情シスのかたち

powered by gin

ActiveDirectory(AD)の連携とは?機能やクラウド版のADも紹介します!

product

ActiveDirectory(AD)とは?

ActiveDirectoryとは、Windows 2000 から標準搭載されたディレクトリサービスです。ディレクトリサービスは、サーバーやアプリなどからネットワーク接続を行なったリソースの所在やユーザー情報を集め、記録・管理を行うサービスです。つまり、コンピューターリソースやユーザー情報の管理、ユーザー認証を行う機能です。

また、ActiveDirectoryを活用することで、オンプレミス環境で単一のパスワード/IDでWebサイトやアプリが利用できるシングルサインオンの実現が可能になります。 現在は多様な働き方に対応するため、クラウドサービスに移行する企業も増えてきました。クラウド上でシングルサインオンや認証サービスを提供するIDaaS(Identity as a Service)は、オンプレミスで行っていた機能をクラウド上でも利用できるようActiveDirectoryとの連携を標準機能として搭載しているサービスも多いです。

ActiveDirectoryの機能とは?

ユーザー情報の一元管理、アクセス権の設定、ソフトウェア&メディア管理といった機能が挙げられます。

ユーザー情報の一元管理

業務で使用するシステムやアプリにログインするための社員のID/パスワードを一元管理します。 ActiveDirectoryを活用しない場合、サーバーが複数ある場合は個々のPCごとにユーザー情報を管理しないといけません。 管理者に多大な負担が掛かるだけでなく、他の仕事が回らない状態になります。

ActiveDirectoryを活用することで、社員のユーザーID/パスワードを一元管理することができるため、業務負担が軽減されます。

アクセス権の設定

社員が所属している部署や役職などによって、細かくアクセス権を設定できます。 内外部の情報漏洩対策や業務効率の向上に有効です。 閲覧範囲が広すぎると業務に関連性が無いWebサイトも閲覧できるため、犯罪者が用意した偽サイトやマルウェアが仕込まれたWebサイトを閲覧してしまい、情報漏洩につながります。

一方で、内部漏洩への対策は閲覧できるデータファイルを限定することで、機密情報の持ち出しを防ぎます。 例えば、あなたが営業マンだったとしましょう。 業務に必要な売上実績や見積書、顧客データが閲覧できる一方、人事が利用する従業員データや経理が使用する財務データなどは閲覧できません。

閲覧範囲を限定することで内部漏洩の抑止力にもつながり、内部犯行が起きたとしても犯人を限定できます。 現在は在宅勤務やリモートワークなどオフィス外で働く機会も増えてきています。

オフィスへの出勤がデフォルトだった時代には機能していた上司や同僚の監視の目は無くなりつつあり、社員の行動が一層見えづらくなりました。 自由度の高い自宅やサテライトオフィスなどで、給料や人間関係の不満や転職のためなど企業に不満を抱えている社員が、いつ機密情報を持ち出してもおかしくありません。

近年、サイバー攻撃や内部漏洩事件の多発により各企業は情報の取扱いに敏感になっており、一度情報漏洩が起きると社会的信用やブランドイメージが大きく下がります。 企業としては内部漏洩対策を今まで以上に行う必要があるわけです。 情報漏洩を防ぐためにも、個々のアクセス権を制御することは重要です。

ソフトウェア&メディア管理

企業が定めるポリシーに基づいて、許可していないソフトウェアのインストールの禁止やUSBメモリからのアクセスをブロックします。 どちらも禁止することで、マルウェア感染と内部漏洩のリスクを軽減することが可能です。

セキュリティ保護がされていないアプリの使用はマルウェア感染のリスクを高めます。 犯罪者がアプリの脆弱性を利用して、サイバー攻撃を仕掛けてくる可能性があるからです。

スマートフォンやPCの動作が重かったり、再起動や電源OFFが勝手に作動したりする場合は、マルウェアに感染している可能性が高いです。 個人情報や機密情報が盗まれている可能性が高いので、すぐにアプリの削除や管理者に相談をしましょう。 一方、USBメモリを活用する場合のリスクは帰宅途中での紛失や盗難による犯罪者への情報漏洩、社員が内部不正を行う手段になります。

