SaaSのアクセス制御を強化しようとすると、必ず突き当たるのが「どの方式で守るか」という選択です。大きく分けると、**各SaaSに直接IP制限をかける「IP許可リスト方式」**と、**IDaaS(Identity as a Service)で全SaaSのアクセスを一括制御する「条件付きアクセス方式」**の2つがあります。どちらも有効ですが、コスト・運用負荷・制御の柔軟性が大きく異なり、自社の規模や予算によって最適解が変わります。
この記事では、2つの方式のメリット・デメリットを比較表で整理し、規模・予算別の使い分けを提案します。結論を先に述べると、小〜中規模では「IP許可リスト方式」がコスト効率に優れ、規模が大きくなりSaaSが増えるほど「IDaaS条件付きアクセス方式」が有利になります。そして重要なのは、どちらの方式を選んでも「固定IP」が土台になるという点です。この記事を読めば、自社がどちらを選ぶべきか、判断軸が明確になります。
まず用語を整理する:IP許可リスト・条件付きアクセス・IDaaS
混同しやすい3つの言葉を整理します。
- IP許可リスト(IPアローリスト):「許可したIPアドレスからのアクセスだけを通す」ネットワークレベルの単一条件による制御。多くのSaaSが標準またはオプションで備えています。
- 条件付きアクセス:IPアドレスに加え、デバイスの種類(会社支給PCのみ等)、時間帯、ユーザーの役割などの複数条件を組み合わせて、アクセスを動的に制御する仕組み。
- IDaaS:クラウド経由でID管理・認証を一元提供するプラットフォーム。SSO(シングルサインオン)、MFA、プロビジョニング、そして上記の条件付きアクセスなどを包括的に提供します。
つまり、「IP許可リスト」はネットワークの単一条件、「条件付きアクセス」はIDaaSが提供する複数条件の制御機能、という関係です。本記事ではこの2つの方式を比較します。
方式1:IP許可リスト方式(各SaaSに直接IP制限をかける)
仕組み
利用している各SaaSの管理画面で、それぞれ「許可するIPアドレス」を登録し、許可IP以外からのアクセスを遮断する方式です。SalesforceのログインIP制限、Microsoft 365の信頼できる場所、Google WorkspaceのIP制御など、SaaSごとに設定します。
メリット
- 追加サービス不要・低コスト:多くのSaaSが標準機能としてIP制限を備えており、別途IDaaSを契約しなくても始められます。
- シンプルで分かりやすい:「許可IP以外は弾く」という単純なルールで、設定・理解ともに容易です。
- ネットワークレベルで遮断:そもそもログイン画面にたどり着く前に弾けるため、ブルートフォース攻撃やフィッシング経由の不正ログイン試行を入口で防げます。
デメリット
- SaaSの数だけ設定が必要:利用SaaSが増えると、1つずつIP制限を設定・更新する手間が比例して増えます。
- IP制限機能のないSaaSがある:すべてのSaaSがIP制限に対応しているとは限りません。
- IP以外の条件は制御しにくい:デバイスや時間帯など、IP以外の細かな条件制御には向きません。
方式2:IDaaS条件付きアクセス方式(一括制御)
仕組み
各SaaSへのログインをIDaaS経由のSSOに集約し、IDaaSの条件付きアクセスポリシーで「IP・デバイス・時間帯」などの条件を一元的に制御する方式です。ユーザーはIDaaSに一度ログインすれば、連携した各SaaSへ自動でログインできます。
メリット
- 一元管理:1つのポリシーを設定すれば、連携した全SaaSに横断的に適用できます。SaaSが増えても設定の手間が増えにくい構成です。
- 複数条件の動的制御:IPだけでなく、デバイス・時間帯・ユーザーの役割などを組み合わせた高度な制御が可能です。
- ID管理・棚卸しが効率化:入退社時のアカウント付与・削除をIDaaS側で一括処理でき、退職者アカウントの放置リスクを下げられます。
デメリット
- 追加コストがかかる:IDaaSは1ユーザーあたり月額数百円程度の利用料が発生します(製品により異なります)。
- 導入・設計の難易度:SSO連携の設計やポリシー設計に一定の知識が必要で、専任担当がいないと運用が重くなる場合があります。
- IDaaS自体が単一障害点になりうる:IDaaSに障害が出ると、連携する全SaaSのログインに影響する可能性があります。
比較表:IP許可リスト方式 vs IDaaS条件付きアクセス方式
| 比較項目 | IP許可リスト方式 | IDaaS条件付きアクセス方式 |
|---|---|---|
| 制御の単位 | SaaSごとに個別設定 | IDaaSで一括設定 |
| 制御できる条件 | IPアドレス(接続元)中心 | IP・デバイス・時間帯・役割など複数 |
| 追加コスト | 低い(SaaS標準機能を活用) | ユーザー単位の月額が発生 |
| 導入の手軽さ | 高い(設定するだけ) | 設計・連携に知識が必要 |
| SaaS増加時の運用負荷 | 比例して増える | 増えにくい |
| ID管理・棚卸し | SaaSごとに手作業 | IDaaSで一元化・自動化 |
| 向く規模 | 小〜中規模/SaaS数が少ない | 中〜大規模/SaaS数が多い |
| 共通の前提 | 接続元の固定IPが土台 | 信頼できる場所(固定IP)が土台 |
どちらにも共通する土台:固定IP
ここで重要なのは、どちらの方式を選んでも「接続元の固定IP」が土台になるという点です。
- IP許可リスト方式では、各SaaSの許可リストに登録する「許可IP」が必要です。社員の接続元IPがバラバラだと登録できず、許可範囲を広げすぎると形骸化します。
