クラウド環境下でのシステム構築において、セキュリティ体制の整備は重要です。情報漏えいなどのリスクを招く恐れがあっても、適切な対策ができていない企業は少なくないのが現状です。
本記事では、セキュリティ強化のために知っておくべき認証基盤の概要、構成について解説するとともに、おすすめのサービスを紹介します。
特権IDの現状と課題
特権IDとは、システム管理者向けに発行される特殊なIDを指します。一般的なシステムのIDは、ユーザーがサービスや機能を使うために保有するものです。しかし、特権IDの性質は通常のIDとは異なり、システム自体の管理やメンテナンスが実行できるなど、特別な権限が付与されています。
例えば、特権IDを有する管理者は、システムそのものを起動したりシャットダウンしたりすることが可能です。このような強い権限は、通常のID保持者には与えられません。特権IDは、オンプレミス型・クラウド型に関係なく、システムを運用していくうえで必要不可欠です。
このように、とても強い権限を持つIDだからこそ、さまざまな課題やリスクがあるのも事実です。中でも代表的なのが、特権IDを杜撰に管理したことによる情報の漏えいです。特権IDはその性質上、簡単には発行できず、管理も容易ではありません。そのため、企業によっては複数人で使いまわしているケースもあるようです。
特権IDの管理者は、自らのアクセスログを容易に消去できます。そのため、特権IDを使用して従業員が不正を働いた場合でも、その証拠を見つけ出すのはとても困難でしょう。このようなトラブルを回避するために、特権ID使用者を増やさないことが得策です。管理者が増えるほどさまざまなリスクにつながる恐れも増えるので、甚大な損失を防ぐためにも管理を徹底しましょう。
杜撰な特権IDの管理が引き起こした事故は、過去にいくつか報告されています。ある企業では3,500万件にもおよぶ情報を流出させてしまい、莫大な損失を出しました。また、別の企業については、長期に渡って846万件もの個人情報流出が発覚するなどといった事件もあり、監視体制の強化に努める企業が多くなっています。
なお、考えられるリスクは情報の漏えいだけではありません。特権IDを用いれば、情報の改ざんやシステムの破壊などのリスクも十分に考えられます。大規模なシステムを破壊されたとなれば、復旧までにそれ相応の時間がかかるため、業務がストップしてしまう可能性もあるでしょう。そのようなトラブルが起きてしまえば、企業が大きなダメージを負うことが容易に想像できます。
認証基盤・ID管理とは
多岐にわたるITサービスにおいて、認証手続きを一ヶ所に集約し、管理のしやすさやセキュリティ性の向上までもかなえるシステム。それが認証基盤です。アプリケーションやWebサービスを利用するにあたり、ユーザーは発行されたIDやパスワードを使ってログインする必要があります。もちろん、利用するサービスが増えれば、それに付随してIDやパスワードは増えていきます。このようなID管理に関係する課題を解決するには、認証基盤の導入が有用です。
さまざまなサービスやアプリケーションを活用している企業の場合、この先も増え続けるIDやパスワードを万全に管理するのは難しいでしょう。認証基盤を導入すれば、適切なID管理のもとでセキュリティを強化でき、なおかつユーザーの負担を軽減することも可能です。
なお、サーバーとシステムを自社管理するオンプレミス環境下では、自社のアプリケーションのみで統一的なログインが実行可能です。一方で、クラウド環境下における認証基盤では、各クラウドサービスに対して一括的なユーザー管理が実施できます。
認証基盤の構成
認証基盤には統合ID管理とシングルサインオン、多要素認証といった複数の種類があり、これらの認証手法は日常的に利用するオンラインサービスで目にする機会も多いでしょう。ここからは、代表的な認証基盤の構成について解説します。統合ID管理
複数のシステム上で使われるID情報の一元管理を実行できるのが「統合ID管理」です。IDの新規作成や更新、削除などがあった場合にも、それらの情報を自動的に集めて一括で管理します。従業員にとって、IDやパスワードを管理する手間がなくなれば、大幅な負担軽減となるでしょう。また管理者側は、「ユーザーごとに、どこまでアクセス権限があるか」を簡単に把握できるため、運用の効率が上がります。例えば、「削除されるべきIDが正しく処理されずにそのまま放置されてしまう」といったヒューマンエラーが発生したとします。このようなオンラインアカウントの放置は、個人情報の流失につながる恐れすらあるため、迅速な対応が求められるのです。統合ID管理を導入すれば、管理者側で情報の一括管理ができるようになるので、このようなリスクをスマートに回避する環境が実現されます。
