷 比例して増える 増えにくい
ID管理・棚卸し SaaSごとに手作業 IDaaSで一元化・自動化
向く規模 小〜中規模/SaaS数が少ない 中〜大規模/SaaS数が多い
共通の前提 接続元の固定IPが土台 信頼できる場所(固定IP)が土台

どちらにも共通する土台:固定IP

ここで重要なのは、どちらの方式を選んでも「接続元の固定IP」が土台になるという点です。

ところが、在宅勤務・複数拠点・業務委託では接続元IPが変わり続けます。動的IPの自宅回線、拠点ごとに異なるIP、把握できない委託先の環境——これらを放置したままでは、どちらの方式もIP条件が機能しません。

そこで、クラウド型の固定IPサービスで全員の接続元を1つに統一することが、両方式に共通する出発点になります。「ロリポップ!固定IPアクセス」はWireGuardを採用したVPN型のサービスで、どこからでも同じ固定グローバルIPでアクセスできます。申込当日から使え、工事や専門知識は不要です。1つの固定IPに複数ライセンスを紐づけられるため、全社員(外部メンバー含む)の接続元を1つに統一できます。

規模・予算別の使い分け

小〜中規模/SaaS数が少ない/予算が限られる → IP許可リスト方式

利用するSaaSが数個程度で、専任の情シスがいない、または予算を抑えたい場合は、IP許可リスト方式が現実的です。固定IPで接続元を統一し、各SaaSの許可リストにその1つのIPを登録するだけで、低コストに接続元の制御を実現できます。MFAを併用すれば、十分な多層防御になります。

中〜大規模/SaaS数が多い/専任担当がいる → IDaaS条件付きアクセス方式

利用SaaSが10種類を超え、ID管理・棚卸しの手間が無視できなくなってきたら、IDaaSへの移行を検討する段階です。SSOとプロビジョニングで運用を自動化し、条件付きアクセスでIP以外の条件も含めた高度な制御を一元化できます。この場合も、条件付きアクセスの「信頼できる場所」として固定IPを登録すれば、より厳格な制御が可能になります。

移行期 → 併用も可能

「重要なSaaSはIDaaSに集約しつつ、IDaaS非対応のSaaSは個別にIP制限をかける」という併用も現実的です。いずれの構成でも、接続元の固定IPを共通基盤として持っておけば、移行や追加がスムーズに進みます。

よくある質問(FAQ)

Q. IDaaSを入れればIP制限は不要ですか?

A. いいえ。IDaaSの条件付きアクセスでもIPアドレスは重要な条件として使われます。むしろ「信頼できる場所(固定IP)」を前提に、社外からのアクセス時のみMFAを要求するといった運用が定番です。IP制限とIDaaSは対立する選択肢ではなく、IPは土台として活きます。

Q. 固定IPはどちらの方式でも必要ですか?

A. はい。IP許可リスト方式では「許可IP」として、IDaaS方式では「信頼できる場所」として、いずれも接続元の固定IPが土台になります。先に固定IPで接続元を統一しておくと、どちらの方式にもスムーズに移行できます。

Q. 小規模ですが、最初からIDaaSを入れるべきですか?

A. SaaS数が少なく予算が限られるなら、まずはIP許可リスト方式+MFAで始めるのが費用対効果に優れます。SaaSが増え、ID管理の手間が重くなってきた段階でIDaaSを検討すると無駄がありません。

Q. IDaaSが障害を起こすと全SaaSにログインできなくなりませんか?

A. その可能性はあります。IDaaSは利便性が高い反面、単一障害点になりうる点に注意が必要です。重要SaaSには個別のIP制限も併用しておくと、リスクを分散できます。

まとめ

SaaSのアクセス制御は、「IP許可リスト方式」と「IDaaS条件付きアクセス方式」の2つに大別されます。

そして、どちらの方式でも「接続元の固定IP」が共通の土台です。在宅・複数拠点・業務委託で接続元がバラつく現代だからこそ、まず固定IPで全員の接続元を統一しておくことが、いずれの方式を選んでも効果を発揮する出発点になります。

ロリポップ!固定IPアクセスでできること

「ロリポップ!固定IPアクセス」は、GMOペパボが提供するWireGuard採用のVPN型固定IPサービスです。

関連記事(内部リンク)

おすすめの記事

どこからでも簡単に
固定IPアドレスでアクセス

導入相談