fbpx

Azure ADとは?オンプレミスADとの違いやメリットを解説!

  • このエントリーをはてなブックマークに追加

Azure AD(Azure Active Directory)とは?

Microsoft社が提供しているクラウド版のActiveDirectoryです。
社内で利用するクラウドサービスのアカウント情報を一括で管理する他、シングルサインオン多要素認証を搭載するなど、IDaaS(Identity as a Service)としての機能も果たします。

より詳しくシングルサインオン(SSO)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

Azure ADの導入によりクラウドサービスやアプリケーションの積極的な利用を後押しする他、場所を問わない働き方の導入を実現することが可能です。
Microsoft社は業務上利用頻度の高いOffice365も既にクラウドサービスとして提供しており、今後多くの企業でクラウドサービスへの本格移行が予想されます。

Azure ADの機能とは?

Azure ADの機能をまとめました。
オンプレミスADとは違い、Azure ADは認証機能・アカウント管理・アクセス制限などの機能も持ち合わせており、全く別物との認識が求められます。

また、Microsoft社はこれまではオプション利用に留まっていた生体認証によるパスワードレス認証をAzure ADに標準搭載することを発表しました。
多発するパスワードリスト型攻撃の脅威を軽減するだけでなく、スピーディーなログイン作業が実現可能です。

そして、新技術「Temporary Access Pass」を発表し、パスワードレス化の加速と盗難・紛失時の迅速なアカウント復旧作業をサポートしています。

Azure ADの機能

機能 効果
シングルサインオン
  • 特定のクラウドサービスにログインした認証情報を信用し、ログイン作業無しでサービスを利用可能
  • 利便性向上
  • 作業場のストレス削減
アカウント管理
  • 管理者の業務負担軽減
  • ユーザーの利便性向上
  • 適切なラインセンス管理
ID管理
  • 不正アクセスのリスク軽減
  • 内部脅威対策
  • 情報資産を守る仕組み強化
  • コピーや偽造が困難
パスワードレス認証
  • Windows Hello
  • Microsoft Authenticator
  • FIDO2 セキュリティ キー
アプリケーションアクセス制限
  • ユーザーごとに利用できるアプリケーションを制限
  • ユーザー属性に基づいたアプリケーションのみ表示
  • 適切なアクセス権の設定が可能
  • 内部漏洩対策
ワークフロー
  • アカウント機能の自動管理
  • プロビジョニングの自動化
  • ユーザーの行動状況可視化
  • ヒューマンエラーの防止
  • 効率的で正しいライセンス管理
  • 未使用ライセンスの発生防止
  • 内部漏洩対策
アクセスログ
  • ユーザーのアプリケーションへのアクセス記録を確認
  • 不正アクセスの有無を確認
  • 自社のセキュリティ対策の点検材料
  • 内部漏洩対策

Azure ADとActive Directoryとの違いは?

Azure ADはクラウドサービスへの認証を対象とし、プロトコルもクラウドサービス内へのシングルサインオンを実現するための認証を利用します。
一方、オンプレミスのADは組織内のシステム利用を想定しており、機能追加や新機能搭載などへの柔軟性はAzure ADと比べると低いです。

認証対象が異なる

Azure ADはクラウドサービスを利用するときの認証を対象としています。
一方、オンプレミスADは社内システムを利用する場合に安全性と利便性を両立させるための認証基盤であり、クラウドサービスやテレワークでの利用を元々想定していません。
そのため、社外からも社内にいるような感覚で作業を行うためには、クラウド型のAzure ADの導入が必要です。

プロトコルが違う

オンプレミスADはシステムログイン時の認証はケルベロス認証を活用し、ディレクトリサービスにはLDAP(Lightweight Directory Access Protocol)プロトコルを活用します。
ケルベロス認証はデータの暗号化を可能とし、安全なデータ通信を実現させるのが特徴です。
また、LDAPはTCPポート番号389を用いたディレクトリサービスに接続するためのプロトコルです。

オンプレミスADは基本的に組織内で利用することを前提としており、閉鎖的なコミュニティの中でアカウント情報を管理していく形になります。
クラウドとは異なり機能を追加する場合はサーバーの購入が必要で、作業の効率化を実現するためにはPowershellのスキル習得が必要です。

