さくらのクラウドが2026年2月10日、IDポリシー機能の提供を始めた。公式発表によれば、IDポリシーはユーザーやグループ、サービスプリンシパルに対するアクセス制御ルールを定義するための仕組みだ。対象となるプリンシパルに対して、実行可能な操作と操作対象のリソースを明示的に定義できる。
では、従来の権限管理とは何が違うのか。さくらのクラウドにはすでにアクセスレベルとIAMポリシーという2つの権限管理機能がある。IDポリシーの登場で3層構造になった形だ。
IDポリシーと既存の権限管理機能の違い
3つの権限管理機能の違いを整理しておく。
| 機能 | 適用範囲 | 主な用途 |
|---|---|---|
| アクセスレベル | プロジェクト×ユーザー | 基本的な操作権限の5段階設定(閲覧/電源操作/設定編集/作成・削除/オーナー) |
| IAMポリシー | プロジェクト単位 | プリンシパル(ユーザー/グループ/サービスプリンシパル)に対するロールベースの詳細な権限管理 |
| IDポリシー(NEW) | ユーザー・グループ・サービスプリンシパル単位 | 実行可能な操作と操作対象リソースを明示的に定義するルール |
アクセスレベルは5段階あり、閲覧、電源操作、設定編集、作成・削除に加えて、プロジェクト管理やIAM設定の権限を含むオーナーが最上位に位置する。IAMポリシーはプロジェクト単位で適用し、ロールベースでより細かな権限制御ができる。
一方、IDポリシーはプリンシパルに対して直接ルールを設定する点が特徴だ。公式マニュアルの詳細は順次公開予定のため、組織横断的な適用範囲など機能の全容は今後明らかになる見込みだ。
IDポリシーの設定方法
IDポリシーの設定は、さくらのクラウドのコントロールパネルから行う。ポリシーを作成する際には、適用対象となるユーザー、ユーザーグループ、サービスプリンシパルを指定する。サービスプリンシパルとは、人間のユーザーではなく、アプリケーションやスクリプトがAPIを通じてクラウドリソースにアクセスするために使う認証主体だ。AWS、Azure、GCPなど主要クラウドでは標準的な概念であり、CI/CDツールやバッチ処理など自動化された処理の権限管理に使われる。
これらのプリンシパルに対して、どのリソースにどの操作を許可するかを明示的に定義する。たとえば、開発者グループには仮想マシンの作成・削除を許可し、一般ユーザーにはこれらの操作を制限するといったルールが書ける。サービスプリンシパルにもポリシーを適用できるため、CI/CDパイプラインやAPI連携における権限管理も一箇所でコントロールできる。
なお、2026年2月時点ではIDポリシーの詳細な設定手順は公式マニュアルで順次公開予定となっている。最新の情報はさくらのクラウド公式ニュースで確認できる。
IDポリシーの実践的な活用シナリオ3選
では、IDポリシーはどんな場面で効果を発揮するのか。3つのシナリオを見ていく。
1つ目は、開発チームの権限管理だ。開発者グループにリソース操作の権限を絞り込むことで、オペレーションミスによる影響を最小限に抑えられる。本番環境のリソース削除権限はインフラチームだけに限定し、開発チームにはステージング環境の操作だけを許可する、といった運用が考えられる。
2つ目は、マルチテナント環境の境界設定だ。複数のテナントを運用する場合、テナント間の境界を明確にする必要がある。テナント管理者には各テナントの全権限を、一般ユーザーにはテナント内の制限された権限を割り当てることで、テナント間の意図しないアクセスを防止できる。
さらに3つ目は、API連携・自動化の権限統制だ。サービスプリンシパルに対してIDポリシーを適用すれば、CI/CDパイプラインやバッチ処理などの自動化ワークフローにも最小権限の原則を適用できる。個人ユーザーの認証情報に依存せず、APIのみの安全なアクセスを提供できるため、APIキーが漏洩した場合の被害範囲を限定する効果も見込める。
ゼロトラスト・ガバメントクラウドとの関連
IDポリシー機能の提供は、クラウドセキュリティのトレンドであるゼロトラストへの対応強化と捉えられる。ゼロトラストは「決して信頼せず、常に検証する」という原則に基づくセキュリティモデルで、IAMとの統合はその前提条件の一つだ。クラウド技術の導入やリモートワークの普及により企業のネットワーク境界が曖昧になる中、日本国内でも多くの企業がゼロトラストモデルへの移行を進めている。
加えて、さくらのクラウドは2026年1月30日にSOC2 Type1報告書を新たに取得している。SOC2はService Organization Control 2の略で、クラウドサービス事業者のセキュリティ管理体制を第三者監査によって証明するものだ。Type1は特定時点における管理策の設計と実装の適切性を評価するもので、一定期間の運用有効性を評価するType2とは評価対象が異なる。今後Type2への移行も見込まれる。SOC2取得の詳細については、さくらインターネットの公式発表に記載されている。
さくらのクラウドはデジタル庁のガバメントクラウドに国内事業者として初めて採択されており、2026年3月末までに技術要件を満たすことを目指している。IDポリシー機能は、ガバメントクラウドが求める統制機能の強化にも貢献すると見られる。政府機関や自治体での採用を見据えた場合、アクセス制御機能の充実は必須要件となるためだ。
主要クラウドサービスとの比較
他の主要クラウドサービスのIAM機能と比較すると、さくらのクラウドの位置づけがより見えてくる。
| サービス | 対応機能 | 特徴 |
|---|---|---|
| AWS | IAM Policy | JSON形式でのきめ細かなポリシー定義、ABAC(属性ベースアクセス制御)対応 |
| Azure | Entra ID | ロールベースアクセス制御(RBAC)、条件付きアクセス |
| GCP | Cloud IAM | リソース階層に基づく権限継承、組織/フォルダ/プロジェクト単位の管理 |
| さくらのクラウド | IDポリシー + IAMポリシー | アクセスレベル/IAMポリシー/IDポリシーの3層構造、国内データセンター完結 |
さくらのクラウドの強みは、国内データセンターで完結するデータ管理と日本語によるサポート体制にある。ガバメントクラウドや金融・医療など高度なセキュリティが求められる業種では、IDポリシーによる統制強化が実務上の大きな判断材料になるだろう。
よくある質問
IDポリシーとIAMポリシーはどう使い分ける?
IAMポリシーはプロジェクト単位で設定し、プリンシパルに対するロールベースの権限管理を行う。IDポリシーはプリンシパルに対して実行可能な操作とリソースを直接定義するルールだ。詳細な使い分けは公式マニュアル公開後に明らかになる見込みだ。
サービスプリンシパルとは何か?
人間のユーザーではなく、アプリケーションやスクリプトがAPIを通じてクラウドリソースにアクセスする際に使用する認証主体だ。CI/CDツールやバッチ処理など、自動化された処理の権限管理に使う。個人ユーザーの認証情報に依存しないため、APIのみの安全なアクセスを提供できる。
追加料金はかかるのか?
IDポリシー機能は、さくらのクラウドの標準機能として提供されている。詳細は公式ニュースに記載されている。
まとめ
さくらのクラウドのIDポリシー機能は、ユーザーやグループ、サービスプリンシパルに対するアクセス制御ルールを定義する仕組みだ。従来のアクセスレベル、IAMポリシーと合わせて3層構造となり、権限管理の選択肢が広がった。提供開始直後のため詳細な設定マニュアルは今後順次公開される見込みだ。公式ドキュメントを確認しつつ、組織の権限管理体制の見直しを進めるのがよいだろう。