悪いことは言わないから、認証はすべて Azure Active Directory にしておきましょう

この記事の内容

  • Azure Active Directory(AAD)を使った統一認証が、現代の企業ITにおいて理想的な形である理由を解説します
  • リモートワーク時代に「社内ネットワークからしかアクセスできない」構成が抱えるリスクを考察します
  • 単一IDで全システムにアクセスできる環境を、クラウドを活用して実現する方法を紹介します
  • SaaS・自社開発アプリ・オンプレミスすべてに同じ認証基盤を適用すべき理由を説明します
  • 新しいサービスを選定する際に「AAD連携」を必須条件にすべきという考え方を提示します

結論:全部 Azure Active Directory 認証にしておきましょう

この動画の結論はシンプルです。認証が必要なすべてのシステム・サービスに対して、Azure Active Directory(AAD)認証を採用する——これに尽きます。

「それはもうわかってるよ」という方もいるかもしれません。しかし、この考え方に至れていない組織、あるいは理解はしていても実現できていない組織が、まだまだ多く存在しているのが現実です。改めてこの重要性をお伝えしたいと思います。

理想的なシステム利用の姿

システムの利用者にとって理想的な状態とはどのようなものでしょうか。

どこにいても、どんな端末からでも、安全に便利に使える——これが理想です。

会社から支給されたデバイスでなければアクセスできない、社内ネットワークに接続していなければ使えない、といった制約は、本来あるべき姿ではありません。個人所有のスマートフォンからインターネット経由でアクセスできる——それが当たり前の時代になっています。

新型コロナウイルスの影響で自宅からのリモートワークが求められた際、この「どこからでもアクセスできる」環境を持っていた組織とそうでない組織の差は歴然としていました。パブリッククラウドのSaaSサービス(Microsoft 365、Teams、Zoomなど)を活用していた組織は、大きな混乱なく業務を継続できました。

単一IDで全システムにアクセスできることの重要性

現在、多くの組織で見られる課題が「IDの分散」です。

  • このシステムはこのIDとパスワード
  • あのサービスは別のIDとパスワード
  • 管理できなくなって、全部同じパスワードにしてしまう

これは利用者にとって不便なだけでなく、セキュリティ上の大きなリスクになります。どこか一箇所でIDとパスワードのリストが漏洩すると、同じ認証情報を使っている別のサービスにも不正アクセスされてしまうからです。

理想的な状態は単一のIDで全システムにアクセスでき、そのIDが多要素認証などで強固に保護されていることです。

クラウドのID基盤はまさにこれを実現しています。一つのIDをしっかり守ることで、そのIDで使えるすべてのシステムのセキュリティが確保されます。

多要素認証とデバイス管理の組み合わせ

認証を強固にするうえで重要なのが多要素認証です。パスワードだけに頼らず、複数の要素を組み合わせることで、仮にパスワードが漏洩しても不正アクセスを防ぐことができます。

さらに、デバイスの状態と連動したアクセスコントロールも有効です。

  • セキュリティパッチが適用されているか
  • Windows Updateが実施されているか
  • マルウェアに感染していないか

こうしたデバイスの状態を管理システムで把握し、**「安全な状態のデバイスからのみサービスを利用可能にする」**という条件をアクセスポリシーに組み込むことができます。

管理された安全なデバイスと強固なID認証を組み合わせることで、どこからのアクセスでも安全性を担保できます。

「社内ネットワークからしかアクセスできない」構成のリスク

多くの企業で今もよく見られる構成があります。

  • Exchange OnlineでメールはOffice 365を使っている
  • しかし自宅からメールを見るにはVPN接続が必要
  • 会社支給のPCでなければアクセスできない

このような構成は、かつては「社内ネットワーク内にいることがセキュリティの証明」という考え方から来ています。しかしこれは過去の発想です。

問題は、この考え方に固執することのリスクをきちんと認識できているかです。

  • 「今はできないけれど、いざとなれば切り替えられる準備がある」→ これは許容できます
  • 「この構成しか知らない、他の方法があることも把握していない」→ これは危険です

