〜 複雑化するIDスコープ(B2E / B2B / B2C)と権限階層を安全に管理し、TCOを最適化するか 〜
第1章:エグゼクティブ・サマリー(CTOへの提言)
ゼロトラストアーキテクチャの要であるアイデンティティ・アクセス管理(IAM)において、日本企業のITリーダーは重要な戦略的決断を迫られています。それは、高度なセキュリティと運用負荷の軽減を提供するSaaSである Microsoft Entra IDに自社の業務プロセスを適合させるか、あるいは専門ベンダーの技術力を活用してOSS(オープンソースソフトウェア)の Keycloakを構築し、自社の複雑なビジネス要件をシステム上で実現するかの選択です。
本レポートは、セキュリティ要件の充足を最優先とした上で、数千から数万のユーザー、さらには従業員・取引先・消費者という多様なスコープを抱えるエンタープライズ企業に対し、事実と技術的制約に基づいた客観的な評価と推奨方針を提示します。
第2章:比較対象の基本アーキテクチャとアプローチの違い
- Microsoft Entra ID(フルマネージドSaaS):Microsoftの強大なエコシステムとグローバルインフラに裏打ちされたクラウドサービスです。インフラストラクチャの運用保守から解放される反面、機能、UI、ライセンス体系は完全にベンダーの仕様に依存します。
- Keycloak + 専門ベンダー(マネージドOSS ):標準プロトコルに準拠し、極めて高い柔軟性を持つOSSを、専門のシステムインテグレーター(SIer)やマネージドサービスプロバイダー(MSP)が自社専用環境に構築・運用するアプローチです。要件への完全適合が可能ですが、インフラからアプリまでのアーキテクチャ設計と運用統制の力量が問われます。
第3章:エンタープライズ要件における深掘り評価(リスクと対策)
経営課題として最も重要視されるセキュリティの確保と、それに付随する運用・ベンダー依存のリスクについて評価します。
3.1 【セキュリティ】AI脅威検知の実力と代替アーキテクチャ
Entra IDの最大の強みは、グローバルで収集される数十億の認証シグナルを活用した Entra ID Protection(AIによる振る舞い検知)にあります。「非典型的な移動」や「匿名IPからのアクセス」などを高精度に検知し、動的に多要素認証(MFA [要確認])を要求する機能は、エンタープライズの極めて高いセキュリティ要求を満たします(誤検知に対する例外対応の運用は必須となります)。
一方、Keycloakは単体でこのような高度なAIリスクベース認証を持ちません。同等のセキュリティを担保するには、前段に高度な WAF [要確認](Web Application Firewall、例: Cloudflareや Akamai )を配置し、ログを SIEM [要確認] に集約して不正アクセスを遮断する、といった複数製品の連携アーキテクチャを専門ベンダーに構築させる必要があります。これは複雑性とコストの増加を伴いますが、対策として回避可能なリスクです。
3.2 【可用性と責任】「99.99% SLA」の真の価値と責任分界点
Entra IDが提示する 99.99%のSLA(月間許容ダウンタイム約 4.3分)は、返金そのものよりも「ミッションクリティカルな認証基盤のインフラ維持責任を、グローバルベンダーに転嫁できる」という経営的価値を持ちます。
Keycloak+専門ベンダーの場合、インフラストラクチャ(IaaS)の障害なのか、アプリケーション層(Keycloak本体やデータベース)の障害なのかで責任分界点が曖昧になりがちです。対策として、インフラからアプリ保守までを単一のベンダーにマネージド契約で委託し、責任の所在を一本化することが強く推奨されます。
3.3 【ロックインリスク】「製品」への依存か、「人(ベンダー)」への依存か
Entra ID採用は特定ベンダーのエコシステムへの「製品ロックイン」を意味します。これを軽減するには、連携アプリ側の実装で OIDC等の標準プロトコル利用を徹底することが重要です。
対して Keycloakの構築を委託する場合、カスタマイズ部分がブラックボックス化する「SIerロックイン」の危険があります。これを回避するためには、インフラ構築を Terraformなどでコード化(IaC)させ、設定ファイルやソースコードの完全な納品とドキュメント化を契約条件に組み込む必要があります。
第4章:【中核課題】複雑なIDスコープと多重レイヤーへの対応力
数万規模のIDを持ち、従業員(B2E)、取引先(B2B)、消費者(B2C)が混在し、さらに多重下請け構造などのレイヤー(階層)を持つ企業の要件に対する適合性を評価します。
4.1 複数スコープ(B2E / B2B / B2C)の分離と統合
- Entra IDの限界と受容: 従業員用テナントとは別に、外部向けに Microsoft Entra External IDのテナントを立ち上げて物理的・論理的に分割するのが基本設計となります。セキュリティの分離には優れますが、管理者が複数のテナントを行き来する必要があり、双方のユーザーが利用する社内アプリへのルーティング実装が複雑化する事象は「受容すべき制約」となります。
- Keycloakの優位性: 単一のシステム内で「Realm(レルム)」という強力な論理分割機能を使用できます。従業員用、パートナー企業用、コンシューマー用と Realmを分けつつ、「ID Brokering」機能を用いて「コンシューマー用 Realmで認証したユーザーに特定の権限を付与して社内リソースへアクセスさせる」といった統合管理が標準機能で実現可能であり、圧倒的な優位性を持ちます。