シングルサインオン(SSO)
1つのパスワードで、複数のクラウドサービスやアプリケーションにアクセスできる仕組みのことを「シングルサインオン(SSO)」と呼びます。さまざまなサービスやアプリケーションを業務で使用する環境下では、従業員がいくつものパスワードを管理しなくてはなりません。このような場合、従業員と管理者側の双方にとって、大きな負担となるでしょう。
シングルサインオン(SSO)を利用することにより、1つのID・パスワードであらゆるサービスを利用できるようになれば、パスワード管理の負担が低減するでしょう。個々のパスワードを適切に管理しなくてはならないプレッシャーから解放され、その都度該当するものを探して入力する手間も省けます。
また、セキュリティを強化できるのもシングルサインオン(SSO)を導入するメリットの1つです。管理の手間を軽減しようと、パスワードを使いまわす従業員もいるかもしれません。このようなことが常態化してしまえば、不正アクセスの攻撃を受けるリスクが高まります。1つのログイン情報を管理するだけで、複数のID・パスワードが管理できるようになれば、セキュリティ面での課題が解決するでしょう。
多要素認証
複数の要素を組み合わせて認証を行う手法が「多要素認証」です。基本的に、強固なパスワードを設定することは重要ですが、ある程度の限界があるのも事実です。そこで、パスワード以外の情報と融合させた内容で認証を行い、セキュリティの強化を図ります。代表的なものとしては、二要素認証や二経路認証などが挙げられます。
二要素認証でよく使われているのが、ワンタイムパスワードの発行です。これは、認証時に時間制限のあるワンタイムパスワードを発行・入力するといった仕組みです。また、ネットバンクで使われているような乱数表を用いて数値を入力するなどの手法もあります。二経路認証は、2つの経路から認証を行う手法です。例えば、パソコンでIDやパスワードを入力し、スマートフォンに送られてきたURLをクリックすることで認証が完了するといった仕組みがこれに該当します。
多要素認証を導入すれば、第三者による不正アクセスはもちろん、本人へのなりすましもほぼ不可能なため。セキュリティ性が向上します。このように、堅牢なセキュリティを構築できることが、多要素認証の大きな強みと言えるでしょう。
ハイブリッド Azure AD Joinで認証基盤を構築
ハイブリッド Azure AD Joinを利用すれば、デバイスがオンプレミスADに参加している場合でも、Azure ADに参加できます。従来では、Windows 10実装のデバイスからオンプレミスADかAzure ADのいずれか一方にしか参加できませんでした。しかし、ハイブリッド Azure AD Joinを導入すると、オンプレミスADに参加するデバイスでも、Azure AD に参加するデバイスと同様のメリットを得られます。
ここからは、ハイブリッド Azure AD Joinの設定手順を解説します。まず、Azure AD Connectをインストールしましょう。デバイスがオンプレミスADへ参加していることを確認したら、Azure AD Connectを起動し、[構成]を選択します。次に [追加のタスク]を開き、 [デバイスオプションの構成]して[次へ]と進みます。
概要画面に表示されている内容を確認したら、 [次へ]を選択するとAzure ADに接続画面へ移行します。管理者アカウントを入力して [次へ]をクリックすると、デバイスオプション画面が開くはずです。[ハイブリッドAzure AD参加の構成]にチェックを入れたら[次へ]を選び、デバイスのオペレーティングシステム画面に進みます。 [Windows 10以降のドメインに参加しているデバイス]へチェックを入れて [次へ]を選択しましょう。
SCPの構成画面が表示されたら、 [Azure Active Directory]を選び、[追加]をクリックすると認証画面が開きます。オンプレミスADの管理者アカウントを入力し、アカウントが正しく表示されているか確認しましょう。間違いがなければ[次へ]を選択し、校正の準備完了画面に進みます。 [構成]をクリックし、タスクが正常に完了したことを確認してから、[完了]を選べば設定完了です。
Microsoft Azureとは何か?入門から応用まで徹底解説
まとめ
ID・パスワードの適切な管理で効率化を上げる認証基盤の導入は、管理の負担軽減に役立つと同時に、セキュリティの強化へもつながります。
オンプレミスとクラウドの双方で、セキュリティ構築が可能なハイブリッドAzure AD joinの導入も視野に入れ、クラウド環境下でのセキュリティ向上を実現させましょう。
