現代社会においてシステムへのログインおよびパスワード入力は非常に多くなる傾向にあります。皆さんも自身のIDやパスワードの多さに辟易とすることもあるでしょう。また、それぞれのIDやパスワードを覚えていないなんていうこともあるかと思います。また、システムを管理する立場も同様に、それぞれの管理をすることは大きな負担になるだけでなくセキュリティリスクも増大することになります。
つまり、ユーザーはシステム・サービスごとのID・パスワードを覚えておかなくてはならず、都度ログインするのが非常に面倒です。管理者はIDメンテナンスの負担が増大し、セキュリティへの不安も増していきます。こうした問題を解決するために必要とされるのが「認証基盤」です。現在ではActive DirectoryやAzure ADなど、認証基盤を構築するための選択肢が多様化しています。
一方で、「そもそも認証基盤とは何か?」という基本的概要を理解できていない方が多いかもしれません。本記事では、認証基盤を理解するのに必要な情報を、できる限り分かりやすくお伝えします。
増え続けるID・パスワードが生む問題とは?
社内システムやクラウドサービスを使用するのにあたり、必ず必要になる作業がログイン(認証)です。個別に設定されたID・パスワードを入力することで、システムやサービスが当該本人であることを確認し、アクセスを許可します。このログインの仕組みは、第三者による不正利用などを避けるためのものです。しかし、いくらセキュリティのためとはいっても、増え続けるID・パスワードによってユーザーと管理者は以下のような問題を抱えています。
ユーザーの問題
- システムやサービスによってはログインに必要なIDが発行されるまで何日も待たされる
- 取り扱うパスワードが多すぎて覚えきれない(結果ポストイット等で管理する)
- 複数のシステムやサービスに都度ログインするのが非常に面倒
- パスワードを定期的に変更するのが面倒(結果2つ程度のパスワードを使いまわす)
![[マイグレーション]令和のサーバー移行支援キャンペーン SBテクノロジー](https://www.cloud-for-all.com/hubfs/images/cta/middle/hub_generated/93d0278c-98ea-4ecf-853b-27916918a228.png "[マイグレーション]令和のサーバー移行支援キャンペーン SBテクノロジー")
管理者の問題
- IDを定期的にメンテナンスするのが大変
- ID改廃の手続きや作業の記録が残らない
- 必要以上の権限を与えてしまっている
- 非正規雇用社員のID管理が放置されがち
- 異動者や退職者のIDが削除されない
- IDごとの要不要が判断できない
- パスワード再設定に関する問い合わせが多すぎる
- セキュリティ事件が心配で精神的負担が大きい
以上のような問題を解決するために用意されているのが認証基盤であり、主に「統合ID管理」「ID棚卸」「シングルサインオン(Single Signe On:SSO)」「多要素認証」の要素から構成されています。
認証基盤の全体像
増え続けるID・パスワードを管理するための認証基盤を用意すると、企業は前述した問題を解決するための機能を実装できます。では、認証基盤を構成する4つの要素から全体像を明確にしていきましょう。
1. 「統合ID管理」
社内システムやクラウドサービスを安心して使うには、ログインのためのID・パスワードを設定します。ただし、企業の人事関連においてはID・パスワードの新規作成・更新・削除などID情報が常に変化するため、IT管理者の負担を増大させています。「統合ID管理」は、それらのID情報を一元的に管理することで負担を減少させ、人為的ミスを防止しながらID管理を効率化できます。
2. 「ID棚卸」
IDの棚卸というのは、不正に作成されたID・パスワードや削除すべきIDの作業漏れ、休眠IDなど管理者が意図していないIDがシステム上に残っていないかを確認する作業です。対象となる社内システムとクラウドサービスのID情報と、認証基盤でアクティブなIDを突き合わせて調査します。ID棚卸はこの作業を自動的に実行し、IT管理者の作業負担を大幅に軽減してくれます。
3. 「シングルサインオン(Single Signe On:SSO)」
管理すべきID・パスワードの数が多いと、ユーザーの生産性を下げる原因になります。多くのID・パスワードを覚えるだけでも大変ですし、そのシステムやサービスごとにログインしなければいけないとなると、認証作業だけで時間がかかることもあるでしょう。こうした問題を解決するのが「シングルサインオン(Single Signe On:SSO)」という機能であり、1度ログインすることで、他のシステムやサービスでもログイン状態が保持されるようになります。
4. 「多要素認証」
上記3つの認証基盤を整えただけでは、セキュリティ体制は十分とは言えません。シングルサインオンを実装してもパスワードが漏えいすれば不正利用の可能性はありますし、脆弱性は残ったままです。そこで欠かせないのが「多要素認証」です。ID・パスワードを入力する通常のログイン作業に加えて、電話やメール、ワンタイムパスワードを使ったログインを同時に実行することでセキュリティを強化します。
クラウドベースの認証基盤を可能にするAzure AD
多くの企業では、今までこの認証基盤としてマイクロソフトが提供するActive Directoryを活用していました。Active Directoryは、2000年にリリースされたWindows 2000 Serverに初めて搭載され、何度もアップデートを繰り返して現代ビジネスに即した認証基盤を構築するための機能が備わっています。
しかし、最近では外部ネットワーク(インターネット)を活用したクラウドサービスをビジネス上で使う機会が多くなっています。そこで、クラウドサービスも含めた認証基盤を簡単に構築するためのサービスとして登場したのが、マイクロソフトの「Azure AD」です。
Microsoft Azure(クラウドプラットフォームサービス)上で提供され、ADFS環境で本来必要とされる複数サーバーや技術を簡略化して、SAML(Security Assertion Markup Language)という標準規格を使った認証基盤を提供するため、2,000以上のシステムやサービスでの統合ID管理やシングルサインオンが可能になります。
Azure ADを使用するための権限はMicrosoft Azure、Dynamics 365、Office 365、Intune、Power Platformなどのクラウドサービスにすでに含まれています。これらのサービスを現在使用している場合は、オンプレミスとクラウドとまたいだ認証基盤が構築できます。
さらに、高度なセキュリティ機能を備えたAzure ADプランは別途月額料金を支払うことで使用可能です。ID管理をシンプルにするための認証基盤を構築したい、オンプレミスとクラウドをまたいだ認証基盤にしたい、そうしたニーズを持っている場合は、Azure ADをぜひご検討ください。