- IDaaS条件付きアクセス方式でも、「信頼できる場所(IPアドレス)」を条件に使うのが一般的です。たとえばMicrosoft Entra IDの条件付きアクセスでは、信頼できるIPからのアクセス時はMFAを省略し、社外からのアクセス時のみMFAを要求する、といった運用が定番です。この「信頼できる場所」を成立させるには、全員が同じ固定IPを経由している必要があります。
ところが、在宅勤務・複数拠点・業務委託では接続元IPが変わり続けます。動的IPの自宅回線、拠点ごとに異なるIP、把握できない委託先の環境——これらを放置したままでは、どちらの方式もIP条件が機能しません。
そこで、クラウド型の固定IPサービスで全員の接続元を1つに統一することが、両方式に共通する出発点になります。「ロリポップ!固定IPアクセス」はWireGuardを採用したVPN型のサービスで、どこからでも同じ固定グローバルIPでアクセスできます。申込当日から使え、工事や専門知識は不要です。1つの固定IPに複数ライセンスを紐づけられるため、全社員(外部メンバー含む)の接続元を1つに統一できます。
規模・予算別の使い分け
小〜中規模/SaaS数が少ない/予算が限られる → IP許可リスト方式
利用するSaaSが数個程度で、専任の情シスがいない、または予算を抑えたい場合は、IP許可リスト方式が現実的です。固定IPで接続元を統一し、各SaaSの許可リストにその1つのIPを登録するだけで、低コストに接続元の制御を実現できます。MFAを併用すれば、十分な多層防御になります。
中〜大規模/SaaS数が多い/専任担当がいる → IDaaS条件付きアクセス方式
利用SaaSが10種類を超え、ID管理・棚卸しの手間が無視できなくなってきたら、IDaaSへの移行を検討する段階です。SSOとプロビジョニングで運用を自動化し、条件付きアクセスでIP以外の条件も含めた高度な制御を一元化できます。この場合も、条件付きアクセスの「信頼できる場所」として固定IPを登録すれば、より厳格な制御が可能になります。
移行期 → 併用も可能
「重要なSaaSはIDaaSに集約しつつ、IDaaS非対応のSaaSは個別にIP制限をかける」という併用も現実的です。いずれの構成でも、接続元の固定IPを共通基盤として持っておけば、移行や追加がスムーズに進みます。
よくある質問(FAQ)
Q. IDaaSを入れればIP制限は不要ですか?
A. いいえ。IDaaSの条件付きアクセスでもIPアドレスは重要な条件として使われます。むしろ「信頼できる場所(固定IP)」を前提に、社外からのアクセス時のみMFAを要求するといった運用が定番です。IP制限とIDaaSは対立する選択肢ではなく、IPは土台として活きます。
Q. 固定IPはどちらの方式でも必要ですか?
A. はい。IP許可リスト方式では「許可IP」として、IDaaS方式では「信頼できる場所」として、いずれも接続元の固定IPが土台になります。先に固定IPで接続元を統一しておくと、どちらの方式にもスムーズに移行できます。
Q. 小規模ですが、最初からIDaaSを入れるべきですか?
A. SaaS数が少なく予算が限られるなら、まずはIP許可リスト方式+MFAで始めるのが費用対効果に優れます。SaaSが増え、ID管理の手間が重くなってきた段階でIDaaSを検討すると無駄がありません。
Q. IDaaSが障害を起こすと全SaaSにログインできなくなりませんか?
A. その可能性はあります。IDaaSは利便性が高い反面、単一障害点になりうる点に注意が必要です。重要SaaSには個別のIP制限も併用しておくと、リスクを分散できます。
まとめ
SaaSのアクセス制御は、「IP許可リスト方式」と「IDaaS条件付きアクセス方式」の2つに大別されます。
- IP許可リスト方式:低コスト・シンプル。小〜中規模/SaaS数が少ない場合に有利。
- IDaaS条件付きアクセス方式:一元管理・高度な制御。中〜大規模/SaaS数が多い場合に有利。
そして、どちらの方式でも「接続元の固定IP」が共通の土台です。在宅・複数拠点・業務委託で接続元がバラつく現代だからこそ、まず固定IPで全員の接続元を統一しておくことが、いずれの方式を選んでも効果を発揮する出発点になります。
ロリポップ!固定IPアクセスでできること
「ロリポップ!固定IPアクセス」は、GMOペパボが提供するWireGuard採用のVPN型固定IPサービスです。
-
どこからでも同じ固定グローバルIPでアクセス:在宅・複数拠点・外部メンバーを問わず接続元を統一。IP許可リストにもIDaaSの信頼できる場所にも、1つのIPを登録するだけ。
-
申込当日から利用可・工事不要:専門知識がなくても導入できます。
-
専有の固定IPを複数人で共有:1つのIPに複数ライセンスを紐づけ、複数人・複数端末で利用可能(1ライセンスの同時接続は1台)。ライセンスは1単位で増減できます。
-
料金:ライト 月額490円(税込539円)〜、スタンダード 10ライセンス〜=月額4,500円(税込4,950円)〜。最大2ヶ月無料(1つ目の固定IP・上限10ライセンス)。
-
オプション:接続ログ(CSV、税込110円)、ルーティング(税込110円)。
関連記事(内部リンク)
- IPアドレス制限とは? 仕組みとメリットをわかりやすく解説
- 社外から社内システムに安全にアクセスする方法: VPN・ゼロトラスト・IP制限比較
- 固定IPを一括管理! 外部パートナーとの開発もセキュアに快適に
- テレワークで必須のセキュリティ対策7選
- 社員の退職時に必要なアクセス権限の削除と固定IP管理