新型コロナウイルスの騒動のように、突発的な事態で全員が自宅から仕事をしなければ事業継続できないという状況になったとき、準備ができていなければ事業そのものが成り立たなくなる可能性があります。

AADとオンプレミスADの同期は無料でできる

「うちはまだオンプレミスのActive Directoryを使っているから……」という組織も多いと思います。しかし、Azure Active DirectoryはオンプレミスのActive Directoryと無料で同期できます

具体的な手順の概要は次のとおりです。

12345.....Microsoft3A6D5IDAzure

この作業は、慣れた管理者であれば数時間程度で完了できます。ユーザー数が1人でも1万人でも、基本的な作業内容は変わりません。昔はサーバーのハードウェアを購入してネットワークを整備して……と大変な作業が必要でしたが、今はクラウドサービスを契約するだけで実現できます。

すべてのシステムにAAD認証を適用する

SaaS、自社開発アプリ、オンプレミスのシステム——場所を問わず、すべてに同じAAD認証を適用することが理想です。

自社開発アプリ

社内ユーザー向けのアプリであれば、AAD認証を採用することで、ユーザーはIDを一つ管理するだけでアクセスできます。アプリごとに別のIDシステムを作ることは避けてください。セキュリティレベルが下がり、管理が複雑になり、ちぐはぐな構成になります。

なお、一般消費者向け(B2C)のサービスであれば、Azure AD B2Cを使ってSNSアカウントとの連携なども実現できます。ただし、企業内利用やビジネスパートナーとの連携であれば、AAD一択と考えてよいでしょう。

管理基盤

システム管理者が使うクラウドの管理基盤(Azureポータルなど)も同様です。AzureはAAD認証がネイティブで組み込まれているため、同じIDで管理作業ができます。

オンプレミスのシステム

クラウドだけでなく、オンプレミスに構築するシステムも同様にAAD認証にするのが理想です。「そこだけ別の認証」にすると、IDの管理が分散し、同じ問題が再発します。

新しいサービスを選ぶときの基準

今後、新しいSaaSや外部サービスを導入する際には、「AAD(Azure Active Directory)と認証連携できること」を必須条件の第一項目にすることをお勧めします。

AAD連携できないサービスは採用しない——この方針を組織として持つことが重要です。

また、複数のIDシステムを混在させることも避けてください。たとえば、Google WorkspaceとMicrosoft 365の両方を使っている場合でも、IDを完全に分離して別々に管理するのは好ましくありません。どちらかを軸にして、連携できる構成を目指すことが大切です。

発想の転換が必要

歴史的な流れを振り返ると、まずオンプレミスのシステムがあり、そこからクラウドに移行してきた、という順番でした。そのため「社内からしかアクセスできないことがセキュリティだ」という発想が今も根付いている組織が多いです。

しかし今は逆です。クラウドの考え方を、オンプレミスにも適用していく時代です。5年前、10年前からその方向性は示されてきており、今やそれが当たり前になっています。

発想を転換して、「理想の姿はこうだ」を理解したうえで現実に向き合う——その姿勢がこれからのIT運用には求められます。

まとめ

  • 認証はすべてAzure Active Directoryに統一するのが理想です
  • 単一IDで全システムにアクセスできる環境は、利用者の利便性とセキュリティを両立します
  • 多要素認証とデバイス管理を組み合わせることで、どこからのアクセスでも安全性を担保できます
  • オンプレミスADとAADの同期は無料で行えるため、既存環境からの移行もハードルは高くありません
  • 「社内ネットワーク内にいることがセキュリティ」という発想は過去のものです。新型コロナのような事態への備えとしても、クラウドベースの認証基盤への移行を進めましょう
  • 新しいサービスを選定する際は「AAD連携できること」を必須条件にし、IDシステムの分散を避けることが重要です