最新の認証基盤で実現するゼロトラストセキュリティ

　セキュリティを強化ながら、生産性を向上する――。この難題に対する回答が、統合ID基盤の構築によるゼロトラストセキュリティの実現だ。本稿では現在のID管理にまつわる課題と解決策、そして、マイクロソフトの「Azure AD Connect」を活用した統合ID基盤へのロードマップについて解説する。

"ゼロトラストセキュリティ"なくして、生産性向上は不可能

　業種業界や事業規模を問わず、あらゆる企業にとって、デジタルトランスフォーメーション（DX）の推進による業務効率化や生産性向上は喫緊の課題だ。その実現に向け、テレワークの導入やクラウドサービスの活用に積極的に取り組む企業が増加している。特に最近では、働き方改革への対応もあり、多くの企業がテレワークの導入を急ピッチで進めている。

　だが、生産性向上を図っていくためには、場所や時間、ツールに制約されることなく、スムーズに業務を遂行できる環境を整備すると同時に、セキュリティリスクを大幅に低減させる仕組みが不可欠となる。一例を挙げよう。テレワークで自宅からクラウドサービスを利用する際に、セキュリティ上の理由から、社内のVPNゲートウェイを経由させる企業は少なくない。だが、VPN接続の増加によって回線が逼迫、利用者からは「遅くて、使いにくい」といった不満の声も多々寄せられている。利用者が自宅等から直接、クラウドサービスにアクセスできればこの問題は解消されるが、当然、マルウェア感染や情報漏洩などのリスクが高まってしまう。このように特定の場所から、特定の手段を用いてしかクラウドサービスを利用できないのでは、生産性向上は困難だ。

　そこで注目されているのが、"ゼロトラストセキュリティ"の考え方である。これは「あらゆるアクセスは信頼できないもの」ととらえ、常にユーザー（ID）やデバイスに対する認証を行い、正当であることを確認したうえで、社内システムやクラウドサービスへのアクセスを許可するというもの。

　日本マイクロソフトの安納 順一氏は、「ゼロトラストセキュリティの実装を抜きにして、真の生産性向上はなしえません。そして、ゼロトラストセキュリティを実現していくための第一歩となるのが、オンプレミスのシステムやクラウドサービスを問わず、ユーザーやデバイスの一元的な認証を可能とする統合ID基盤の構築です」と強調する。

既存のID管理にまつわる課題とは

　なぜ、統合ID基盤が必要なのか、現在のID管理にまつわる課題を挙げていこう。１つには、クラウドサービスの利用増に伴い、IDの管理が大きな負担となっていることだ。例えば、クラウドサービスごとに異なるIDを作成していた場合、当然、利用するサービスが増えるたびにIDも増える。サービスごとにIDを使い分けなければならないのは、ユーザーの利便性、ひいては生産性が大きく損なわれるうえ、IT担当者にとっても管理負担の増加を招いてしまう。

　オンプレミスとクラウドサービスで、セキュリティポリシーの統一が困難になっているという問題もある。「あるクラウドサービスでは6桁未満のパスワードしか設定できないなど、企業が定めるセキュリティポリシーが適用できないケースもあります。また、ポリシー統一のために一番桁数の少ないパスワードを基準にしたならばば、最も脆弱なパスワードが多用されることになり、企業全体のセキュリティを弱めてしまうことになります」と安納氏は警鐘を鳴らす。

　さらに、IDを管理する仕組みがバラバラだと、セキュリティインシデントが発生した場合の原因究明や追跡にも支障をきたしかねない。安納氏は、「特定のユーザーがマルウェアに感染したり、疑わしい行動をしたりした場合に証左となるログを取得・解析しようとしても、オンプレミスのシステムやクラウドサービスごとにID管理基盤が分かれていたらその作業も困難なものとなってしまいます」と強調する。

　このように、オンプレミスとクラウドサービスのハイブリッド化の進展とともにID管理も複雑化している。これらの課題を解決するには、複数システムの IDや認証の仕組みを統合的に管理する仕組みを実現していかなければならないのだ。

Active DirectoryとAzure Active Directoryの違い

　オンプレミスのシステムにおける認証基盤として、Active Directoryを利用している企業は多いと思われる。一方、Office 365をはじめとした様々なクラウドサービスの認証基盤として、マイクロソフトはAzure Active Directory（以下、Azure AD）も提供している。

　Azure Active Directoryは、マイクロソフトのサービスはもちろん、クラウドサービスとして提供される多種多様なアプリケーションを登録することで、一元的な管理を可能とする。また、シングルサインオン機能の提供により、単一のIDで多彩なクラウドサービスへのアクセスも実現する。

　「それならば、オンプレミスのシステムと様々なクラウドサービスのIDを統合するには、既存のActive DirectoryとAzure ADを連携させるのが一番の近道ではないのか」と、考える人も多いだろう。ここで注意が必要なのは、Active DirectoryとAzure ADは名称こそ似ているものの、使用目的、および認証の仕組みに大きな違いがあることだ。

　先にも述べたようにActive Directoryはオンプレミスのりリソースに対するユーザー認証と管理を行うもので、Azure ADはOffice 365をはじめとしたクラウドサービスに対する認証基盤となる。使用する目的が異なれば、認証のための仕組みも全く違う。

　社内ネットワークで利用されているActive Directoryは、認証プロトコルにKerberosやLDAPを使用する。一方、Azure ADはクラウドサービスで利用される多彩な認証・認可の方式をサポートしている。具体的には、SAML 2.0やWS-Federation、OpenID Connect、OAuth 2.0といったプロトコルだ。