4.2 複雑な権限階層(多重下請け・兼務役職)の表現
- Entra IDの限界: フラットなグループ管理(RBAC)を前提としているため、「一次業者 > 二次業者 > 三次業者」といった深い階層構造をディレクトリ上で表現することは困難です。これを解決するには、高額な Entra ID Governanceを追加導入してエンタイトルメント管理を行うか、アプリ側のデータベースで複雑な認可ロジックを作り込むしかありません。
- Keycloakの優位性: 標準で「階層化されたグループ」をサポートしており、多重下請け構造をそのままディレクトリのツリーとして表現できます。専門ベンダーのAPI開発力を掛け合わせることで、「一次業者の管理者が、自社の下に紐づく二次・三次業者のアカウントのみを管理(作成・停止)できる」といった、B2B特有の委任管理者ポータルを構築し、業務部門へ運用を安全に委譲することが可能です。
第5章:TCO(総所有コスト)の構造と損益分岐点
セキュリティと要件適合性を担保した上での、長期的なコスト構造(TCO)の違いを分析します。
5.1 コストモデルのパラダイム
- Entra ID: ユーザー数に比例して毎月の支払いが増え続ける「OPEX(変動費)型」です。特に、強固なセキュリティ(条件付きアクセス等)を実現するために全社員へ Entra ID P1 / P2ライセンスを付与する場合、数万ID規模でのランニングコストは極めて高額になります。
- Keycloak + 専門ベンダー: 初期要件定義、カスタマイズ開発、インフラ構築に数千万円規模の「CAPEX(初期投資)」が発生します。しかし、ソフトウェア自体のライセンス費用は無料(ID数無制限)であるため、運用フェーズに入ればインフラ費用とベンダーの保守費用のみに固定化されます。
5.2 大規模ユーザーにおけるスケーラビリティの罠
外部ユーザー(B2B / B2C)向けに Entra External ID を利用する場合、一定枠までは無料であるものの、ビジネスが成功して数十万の MAU (月間アクティブユーザー)を抱える規模に成長した場合、従量課金によりコストが青天井で跳ね上がるリスクがあります。
数万〜数十万の外部IDを統合管理する戦略がある場合、初期投資のハードルを越えてでも Keycloakを採用した方が、3〜5年のTCO試算において明確にコスト優位(損益分岐点の超過)となるケースが大半です。
第6章:自社に最適なアーキテクチャの選択基準と結論
本評価を踏まえ、貴社のビジネス特性に応じた戦略的選択を提言します。
A. Microsoft Entra IDを選択すべき企業
- プロファイル: クラウドネイティブ志向であり、セキュリティの担保(特にAIによる脅威検知)を最速かつ自社の運用負荷なしに実現したい企業。
- 経営的覚悟: 複雑な下請け構造や独自要件への固執を捨て、自社の業務プロセスをグローバル標準のSaaSに合わせる(BPRを断行する)覚悟と、ユーザー増加に伴う継続的なコスト増を「不可欠なセキュリティ投資」として許容できる場合に推奨されます。
B. Keycloak + 専門ベンダー を選択すべき企業
- プロファイル: 数万〜数十万規模の大規模ユーザー(B2E / B2B / B2C)を複合的に抱え、多重階層の権限管理や、既存基幹システムとの高度な連携が自社の競争力の源泉となっている企業。
- 経営的覚悟: WAF 等によるセキュリティ機能の補完設計と、構築ベンダーをブラックボックス化させずにコントロールする高いITマネジメント能力が求められます。しかし、これらの要件を満たせるならば、ビジネス要件への完全適合、データ主権の確保、そして大規模環境におけるTCOの圧倒的な抑制を実現する「強力な戦略的投資」となります。
不明点および補足事項
- 【要確認】Microsoft Entra ID における各上位ライセンス(Entra ID P1/P2 , Entra ID Governance等)の詳細な価格や、大企業向けの包括契約(Enterprise Agreement)に基づくディスカウント率については、個別相対契約となるため不明です。
- 【要確認】Entra External IDにおける大規模MAU(月間アクティブユーザー)発生時の具体的な請求額、およびSMS認証を多用した場合の通信実費の変動については、利用状況に依存するため不明です。
- 【要確認】専門のSIer等へ Keycloakの要件定義・カスタマイズ開発・マネージド運用を委託した際の具体的な初期費用および月額保守費用(日本円)は、要求するSLAレベルやカスタマイズの深さに大きく依存するため算定不可(RFPによる個別見積もりが必要)です。
- 【要確認】Keycloakで複雑な Realmと階層グループを設計し、数万IDが同時にログインを試みる(スパイクアクセス)際のデータベースの具体的なパフォーマンス限界や、必要となるIaaSのサイジングについては、インフラ構成に依存するため不明です。
情報源(ソース)
- Microsoft Entra ID 関連機能(Protection, External ID, SLA等): Microsoft Entra 公式ドキュメント
- Keycloak 関連機能(Realm, ID Brokering, グループ階層等): Keycloak 公式ウェブサイト