ITセキュリティ女子のブログ

  • 認証
  • ID管理
2021.02.09

IDaaSとは?(3)Active Directoryからの移行ロードマップ

IDaaSとは?(3)Active Directoryからの移行ロードマップ

みなさんこんにちは、長谷川まりです。

Active Directory(AD)をユーザーやデバイス管理に活用しているけれど、IDaaSへの移行も検討したい方へ。実際に移行するとしたら、どのように進めれば良いのでしょう。今回は、ADからIDaaSへの移行ロードマップを、押さえておきたいポイントを踏まえながらご紹介します。

はじめに:移行をお奨めしないケース

様々な環境変化を背景に、ADからIDaaSへの移行を検討されるケースが増えています(参考:IDaaSが必要となった背景 )。IDaaSは、コスト、利便性、セキュリティのいずれの観点でも、理に叶っている仕組みと言えるからです。ただ運用によっては、移行をお奨めしないケースもあります。もし、以下に1つも該当しなければ、今後の新たな選択肢として、IDaaSへの移行を視野に入れていただくことをお奨めします。

<移行をお奨めしないケース>

  • 業界規制などで、ID管理基盤と認証基盤を自ら保有して運用する必要がある場合
  • インターネットに接続しないか、インターネットへの接続を制限している場合(工場や病院など)
  • 利用するアプリケーションが今後もオンプレミス主流で、クラウドは部分的にしか利用しないことがわかっている場合

では実際に、どのように移行を進めると良いでしょう?

ADとIDaaSは並行利用が可能

スムーズな移行のためにはまず、全体の方針を箇条書きでも決めておくと良いでしょう。多くの組織では、オンプレミス(閉域網でオンプレミスに接続しているIaaSも含む)のリソースを利用していますが、この場合、いきなりIDaaSへ移行するのはリスクも工数も高くなりがちです。そこで、しばらくはADとIDaaSを並行利用しながら徐々にオンプレミスのリソースを減らし、この間、セキュリティ強度もしっかり担保する、しっかりとした移行戦略を立てておくことをお奨めします。

(移行戦略の例)

  • 新規のアプリケーションは全てクラウドへ
  • 利用頻度の低いオンプレミスリソースは利用終了日を定めて計画的に廃止
  • 利用頻度の高いアプリケーションやデータはクラウドへ
  • IaaSを含むクラウドへ移行する場合、オンプレミスと閉域網でつなぐのではなく、インターネットから利用可能にする
  • IaaSやオンプレミスのリソースへのアクセスは攻撃を受けやすいVPN経由ではなく、SASE経由のIDaaS認証済みアクセスしか通さないゼロトラストネットワークアクセスとする

ちなみにADとIDaaSは、並行利用が可能です。一般的なIDaaSのID管理基盤と、ADのIDとパスワードは連携できることが多いためです。例えば「ID同期方式」を採用するIDaaSでは、Azure ADの場合はAzure AD Connect、Oktaの場合はOkta ADエージェントいった同期ツールが提供されていますので、ADで管理している様々な属性値を含むIDとパスワードを、インターネット経由でIDaaS側に同期できる仕組みになっています。オンプレミス側にこれらの同期ツールをインストールすれば、ドメイン認証を受けたユーザーはクラウドアプリケーションをシングルサインオンで利用でき、たとえADやオンプレミスサイト全てがダウンしてもクラウドは継続して利用できます。

このような場合はどうする?知っておきたいポイント

■Microsoft 365やAzureを利用している場合

Microsoft社の提供するクラウドサービスを利用している場合、Azure ADにテナントが作成され、Microsoft 365やAzureの認証はAzure AD側で行われます。ただし、Microsoft社以外のアプリケーションに対してAzure ADでSSOを提供したり、多要素認証や様々なセキュリティ強化機能を利用するには、有償のサブスクリプションであるAzure AD Premium(P1/P2)を購入する必要があります。これは、様々な機能がバンドルされているライセンスなので、一部の機能しか利用しない場合には割高になる点に注意が必要です。シンプルにADとの連携、SSO、多要素認証が目的であれば、Azure ADと他のクラウドアプリケーションへの認証を、OktaなどのIDaaSで代替することで、コストを下げることができます。