　「このようにActive DirectoryとAzure ADは、互いに異なる"言葉"を話しているので、そのままでは言葉がかみ合わず会話ができません。両者を連携させるためにはプロトコルを一致させる必要があります」（安納氏）

　両者を連携させるために「オンプレミスのActive Directoryと同じユーザーIDを Azure Active Directoryにも登録する」という方法もあるだろう。これであれば、既存のIDを用いて、Azure ADで認証し、Office 365などのクラウドサービスにアクセスできるようになる。

　「しかし、Active Directoryに登録されているID数が多ければ多いほど、登録に手間と時間を要することになります。仮に社員が10万人いたら、そのすべてのIDをAzure ADに登録しなければなりません。また、パスワードの変更等が発生した際には都度、両者を対応させる必要があります。それらの登録や変更のためのスクリプトを書いたとしても、システム担当者の負担が相当なものであることには、変わりがありません」と、安納氏は注意すべきポイントを述べる。

Azure AD Connectでオンプレミスとクラウドサービスの認証基盤を連携

　そうしたID統合にまつわる課題を解決するものが、「Azure Active Directory Connect （以下、Azure AD Connect） 」だ。Azure AD Connectは、Active Directoryと Azure AD が保有するID情報の自動的な同期を可能とするサービスである。具体的にはオンプレミスのActive Directory ドメインに登録されているユーザーやグループ等の情報をAzure AD と同期することにより、自動登録するもの。利用にあたっては、無償で利用できることもポイントだ。

　Azure AD Connectを用いてActive DirectoryとAzure ADのIDを同期させれば、オンプレミスのアプリケーションや複数のクラウドサービスを利用する際に都度、IDを使い分ける必要がなくなり、ユーザーの利便性が向上するほか、システム担当者もID管理の負担を大幅に軽減できるようになる。

　ただし、この時点では、IDは同期されているもののオンプレミスのシステムとクラウドサービスのサインイン環境が、それぞれ別のものとして存在する状態となる。そこで次のステップとなるのが、Active Directory Federation Services（AD FS）の活用だ。AD FSを用いてActive DirectoryのユーザーとAzure ADのユーザーの情報を紐づけ、ID連携させることで、オンプレミスのアプリケーション、クラウドサービスとが一体となった"完全なシングルサインオン"を実現できるようになる。これにより、ユーザーはオンプレミスのActive Directoryにサインインするだけで、Office 365をはじめ他社のCRMサービスやストレージサービス等々、多彩なクラウドサービスを完全なシングルサインオン環境のもとに利用できるようになる。

　「最終的に目指すべき形はオンプレミス、クラウドサービスを問わないID管理の実現であり、その第一歩を踏み出すために必要不可欠となるのが Azure AD Connect なのです」（安納氏）

本格的なID統合に向け、社内認証基盤の見直しが必要なケースも

　前述したようにActive Directoryと Azure ADは異なるものであるため、『両者を統合できない』と考えられているシステム担当者も少なくない。安納氏は、「リモートワークの推進に伴い、Teams等のクラウドサービスを導入したいと思っていても、『Active DirectoryとAzure ADを個別に運用し続けていかなければならないのか』と考え、プロジェクトに踏み出せないといった声が聞かれることもあります。Azure AD Connectを活用すれば、そうした懸念も払拭できます」と強調する。

　ただし、本格的にID統合を推進していくにあたっては、一度、社内の認証基盤を見直していくことも必要だという。事実、社内に複数のユーザー管理システムが存在するだけでなく、拠点や部門ごとにActive Directoryドメインが乱立している企業は多々、見受けられる。M&Aにより吸収合併した企業のドメインを無理やり連携させているケースも少なくない。

　「統合ID基盤はゼロトラストセキュリティの実現、ひいては生産性向上のために向けた第一歩であり、その構築は戦略的に進めていかなければなりません。そうしたことから、一度、社内のドメインの状況を整理し、必要に応じて改善を図っていくことも重要です」（安納氏）

Azure ADが実現するハイブリッド認証基盤

　マイクロソフトが描く理想の姿は、企業システム全体を見渡したゼロトラストセキュリティの実現である。その実現のために、Azure ADはますます重要な役割を担うと安納氏は強調する。

　「Azure ADは、オンプレミスのシステムや様々なクラウドサービスをシームレスかつセキュアに接続する"ハブ"の役割を担うものです。認証プロトコルのゲートウェイとして、Office 365とオンプレミスのActive Directoryの仲介役にもなれば、社員が個人で保有するモバイルデバイスと社内のファイルサーバの仲介役、さらには様々なSNSサービスとの仲介役にもなります」（安納氏）

　そうした様々なユーザーやデバイス、アプリケーションやリソースを"互いに信頼できるもの"として結び付けるのが、Azure ADが提供する「条件付きアクセス機能」である。これはユーザーのリスクやデバイスの状態、接続を行っているロケーション、クライアントアプリケーションの種類等に応じて、オンプレミスのシステムやクラウドサービスに対するアクセスをきめ細かく制御するものだ。

「このAzure ADの条件付きアクセス機能を利用できるようにするためのファーストステップが、Azure AD Connect を活用したActive DirectoryとAzure ADのID同期の実現です。今後、あるべき姿である"ゼロトラストセキュリティの世界"へと進んでいくためにもAzure AD ConnectによるID同期を出発点として、理想となる統合ID基盤へと進化させて頂きたいと考えています」と、安納氏は訴えた。