情報漏洩が一度でも起きると企業に深刻なダメージを与えるので、USBを持ち出して業務を行う場合は緊急の時以外は禁止するなどルールを決めましょう。 無制限に許可した場合、サービス残業と何ら変わらないだけでなく、内部不正のリスクを高めているだけです。 働き方改革の影響もあり表立っての残業が難しくなりました。 ですが、新しい人材を採用する余裕のない企業は、既存社員の業務効率を向上させる以外は方法がありません。

仕事が早い優秀な人材に仕事が偏ることを防ぐためにも、今まで以上に上司が適切に仕事の振り分けや管理を行わないといけません。 何も対策を投じない場合、サービス残業の多さに嫌気が差した優秀な社員が情報流出に踏み切るリスクが高まります。

ActiveDirectoryを導入する4つのメリットとは?

拠点間のセキュリティレベルのばらつきが無くなる点、複数のパスワード管理からの解放、管理者の業務負担が挙げられます。

統一した使用環境を提供

複数の地域に拠点を展開している企業の場合、ActiveDirectoryを活用することでどの拠点に所属し、どのPCを利用しても同じルールが適用されます。 つまり、統一したルールが適用されるため、組織間のセキュリティレベルのばらつきが無くなります。 また、本社と支社でアクセス権や利用できるアプリの範囲が異なるといったケースが無くなるので、管理者の業務負担軽減にもつながります。

シングルサインオンで複数のパスワード管理は必要なし

ユーザーはアプリやWebサービスごとにパスワードを複数設定する必要はありません。単一のID/パスワードで使いたいサービスにログインできるシングルサインオンが実現できるからです。どのパソコンからでも自分の環境にログインすれば、シングルサインオンが適用されるので、PCが故障した場合でも安心です。

管理者の業務負担軽減

管理者がユーザーごとにアクセス権の設定やアカウント管理をする必要が無くなるので、業務負担が大幅に軽減されます。 ルールを決めた後は一括で管理できるだけでなく、ソフトウェアの更新作業は自動で行ってくれるため人為的なミスも減ります。 また、企業にとっても管理者の業務効率向上が期待できるので、これまでフォローが薄かった業務も任せられます。

コストカット

個別管理によるソフトウェアのライセンス費用、管理者の残業代などをコストカットできます。 一括管理を実施することによる、無駄なコストの発生と時間的ロスを防げるからです。 また、経験の浅い社員をベテラン社員と組ませることで業務をこなしながら学ぶことも可能です。

ActiveDirectoryの機能をクラウド上で利用するには?

Microsoftが提供している認証サービスAzure Active Directory(Azure AD)が、クラウド版のActiveDirectoryとなります。 自社でネットインフラを揃えて運用・管理を行うActiveDirectoryは、クラウド上ではカバーしている範囲外のシステムであるため、シングルサインオンは適用できません。

Azure ADはOffice365やSalesforce、box、Gsuiteなど約2,800種類のアプリやクラウドサービスとSAMLにより連携しているため、業務に必要なサービスのシングルサインオンの実現とアカウントの一括管理を実現します。また、多要素認証やアクセス制限、ログ機能などセキュリティレベルの向上やユーザーの行動を可視化するための機能も複数搭載しています。

そして、Azure AD Connectと呼ばれるツールの導入で、ActiveDirectoryで管理していたアカウント情報をAzure ADに同期させることができます。 同期が完了すれば、オンプレミスとクラウド上の両方で同じユーザー名とパスワードを使用して、ログインが可能です。

Azure ADの3つの特徴とは?

ゼロトラストモデルの採用、機械学習を活用した脅威検知、多要素認証が挙げられます。

ゼロトラストの概念を用いたアクセス制限

ゼロトラストとは、「全てのアクセスにリスクが潜んでいる」との考え方を持つセキュリティモデルです。 文字通り全てのアクセスを信頼しないため、たとえユーザーが特定のサービスから1分前にログアウトを行い1分後に同じサービスにログインしたとしても、認証を求めます。 条件付きアクセスの設定で、ユーザー、デバイス機器、アクセス地点などリアルタイムでの認証を行い、アクセス許可の判断を行います。