■ADFS(Active Directory Federation Services)でフェデレーション認証を利用中の場合

ADFSを利用することで、クラウドアプリケーションの認証をADが担う連携(フェデレーション)が可能になります。しかしこの構成は、クラウド側からの認証要求の入り口となるWeb Applicationプロキシ、ロードバランサをオンプレミスで管理する必要があり、攻撃面となってしまう点に注意が必要です。こだわる理由がないのであれば、IDaaSとの同期ツールを利用した、安全な構成に変更するのが望ましいと言えます。

また、ADのGPO(グループポリシーオブジェクト)はドメイン内のリソースに対して細かなポリシーを適用できますが、IDaaS側でもADと同等のデバイス管理や、静的ポリシーを充足する機械学習やスレットインテリジェンス等の機能が充実し、クラウドアプリケーションの利用にあたってはIDaaSのほうが、より強固な認証とアクセス制御ができるようになっています。今現在利用しているADのGPOをそのまま移植するのではなく、本来のポリシーの目的に立ち返って、IDaaS側で実装できるポリシーへの洗い替えや移行計画を検討することをお奨めします。

最終的に、ID管理基盤はIDaaSへ

移行戦略を実施し、オンプレミス側に管理するリソースがなくなれば、おのずとADがオンプレミスにある意味は無くなります。IDaaSがID管理と認証の統合基盤となれば、アプリケーション単位でばらつきのあった認証強度や、セキュリティとIT運用上に様々な問題を生じさせてきた、いわばサイロ化されたID管理の根本原因がようやく解消されます。

クラウドの導入が始まりと同時に、ITスプロール(無計画にシステムが拡張され、管理が困難な状態)が生じて情報管理とセキュリティのガバナンスが効かせづらい状況が続いていましたが、IDaaSを活用することで、ついに人とアプリケーションをストレスフリーで安全につなぎ、シンプルなモデルで最小限の管理によって運営できる未来のITをようやく実現できます。

まりから一言

これまでIDaaSのメリットを3つの記事でお伝えしながら、理想的なITの姿をお伝えしました。

IDaaSの他にも、コロナ禍でのニューノーマルが模索される中、SASE などの新しいITの選択肢がどんどん増えています。それぞれのメリットや考慮点について、お役に立てる情報を今後もお伝えしていきたいと思います。

なおアシストではIDaaS製品として、Okta社の「Okta Identity Cloud」を取り扱っています。IDaaS導入についてのご相談も承ります。こちらのお問い合わせフォーム よりご連絡ください。


長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • 認証
  • ID管理
2021.01.20

SAMLとは?SAML認証の流れをRPG風に解説

シングルサインオンを実装する仕組みの1つであるSAML(サムル)。このSAMLを使った基本的なシングルサインオンの流れが楽しくイメージできるよう、RPG風のストーリーに仕立ててみました。

  • 認証
  • ID管理
2021.01.05

IDaaSとは?(2)IDaaSで何ができるの?

IDaaSは、オンプレミス縮小とクラウドシフトの渦中において、ITリソース利用時に快適で安全な本人確認の手段を提供する「認証基盤」です。具体的にどんな機能があって、どんな期待効果があるのかを解説します。

  • エンドポイントセキュリティ
  • サイバー攻撃
  • 認証
2020.12.11

ゼロトラスト基準の権限管理とは?ファイル保護にゼロトラストを採り入れたい理由

企業のサーバには、重要なシステムファイルや機密情報を含むファイルが数多く存在します。今回は、ファイル保護と言う観点にゼロトラスト基準を採り入れた、アクセス権限管理の考え方をご紹介します。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

ページの先頭へ戻る