セキュリティとガバナンス

Azure AD ConnectによるIDaaSの構築

クラウドサービスのセキュリティは重要です。Azureでは、サイバーディフェンスオペレーションズセンターにおいて、24時間体制でトラフィックを監視し、人工知能を用いてサイバー攻撃に対する防御を実施しています。またサイバー犯罪に関しては、サイバークライムセンターを設置し、米国連邦捜査局(FBI)をはじめとした全世界のあらゆる機関と連携して対策可能です。

さらにAzureのセキュリティにおいて重要なことは、Azure Active Directoryによって、IDの管理や認証システムをアプリケーションから切り離して管理できることです。このようなIDによるセキュリティ管理を提供するサービスを「IDaaS」と呼びます。このIDaaSをベースとして、ビジネスで活用することが多いOffice 365など、オンプレミスとクラウドのアカウント連携を実現する機能が「Azure AD Connect」です。2014年から、AzureはIDaaSの提供を開始しました。

ここでは、AzureがPaaSとともに提供するIDaaSを解説するとともに、Azure AD Connectの概要と機能について整理します。

AZURE AD CONNECTによるIDAASの構築

クラウド時代に求められる情報セキュリティとは? 〜Microsoft Defender for Cloudも解説〜

Azure AD Connectに関連するIDaaSの概要

2000年当時のセキュリティは「境界セキュリティ」と呼ばれていました。

境界セキュリティはどのようなものかといえば、企業内で構築されたネットワークと外部のインターネットの間に、ファイアーウォールを設置して、この壁により外部から悪質なウィルスや不正侵入を防ぐものでした。デバイスと、利用する時間、利用する場所は決められていました。とはいえ、脆弱性を攻撃して社内に侵入する場合もあります。このときはセキュリティソフトなどでウィルスを隔離し、あるいはネットワークを物理的に遮断して社内に拡散することを防いでいました。

しかし、モバイルの利用やテレワーク(在宅勤務)など働き方の多様化、グローバル化により世界中に拠点が散在するようになり、社内という境界はあいまいになりました。デバイスを利用する時間や場所は就業時間内には限られなくなっています。VPNなど専用線の接続によって外部で利用する場合もあり、仕事によってはデバイスを外部に持ち運ぶ必要があります。社員のコンプライアンスを徹底したとしても、外部協力会社の人為的なミスによって重要な顧客データが情報漏えいし、大きな不祥事となる可能性がないとはいえない状況です。

セキュリティの境界が拡大して、あいまいになった現在においては「ゼロトラスト・セキュリティ」の考え方に移行しつつあります。

トラストは「信頼」であり、信頼性ゼロの状態からセキュリティ対策を行うことです。人間を信頼しないといわれると、やや抵抗や不安があるかもしれませんが、悪意のある第三者にデータを盗用されることは大きな問題です。したがって、どのような堅牢なデータハウスやセキュアなシステムであったとしても、「必ずセキュリティは破られる可能性がある」ことを基本とします。たとえばモバイル端末を盗まれるといったような、あらゆる場合を想定して「完全なセキュリティはない」前提で対策を行います。

このゼロトラスト・セキュリティのひとつがAzureのID管理や認証の仕組みです。そして、PaaSの基盤だけでなくAzure AD Connectによって、Office 365などのアカウントを連携させてアプリケーション利用の堅牢性を高めます。

国内外のIoT先進事例100選
Azure Cosmos DB 自習書 - Azure Cosmos DB Gremlin API 編 -

Azure AD Connectとは

IDとパスワードの管理はセキュリティの基本ですが、社内にサーバー室を設けて物理的なサーバー(オンプレミス)のアプリケーションを社内用に使う場合、クラウドのAzureとオンプレミスそれぞれでIDを入力していると非効率です。しかし、Azure AD Connectを利用すると、オンプレミスとクラウドの両方にアクセスできる「ハイブリッドID」を取得できます。このことによってセキュリティ面が強化されるだけでなく、生産性が向上します。

Azure AD Connectを利用すると、次の3つのメリットがあります。

ハイブリッドIDによる効率化

単一のIDによって、オンプレミスのアプリケーションとOffice 365などのクラウドアプリケーションにアクセスできます。ユーザーにとって便利なだけでなく、管理者にとっても煩雑なID管理の省力化が可能です。

手間のかからないデプロイメントの実現

Azure AD Connectによって、サインイン、同期が一元管理でき、デプロイメントの煩雑さを解消します。

最新機能の入手

Azure AD Connectは、ハイブリッドID統合ツールの後継で、DirsyncとAAD Syncでリリースされていたコンポーネントと機能が組み込まれています。今後はオンプレミスからクラウドへの同期で次のような機能の搭載が予定されています。

  • SQL、Oracle、MySQLなどへの接続
  • HR システム(SAP、Oracle eBusiness、PeopleSoftなど)への接続

Azure AD Connectの特長

Azure AD Connectには以下のような特長があります。

パスワードハッシュ同期

オンプレミスの Active Directoryインスタンスに入力したユーザーパスワードを、クラウドベースのAzure ADインスタンスに戻り値(ハッシュ)を返して同期します。ユーザーは1つのパスワードを覚えておけばよいため、生産性の向上、ヘルプデスクのコスト削減を実現します。

パススルー認証

社内の特定の組織でオンプレミスの Active Directory のセキュリティとパスワードポリシーを適用しなければならない場合は、パスワードハッシュ同期の代替として、パススルー認証を利用できます。オンプレミスとクラウドベースのアプリケーションの両方に同じパスワードでサインインできるとともに、オンプレミスのパスワードはクラウドに保存されることがありません。パスワードを安全に保護することが可能です。フェデレーション(federation:ID連携)のためにインフラストラクチャの追加は不要です。