ゼロトラストモデルの採用は、クラウドサービスの懸念点であったセキュリティレベルの強化を行うと共に、犯罪者の不正アクセスによる侵入リスクを大幅に軽減します。

機械学習を用いた脅威検知

リアルタイムで行われる機械学習を用いて、犯罪者のサイバー攻撃の意図や攻撃の傾向、能力などの分析を行います。 犯罪者の傾向や攻撃の予兆を感知することで、サイバー攻撃マルウェア感染への対策を取れるだけでなく、不正アクセスを見つけた場合はブロックします。

近年、サイバー攻撃を仕掛ける犯罪者は日々技術と知識を向上させ、様々な形で攻撃を仕掛けてきます。 犯罪者の規則性を見出すことで精度の高いセキュリティ対策を実施することが可能です。

多要素認証

多要素認証を活用する事で、スマートフォンのSMSを利用したワンタイムパスワード指紋認証や顔認証などの生体認証をID/パスワードのログイン時に求めることで、精度の高い本人認証を実現します。Microsoftの発表では、99.9%のサイバー攻撃から保護できるとのデータが発表されています。

また、スマートフォンやカードキーなどを使用した認証をユーザーに求めることで、ユーザーの手元にデバイス機器があるかも同時に確認可能です。

Azure ADを導入する3つのメリットとは?

運用・管理コストが安い、場所を問わない働き方の導入を加速、セキュリティレベルの向上がメリットとして、挙げられます。

低コストでの運用・管理が可能

自社で必要な設備を揃えるオンプレミスとは異なり、Microsoftが提示する使用料金を払えば利用可能です。ハードウェアを新たに購入する必要は無く、特別な作業も必要ないためスムーズに低コストで導入できます。 また、システムダウンや通信障害などのアクシデントもMicrosoftが対応するので、自社で行う必要はありません。管理者の業務負担も軽減できます。

テレワーク導入を加速

クラウド上で利用できるため、ユーザーのアクセス地点は関係ありません。 インターネットに接続する環境があれば、自宅やカフェ、サテライトオフィスなどで業務ができます。 場所を問わない働き方の導入は、社員と企業双方にとって多大なメリットをもたらします。

テレワーク導入のメリット

社員企業
内容
  • 通勤によるストレスの蓄積を回避
  • 通勤時間の有効活用
  • ストレスフルな職場の人間関係からの解放
  • 自分のペースで業務を進行可能
  • 育児や介護をしながら労働可能
  • 優秀な社員の流出阻止
  • 地域を度外視した能力重視の採用が可能
  • オフィス賃料や交通費のコストカット
  • 社員の業務効率改善
  • パブリックイメージの向上

セキュリティレベルの向上

多要素認証の活用やゼロトラストモデルを活かしたアクセス認証により、セキュリティレベルが向上します。犯罪者による不正アクセスサイバー攻撃のリスクを大幅に軽減できるので、社員はどの場所からでも安全に業務を行えます。また、企業にとっても情報漏洩のリスクが減少するので、取引先にも安心感を与えられます。

Azure ADに移行する前に行うことは?

入社・退職・移動などに伴う社員の適切なID管理が必要です。

IDライフサイクルの管理

登録、変更、削除、休止・有効かといったサイクルを正しく管理することです。 詳しく内容をみましょう。

登録

新入社員が入社した場合に、社員が所属する部署に応じたアクセス権の設定、システムやサービスへのID登録を行います。

変更

部署移動や昇格・降格などの人事異動の際に、既存IDの内容を変更しなければなりません。 例えば、営業部から経理部に異動した場合、営業部の場合では顧客情報や売上実績などを閲覧できる状態です。 ですが異動後は営業部の業務に関わるデータを閲覧できない状態にする一方、入出庫処理や経費精算システムなど経理の仕事に関わる業務のデータやシステムへのログインが可能になります。

そして、管理職に昇格した場合は、課長や部長のみが閲覧できるファイルへのアクセス権付与、業務への決裁権や承認の権限を与えます。

削除

社員が退職した場合、IDを速やかに削除します。 IDの有効期限が長い場合、情報漏洩のきっかけになります。 実際に家電大手のエディオンでは退職した社員が、在籍時に使用していたIDを使って機密情報を盗んでいます。 社内システムやクラウドサービスなど残さずに全てのアクセス権とIDを削除してください。

休止・有効化

休職や関連会社の出向など一定期間IDを利用しない場合は、休止の状態に変更します。 そして、復職のタイミングで再び利用できる状態にします。