パソコンやスマートフォンを利用する上で必要不可欠なのが、Microsoft Officeなどのアプリケーションですが、アプリケーションへのアクセスには、さまざまなリスクが伴います。この記事では、アプリケーションの保護が必要な理由について解説します。さらに、アプリケーションへのアクセスを一元管理して、安全なアクセスを可能にするAzure Active Directoryについて、アプリ管理の特長やメリットを含めて紹介します。
アプリケーションの保護が必要な理由
パソコンやスマートフォンで利用するアプリケーションに対して保護が必要な理由は、ある日突然、サイバー攻撃を受けた場合に、様々な損害を被る可能性があるからです。
例えば、従業員がインターネットに接続してWebブラウジングをしている最中に、脆弱性の高いWebサイトに仕掛けられた罠にはまる恐れもあります。これがもとで不正なスクリプトが実行されれば、マルウェアに感染したり、フィッシング被害にあったりするでしょう。
特に、ログイン機能のついたWebサイトの利用には注意が必要です。そのようなWebサイトのウェブアプリケーションには、利用者識別情報として使われるセッションIDの発行やアクセス制御を管理するセッション管理に不具合があるものがあります。このような脆弱性を有するWebサイトを利用すると、攻撃者がセッションIDを入手して利用者になりすますといった不正アクセスが起きて、甚大な損害が発生する危険性があるのです。
一度不正アクセスを受けると、顧客の個人情報が外部に流出して、企業の信用が大きく損なわれることも考えられます。獲得した顧客が離れるだけでなく、訴訟につながるかもしれません。もし、顧客のクレジットカード情報が盗まれて犯罪者の手に渡り、不正に使用されるようなことがあれば、被害にあった顧客に対して、企業が損害賠償しなければならなくなります。
以上のほかにも、企業が保持するデータを改ざんされたり、その情報を管理するシステムが破壊されたりする可能性が出てきます。万が一、そのような事態に陥ると、業務がストップするだけでは済みません。システムの復旧が遅れれば遅れるほど、企業の経営や売上に影響して、大きな打撃を受けることになるでしょう。
アプリケーションへのアクセスを一元管理するAzure Active Directory
Azure Active Directory(Azure AD)は、ID管理やアクセス管理が可能なクラウドベースのサービスです。クラウド内に限らず、オンプレミスでも、すべてのIDとアプリケーションへのアクセスを一元的に管理できます。
Azure ADには、1回のユーザー認証で、紐づけられたシステムやアプリケーションのすべてが個別の認証なしで使えるシングルサインオン機能がついています。Azure ADを利用すれば、この機能によって、どこからでも簡単にシステムやアプリケーションにアクセスできるようになるのです。
また、この機能により、従業員たちはシステムやアプリケーションごとに異なるIDとパスワードをそれぞれ設定して、ログインのたびに入力する必要がなくなります。そのため、暗記が不得意な従業員が、同じIDとパスワードを使いまわしたり、それらをメモした紙を紛失したりすることを未然に防げるでしょう。それと同時に、システムの管理者もIDやパスワードを管理するための時間を短縮できるようになります。
このように、Azure ADは、すべてのアクセスの一元管理を実現して、システムユーザーとシステム管理者の生産性を維持し、セキュリティリスクを低減することに貢献します。
Azure ADによるアプリ管理の特長
Azure ADは、社内オフィスでの業務とリモートワークによる業務を組み合わせた多様な働き方を、高度なセキュリティサービスの提供によって支援するものです。以下に、Azure ADによるアプリ管理の特長について解説します。
Azure ADでアプリ管理を行うメリット
Azure ADでアプリ管理を行うと、条件付きアクセス、アイデンティティ保護、多要素認証などの機能を用いて、セキュリティを強化できるというメリットがあります。また、Azure ADを使えば、クラウド環境でもオンプレミス環境でも、シングルサインオンによって、両方のアプリにアクセス可能です。
Azure ADでは、クラウドアプリだけでなく、レガシーアプリについても、アクセス制御を一元化できます。レガシーアプリとは、現行バージョンのOSではサポートされない、古い技術に依存したアプリのことを指します。Azure ADを導入すれば、モダンな(先進的な)アクセス方法をレガシーアプリにも適用して、コストを削減できるでしょう。
さらに、Azure ADは、モバイルデバイス管理(MDM)との統合が可能です。業務用のパソコンだけでなく、従業員用のタブレットやスマートフォンといったモバイルデバイスまで含めて、すべての端末を一括管理できます。万が一、従業員の誰かがデバイスを紛失してしまっても、管理者がリモートで端末にロックをかけたり、端末内のデータを消去したりすることで、情報漏洩を防げるので安心です。
モダン認証を使用するアプリの場合
アプリのアクセス方式には、モダン認証(先進認証)とレガシー認証という2つの方式があります。
モダン認証を使用するアプリとは、SAMLやWS-Fedといった最新の認証プロトコルを使用するアプリのことです。このようなアプリを集めたAzure ADアプリギャラリーには、Azure ADとの統合が完了した多くのアプリが用意されています。Azure ADアプリギャラリーに掲載されているアプリについては、最小限の作業で設定を行うことで接続が可能です。
モダン認証を使用するアプリで、Azure ADアプリギャラリーには存在しない場合、独自のアプリケーションを作成して、カスタムテンプレートで直接接続する必要があります。なお、独自のアプリケーションは、Azure ADと統合するために、どのように認証を実装するのかを検討した上で、作成しなければなりません。
レガシー認証を使用するアプリの場合
一方、レガシー認証を使用するアプリの場合には、Azure AD Application Proxyと統合するか、セキュアなハイブリッドアクセスパートナーと統合して、Azure ADに接続します。
レガシー認証を使用するアプリとは、Kerberosや非httpといった従来の認証プロトコルを使用するアプリのことです。
認証プロトコルとして、SAML、ヘッダーベースの認証、 Kerberos、リモートデスクトップをサポートする、オンプレミスのアプリにリモートアクセスする場合には、Azure AD Application Proxyを用いるのが最適です。Azure AD Application Proxyによって、VPNなしでオンプレミスのWebアプリに安全に接続でき、リモートユーザーは内部アプリケーションに安全にアクセスできます。
まとめ
アプリを安全に使用することは情報漏洩防止の観点から大変重要です。Azure ADの導入には、アプリの安全な一元管理が可能になり、クラウドとオンプレミス両方のアプリに簡単にアクセスできるようになるというメリットが伴います。また、モダン認証・レガシー認証を問わず、それぞれを使用するアプリとも統合できるので、ぜひ導入をおすすめします。