フェデレーション統合

フェデレーションは1回の認証であらゆるサービスを利用可能にすることで、Azure AD ConnectによってオンプレミスのActive Directoryフェデレーションサービス (AD FS)とAzure Active Directoryのフェデレーションの統合が可能です。サインインする際に、ユーザーはオンプレミスのパスワードを使用してAzure Active Directoryの各種サービスにサインインして利用できます。企業ネットワークでは、パスワードを再度入力する必要がないため、非常にスマートな利用ができます。

同期サービスの利用

Azure AD Connectには主要なコンポーネントとして、Azure Active Directory Connect同期サービス(Azure AD Connect Sync)があります。従来のDirSync、Azure AD Sync、Forefront Identity Managerの後継となる機能で、オンプレミスとAzure Active DirectoryのIDデータを同期させるあらゆる処理を行います。接続されたデータソースとの相互アクセスはデータソースの種類ごとに「コネクタ」と呼ばれるモジュールにカプセル化し、APIを呼び出して、それぞれのデータソースとID情報を交換します。これがAzure AD Connectの同期エンジンであり、従来のアーキテクチャを進化させたものです。

セキュリティ面の堅牢性を監視

Azure AD Connect Healthによって、オンプレミスのIDインフラストラクチャを監視し、Office 365やMicrosoft Online Servicesに対して信頼性の高いアクセスを維持します。

Azure AD Connectを利用するための条件

Azure AD Connectの費用はAzureサブスクリプションに含まれているため、Azureのサブスクリプションに契約していれば無料で利用できます。Azure無料試用版には1つのAzure AD Connectが付属し、Azure ポータルもしくはOfficeポータルで管理できます。

Azure AD Connectのテナントでは、50,000個のオブジェクト限定で使うことが可能です。しかし、ドメインを検証すれば制限を300,000個のオブジェクトに拡大できます。 500,000個を超えるオブジェクトを必要とするときには、Office 365、Azure AD Basic、Azure AD Premium、Enterprise Mobility and Securityなどのライセンスが必要になります。

Azure AD Connectを使う前に、データの準備、Active DirectoryやSQLサーバーの確認、アカウントや接続の確認、PowerShellと.NET Frameworkのようなコンポーネントのインストールなど、さまざまな準備が必要になります。

ハードウェア要件(最小要件)のみを下記の表にピックアップします。

Active Directory 内のオブジェクト数

CPU

メモリ

ハードドライブのサイズ

10,000未満

1.6GHz

4GB

70GB

10,000~50,000

1.6GHz

4GB

70GB

50,000~100,000

1.6GHz

16GB

100GB

オブジェクトが100,000個以上の場合は完全バージョンのSQL Serverが必要

100,000~300,000

1.6GHz

32GB

300GB

300,000~600,000

1.6GHz

32GB

450GB

600,000を超過

1.6GHz

32GB

500GB

Microsoft Azureとは何か?入門から応用まで徹底解説

クラウドとは何か?Azureとは何か?導入のメリットや構成、コストに至るまでの基礎的な知識から、どのように活用すべきかまでを徹底的に解説しています。

Microsoft Azureとは何か?入門から応用まで徹底解説

ブログ記事を見る

まとめ

オンプレミスとクラウドが混在して使われる現在、ID管理はシンプルなシングルサインオン(SOO)であることが、生産性向上のために必要です。また、どのような時間に、どこで使ったとしても、ゼロトラストのセキュリティが確保されていることが必須になります。Azure AD Connectは、このような「ハイブリッドID」を提供し、効率化とセキュリティの面から企業における導入が求められます。

Microsoft Azure製品カタログ
  • fb-button
  • line-button
  • linkedin-button

関連記事

Azure Active Directoryで実現するセキュアなクラウド
セキュリティとガバナンス
ハイブリッドクラウド環境における高速でセキュアなActive Directoryのリカバリ
セキュリティとガバナンス
Azure Notebooksでプログラミング学習を!ノートブック機能の説明の概要
データ分析、データベース
Active Directory&Azure AD “ハイブリッドAD”環境の落とし穴
セキュリティとガバナンス
Azure Functionsはサーバーレス、FaaSの時代を拓く
ハイブリッドクラウド
Azure Monitorとは?その基本と監視内容を解説
仮想デスクトップ
Azure DevOpsで開発と運用を連携させ、品質の向上を
アプリケーション開発・管理・運用
Azure Portal(Azureポータル)とは?統合型コンソールで何ができるのか
アプリケーション開発・管理・運用
Azure Kinect DKのSDKと活用シーン
アプリケーション開発・管理・運用
Azure Stackによってオンプレミスで構築するクラウド
ハイブリッドクラウド
Azureを導入する際の流れと検討するべき3つのポイント
クラウド移行(インフラ・DB)
Azure Information Protectionでメールや文書を保護
セキュリティとガバナンス
Azure Active Directory(AD)とは?その機能や価格もご紹介
セキュリティとガバナンス
シングルサインオンとは?その仕組みや種類を解説
セキュリティとガバナンス
特権アカウントのガバナンスとは?
セキュリティとガバナンス
Active DirectoryとAzure ADによるハイブリッドクラウドの管理とセキュリティ
セキュリティとガバナンス
Azure Web Appsでビジネスチャンスを迅速につかむ
アプリケーション開発・管理・運用
今さら聞けないID管理システムとは?その役割や機能について
セキュリティとガバナンス
RELATED SITES

関連サイト

CONTACT

サイト掲載の
お問い合わせ

TOP