いっしー@Webエンジニア
Webツールプログラミング言語プログラミング学習ITニュースIT用語辞典ポートフォリオ

IAP(アイエーピー)とは | 意味や読み方など丁寧でわかりやすい用語解説

IAP(アイエーピー)の意味や読み方など、初心者にもわかりやすいように丁寧に解説しています。

作成日: 更新日:

読み方

日本語表記

インアプリ購入 (インアプリコウニュウ)

英語表記

In-App Purchase (インアプリーチェ)

用語解説

IAPはIdentity-Aware Proxyの略称である。これは、従来のVPNに代わる新しいアクセス制御の仕組みとして注目されている技術であり、特にゼロトラストセキュリティモデルを実現するための重要な要素となる。一言で説明するならば、アプリケーションや社内システムへのアクセスを、ユーザーの身元情報(アイデンティティ)に基づいて、きめ細かく制御するためのプロキシサーバーである。従来のセキュリティ対策は、社内ネットワークと外部のインターネットとの間に境界を設け、その境界を守るという「境界型セキュリティ」が主流であった。VPNはこの代表例であり、一度VPN接続を確立して社内ネットワークに入ってしまえば、内部のシステムには比較的自由にアクセスできるという考え方に基づいている。しかし、働き方の多様化により、社外から社内システムへアクセスする機会が増え、クラウドサービスの利用も一般化した現在、この境界型セキュリティには限界が見え始めている。万が一、VPNの認証情報が漏洩し、悪意のある第三者に内部ネットワークへの侵入を許してしまうと、内部の重要な情報資産が広範囲にわたって危険に晒されるリスクがあった。IAPは、このような課題を解決するために考案された。その根本にあるのは「何も信頼しない」というゼロトラストの考え方である。ネットワークの場所が社内か社外かに関わらず、すべてのアクセス要求を信頼せず、その都度「誰が」「どのような権限で」「何に」アクセスしようとしているのかを厳密に検証する。これにより、たとえ社内ネットワークからのアクセスであっても、許可されていないユーザーやデバイスからのアクセスをブロックすることができ、より強固なセキュリティを実現する。

IAPの具体的な仕組みは、ユーザー、IAP、認証基盤(IdP: Identity Provider)、そして保護対象のアプリケーションという要素で構成される。ユーザーがWebブラウザなどから保護対象のアプリケーションにアクセスしようとすると、その通信はまずIAPによって中継される。IAPはユーザーが未認証であると判断すると、Google IdentityやAzure Active Directory、OktaといったIdPへリダイレクトし、認証を要求する。ユーザーはIDとパスワードの入力や、スマートフォンアプリによるプッシュ通知、SMSコードといった多要素認証(MFA)を用いて本人確認を行う。認証が成功すると、IdPはユーザーの身元を証明する情報(認証トークンなど)を発行し、ユーザーのブラウザはそれを持って再びIAPにアクセスする。IAPは受け取った認証トークンを検証し、正規のユーザーであることを確認する。次に、IAPは事前に管理者が設定したアクセスポリシーに基づき、そのユーザーにアクセスを許可すべきか判断する。このアクセスポリシーには、ユーザーの属性(特定の部署に所属しているか)、使用しているデバイスの情報(会社の管理下にあるデバイスか)、アクセス元のIPアドレス、アクセス時刻など、非常に細かい条件を設定できる。例えば、「営業部のメンバーが、会社の管理端末を使い、日本国内から平日の業務時間内にアクセスした場合のみ許可する」といった制御が可能である。これらの条件をすべて満たした場合にのみ、IAPはユーザーの通信を目的のアプリケーションへと転送し、ユーザーは初めてアプリケーションを利用できるようになる。この一連のプロセスにより、アプリケーション自体に複雑な認証・認可のロジックを実装する必要がなくなるという利点もある。開発者はセキュリティの実装をIAPに任せ、アプリケーションの本来の機能開発に集中できる。また、ユーザーとIAP、IAPとアプリケーション間の通信はすべてHTTPSで暗号化されるため、通信経路上での盗聴や改ざんのリスクも防ぐことができる。VPNと比較した場合、IAPの優位性は明確である。VPNがネットワーク層でのアクセス制御であるのに対し、IAPはアプリケーション層で、より細かな単位でのアクセス制御を実現する。これにより、万が一あるアカウントが侵害されても、被害をそのアカウントがアクセスを許可された特定のアプリケーションに限定することができ、ネットワーク内部での水平移動(ラテラルムーブメント)による被害拡大のリスクを大幅に低減できる。ユーザーの利便性においても、専用のクライアントソフトウェアのインストールが不要で、Webブラウザさえあれば利用できるため、導入のハードルが低い。代表的なサービスとしてはGoogle CloudのCloud IAPが挙げられるが、同様の機能はAzure AD Application ProxyやCloudflare Accessなど、他のクラウドベンダーやセキュリティベンダーからも提供されており、ゼロトラストアーキテクチャの中核技術として広く普及し始めている。