一方、Azure ADではOpenID Connect・SAML認証・WS-Federationなどに対応し、クラウドサービス内へのシングルサインオンを実現します。
管理ツールはMicrosoft Intuneを利用し、サーバーを必要とせず低コストでの導入・運用が実現可能です。
そして、Microsoft Intuneはクラウドツールであり、オンプレミスADとは異なり機能の追加にも柔軟な対応ができます。

より詳しくシングルサインオン(SSO)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

ケルベロス認証

  • セキュリティレベル向上
  • 利便性向上
  • パスワード管理が不要
  • 低コストで導入可能

Microsoft Intuneのメリット

  • サーバー管理・導入は不要
  • マルウェア対策機能を搭載
  • 幅広い環境に対応
  • 個々のデバイスに導入することで利用可能

デバイスの管理方法が異なる

オンプレミスADは企業が定めたグループポリシーを適用し、デバイス機器の管理を行います。
ADを利用することで拠点間でのセキュリティレベルのばらつきを無くし、一貫性のある管理が可能となりました。
一方、Microsoft Intuneは一人ひとりが所有するデバイス機器を使い、登録したルールに基づいて管理をします。

また、端末内のプライベートデータと業務用データは完全に切り離されています。
そのため、盗難・紛失時に遭った場合はデバイスをデフォルトの状態にリセットし、機器本体に内蔵されている企業データとアプリケーションのみ削除することが可能です。

Azure ADがもたらす3つのメリットとは?

スケーラビリティに優れ、低コストで効率的な運用ができます。

低コストでの導入・運用が可能

Azure ADはMicrosoft社が定めている使用料金さえ払えばすぐに利用できます。
サービスとして利用するため、追加での作業は必要無いからです。
また、サーバーの導入やデータセンターの運用などを行う必要も無く、初期費用を掛けずにスムーズな導入を実現します。

また、「使用した分だけ料金を払う」といったサブスクリプション制を導入しており、無駄なコストの発生を最小限に抑えられます。

スケーラビリティーに優れる

ユーザー数や機能を追加したい場合、サーバーの増設は必要ありません。
管理画面で機能を有効化するだけで新たな機能が使えるようになります。
クラウド上で機能拡大・縮小を行えるため、スピーディな対応を実現します。

管理者の業務負担軽減

セルフパスワードリセット、ワークフローによるアカウント情報・プロビジョニングの自動化など、これまで作業工数を奪われていた内容が自動化やユーザー自身で行えるようになり、管理者の作業負担が大幅に減りました。また、office365やオンプレミスADとの連携もスムーズにできるため、他の仕事をこなしながら効率的な管理ができます。

Azure ADに期待されるゼロトラストの実現

セキュリティレベルの向上により、在宅勤務やサテライトオフィスワークなど働き方の選択肢拡大が期待されます。
また、ゼロトラストを採用し、通信の安定性や安全性に抱えるVPNから脱却することも可能となります。AzureADなどMicrosoft製品によるゼロトラストの実現は別の記事でもご紹介しているので是非ご覧ください。

多様な働き方の導入

条件付きアクセス・生体認証・端末制限など、外部からアクセスを行う場合での安全性を強化し、場所を問わない働き方導入を加速します。
不正アクセスがあったとしても、社員固有の情報入力を認証時に求めることで第3者のなりすましを防げるからです。

また、外出機会が多い営業マンやプログラマーなどリモートワークでの安全性を強化する他、在宅勤務やサテライトオフィスワークなど多様な働き方を実現し、結婚や出産を経ても働ける環境を社員に提供します。

さらに、社員同士の接触や通勤を避けることで、新型コロナウイルスの感染リスクを軽減します。
場所を問わない働き方を実現することで、社員・企業双方にとって多数のメリットを享受できます。

場所を問わない働き方によるメリット

社員 企業
内容
  • 通勤による体力消耗を回避
  • 通勤時間の有効活用
  • 感染症疾患リスク軽減
  • 人間関係でのストレス軽減
  • 自分のペースで業務を遂行可能
  • 結婚や出産があっても仕事を継続可能
  • 生活環境の選択肢拡大
  • 優秀な人材の確保・流出防止
  • 交通費・オフィス賃料などを削減
  • 社員の健康状態を保護
  • 業務効率改善
  • 地域に囚われない採用活動が可能

