企業に必要なモビリティを実現する
Enterprise Mobility概要からAzure ADまで徹底解説
2016.01.20
2015年11月10日、日本マイクロソフト品川本社で「企業に必要なモビリティを実現する ~ Enterprise Mobility 概要から Azure AD まで徹底解説」と題するセミナーが開催されました。同セミナーはセキュリティ対策や認証基盤管理を担当する企業のITインフラ部門を対象にしたものです。本稿では、日本マイクロソフト エバンジェリスト 安納順一氏が行ったセッションのうち、Azure ADについて紹介した部分をレポートします。
"うっかり"対策が重要ポイント
どこからでも、どんなデバイスからでも、リソースにアクセスして仕事ができれば、生産性の向上につながります。企業に必要なモビリティ ―― すなわち移動性の実現とは、利用者に対してこのような仕組みを提供することを意味します。しかし、さまざまなルールによってITの利用を制限してしまっては、生産性を向上させることはできません。逆にルールを緩めてしまうと、安全性に課題が残ります。つまり、生産性と安全性を両立させることが、今の企業にとって大きな課題となっているのです。
安納氏は、安全性を確保しながら生産性を高めるために"うっかり"をなくす必要があると言います。 「安全性対策のポイントとなるのが、悪意だけでなく"うっかり"を補足することです。"うっかり"が補足できれば、無理・無駄なルールをなくせます。そして自由度が高まり、生産性も必然的に高まります」 その"うっかり"を補足する手段として重要な役割を果たすのが、認証とID管理の仕組みです。利用者本人、利用が許可されたデバイス、利用が許可されたアプリを確実に判定できる認証・ID管理のインフラを用意することで、企業に必要なモビリティを実現するわけです。
人が主体のIT
マイクロソフトでは、そうした企業に必要なモビリティを実現するインフラ設計思想として、「People-Centric IT」(人が主体のIT)を提唱しています。これは、利用者・デバイス・アプリ・データの利用を認証・認可する共通のアイデンティティプロバイダー(IdP)を用意して、IDを中心とした多層防御を行うというものです。そうしたIdPの有力な選択肢としてマイクロソフトが提供するのが、「Azure Active Directory」(Azure AD)です。
Azure ADは、クラウドかオンプレミスか、あるいは、エンタープライズかプライベートなのかなどを問わず、IDの制御盤として機能します。オンプレミスに構築・運用されているActive Directoryドメインとのフェデレーション(認証連携)を行い、その認証情報を基にしてOffice 365やOutlook.com、他社SaaSアプリなど各種クラウドサービスのシングルサインオンやアクセス制御を実現します。
「Azure ADには、クラウド上のディレクトリサービス、クラウドアプリへのアクセス制御、証跡管理、利用者の利便性と管理コストの低減といった役割があります。いわゆるIDaaS(Identity as a Service)であり、他には競合が存在しないサービスです」
Azure ADの安全性
とはいえAzure ADは、IdPとしての安全性は十分なのだろうかという疑問もあります。 「攻撃者がAzure ADからデータを盗み出すには、多くの壁があります。例えば、ワンタイムパスワードやスマートカード、電話応答などの認証要素を追加して多要素認証の仕組みを取り入れたり、特権管理機能によって権限をチェックしたりすることも可能です。マイクロソフトでは、オンプレミスのIdPよりもAzure ADのほうが安全だと考えていますが、こればかりは『信用してください』としか言いようがありません」
Azure ADを利用する最大の効果と言えるのが、「ID駆動型セキュリティ(Identity Driven Security)」が可能になることです。
「Azure ADをIdPとしてすべての認証・認可のやりとりを追加させることで、条件付きの堅牢なアクセス制御、Azure Machine Learning(機械学習)によるログ解析、利用者の行動分析から脅威を検出など、アクセス制御や監査、ログ解析が行いやすくなります」
Azure ADには接続されたアプリの一覧を表示する「アクセスパネル」というポータルが用意されており、ここを経由することでシングルサインオンを実現しています。アプリごとにアクセス可能なユーザーやグループを設定したり、利用者がセルフサービスでアプリを追加したりできるなど、利便性の高さも特徴となっています。
業務でのモバイルデバイスの利用に関して、いかに厳格なセキュリティ・ルールを敷いたとしても、社員の「うっかり」を100%排除することは不可能です。また、あまりにも厳格なルールを敷いたことで、かえって、社員によるルール違反が増え、セキュリティリスクが高まるケースもなくはありません。となれば、Azure ADのようなITの力を借りてセキュリティを確保しつつ、モバイルデバイス利用に相応の自由度を与えたほうが賢明との判断に至るはずです。しかも、Azure ADなら、管理の手間も軽減され、IdP自体のセキュリティ確保に煩わされることも少なくなるはずです。モバイルデバイスの利便性をそのままに、業務データやアプリケーションの安全性を高めたい──そう考えるなら、Azure ADの利用が最適と言えるのではないでしょうか。
photo:Thinkstock / Getty Images