これまで本サイトでは、Active Directory(AD)や ID管理の情報をご紹介してきました。
ADは Windows Server OS の標準機能として搭載されており、組織の情報を一元管理できる手軽な「ID管理」の箱として利用されている企業が多いのではないでしょうか。その手軽さから、企業によってはシステムごとにADが乱立しているケースも散見されます。
その一方で、「ID管理」としての機能が不足している面も否めません。今回は、ADを ID管理システムとして利用する場合の問題点と、それを解決する ID管理ツールについて取り上げます。

Active Directoryによる ID管理の問題点

① セキュリティ面の脆弱性
ADは企業において非常に重要な情報(ID、パスワード、組織情報、権限情報 等)を管理していますが、セキュリティの脆弱性を突いた攻撃や不正アクセスにより、情報漏洩のリスクが高くなります。これを防ぐため、定期的な修正プログラムの適用はもちろんのこと、AD自体の機能追加に伴うバージョンアップが必要になります。これら適用に伴う作業ミスが発生してしまうと業務全体に影響が及びます。綿密な計画のもとで作業を行う必要があり、その分ランニングコストが高くなります。

② 従業員の IDライフサイクルに対する適切な対応ができない
従業員の入社、異動、休職、退職などの IDライフサイクルをADのみで行おうとすると、管理コンソールやコマンドラインツールを使って手動で更新を行うことになり、企業内の情報システム部門の負担が大きくなります。小さな組織であればその運用でまかなえたとしても、大きな組織であればあるほど迅速かつ正確に対応できなくなる傾向があります。また、誤った設定(一般ユーザーに対して不必要な権限を設定する、管理者に対して必要な権限を与えていない、退職者の情報がADに残り続ける 等)が発生した場合は、セキュリティリスクが高くなります。

③ パスワードポリシーが徹底できない
グループポリシーを用いることでパスワード文字数や複雑さなどのポリシー設定が可能ですが、パスワードポリシーが複雑である場合、ユーザーは末尾の文字を数字にする、などの傾向があります。逆にポリシーが弱すぎるとセキュリティが脆弱になります。適切なバランスを見つけることが重要ですが、簡単なことではありません。

④ クラウドサービスへの対応が難しい
企業でのクラウドサービスの利用が増加していますが、クラウド環境の利用を想定していないADではクラウドサービスの情報を含めた ID情報を管理することは非常に困難です。
Microsoft 社から「Microsoft Entra ID(旧 Azure AD)」がリリースされ、企業内のオンプレADと Microsoft Entra ID との連携によりクラウドサービスへの対応も可能になりましたが、この機能を十分に発揮するには企業内のオンプレADが正しく運用されていることが大前提になります。

 

Active Directory環境に有効な ID管理システムの機能

上記問題点に示す通り、企業においてADだけで ID管理を行うには限界があります。これらの問題点を解消するには、ID管理システムに備わる機能の利用が役立ちます。以下いくつかご紹介します。

① 人事情報の IDライフサイクルに合わせた運用
入社、人事異動、休職、退職に合わせ、ユーザーの登録、更新、無効化、削除が可能です。後述するプロビジョニング機能と合わせてユーザーに紐づく全システムの状態変更を行うことも可能です。人事異動の場合は、一定期間は元の所属と新規の所属の両方ともにアクセスを可能にする設定ができますし、退職の場合は、一定期間無効化したのちユーザー情報を削除するといった運用が可能です。

② 自動プロビジョニング
プロビジョニングとは、新しいシステム、サービスを利用可能にするために必要となるユーザー情報、アクセス権などを自動的に割り当てる機能です。上記問題点にも挙げた通り、利用者が多くなればなるほど、利用システムが多くなればなるほど、情報の更新が発生し、作業漏れや作業ミスが多くなります。ADをはじめとするオンプレミスのシステムや、Microsoft Entra ID、各種クラウドサービスへの自動プロビジョニングが可能なので、これらの作業を自動化することで管理者の負担を減らし、安心・安全に更新を行うことが可能です。

③ パスワード自動生成
ID管理システムには、複雑なパスワードを自動生成する関数機能を備えたものもあります。また、パスワードポリシーにて定期的なパスワードの更新を設定していた場合においても、スケジューラーの設定によりパスワードの自動更新が可能です。

④ 多要素認証・シングルサインオン
パスワードの自動更新により、ユーザーも管理者も設定されたパスワードが分からない状態になります。専用の認証システムの導入が必要ですが、ID管理システムから認証システムに対してアカウント情報を連携することで、端末や業務システムにおいてユーザー・パスワードの手入力を行わずにログインができるようになり、パスワードレスの運用が可能になります。

まとめ

ID管理システムの導入により、ADに限らず、ADのユーザー情報を利用できないクラウドサービスや、オンプレシステムに対しても連携を図ることができます。ADを企業内の「ID管理システム」としてとらえるのではなく「ID管理システムの連携先の1つ」として考えることで企業全体の認証機能を含めてトータルで安全性を高めることができると考えます。

 

※記載の製品名は、各社の商標または登録商標です。