セキュリティレベル向上

多要素認証や条件付きアクセスの活用で、なりすましによる不正アクセスのリスクを大幅に軽減可能です。
認証時にコピーや偽造が困難な生体認証やパスワードレス認証を課すれば、安全性・利便性を兼備した本人認証ができるようになります。

また、条件付きアクセスではログイン要求があったアクセスをユーザー・アクセス地点・デバイス機器などの情報に基づき分析するだけでなく、リアルタイムのリスク情報を交えて安全なアクセスかどうか判断しています。

アカウント情報が流出したとしても過去の行動と比べて少しでも異変を察知した場合は即座に不正アクセスと判断し、社内ネットワークへの侵入を未然に防ぎます。
また、ユーザーアクティビティの可視化によって内部漏洩の抑止力向上につながります。
内部不正があった場合はログによって確認でき、犯人を迅速に特定できるからです。

新型コロナウイルス感染予防や価値観の多様化に対応するため、在宅勤務やサテライトオフィスワークなどを選択する方も増えてきました。
オフィスでは機能していた先輩や上司からの監視の目も無くなりつつあります。
監視の目が緩く自由度の高い環境下で、所属企業に不満を持っていた社員が内部漏洩を実行しても不思議ではありません。

さらに、近年は情報漏洩事件が頻繁に発生しており、各企業は警戒心を強めています。
一度でも情報漏洩が起きると取引先や顧客からの信用は失墜し、今後のビジネスが大変厳しいものになります。
そして、自社のセキュリティ対策が不備で取引先の情報資産が流出した場合、取引停止はもちろんのこと損賠賠償を要求される可能性も十分あります。

自社だけでなく、取引先を守るためにも情報資産を守る仕組みの強化は重要です。

内部漏洩が起きる理由

  • 多額の金銭的見返りが期待可能
  • 給料・待遇への不満
  • 人間関係のトラブル
  • 転職先でのポジション確立
  • 転職先への好条件を引き出す材料

情報漏洩が起きた場合の企業への影響

狙われる情報資産 想定されるリスク 実影響
内容
  • 社員の個人情報
  • 取引先や顧客の個人情報
  • 企業が保有する技術データ・ノウハウ
  • 取引先とのやりとり
  • ビジネス機会の損失
  • 取引先・顧客からの信用失墜
  • 消費者・顧客離れ
  • 社員からの不信感増大
  • 莫大な経済利益の損失
  • 取引量の減少停止
  • 市場での優位性損失
  • 企業ブランドの失墜

VPNからの脱却

現在企業のテレワークを実現しているVPN(Virtual Private Network)は低コストで社内へのアクセスを実現する一方、通信の安定性や脆弱性に課題を抱えています。
外部からのアクセスがあった場合は必ずVPNゲートウェイを経由するため、アクセス地点によっては通信経路が遠回りになり、速度低下や通信障害が発生するからです。

また、VPNゲートウェイは外部からのアクセスを受け入れるため、広く開かれた状態に保っています。
不正アクセスの侵入を許しやすいだけでなく、一度内部に侵入された場合はチェック機能をほとんど搭載していないので、サイバー攻撃やマルウェア感染に遭うリスクが高まります。

一方、Azure ADの場合は世界中のユーザーが便利に利用できるよう、多数のアクセスポイントを設置して安定したデータ通信を実現します。
そして、高精度のインテリジェンス検知を利用して、アクシデントによって流出したアカウント情報による不正アクセスを高精度で見分けます。
さらに、アクセス要求があった場合のみ侵入口を用意するため、不正アクセスの侵入リスクを大幅に軽減可能です。

まとめ

Azure ADは「全てのアクセスには危険が潜んでいる」と考えるゼロトラストとの相性が良く、VPN脱却を目指すセキュリティソリューションの一つとして注目されています。
ゼロトラストではユーザーやデバイス機器を問わず、アプリケーションを利用するたびに毎回認証を求め、安全性が確認されたアクセスしか許可しません。
そのため、アクセス地点=働く場所は関係無くなり、場所を問わない働き方の導入を加速させます。

そして、ゼロトラストは単一のセキュリティソリューションで全てを賄おうとするのではなく、様々なツールを組み合わせて安全性を上げていくのが特徴です。
自社にとって最適なセキュリティソリューションを選ぶことで、利便性と安全性を兼ね備えた仕組みを構築することができます。

  • このエントリーをはてなブックマークに追加