03-5946-8400
HOME
目次
クラウド時代のID管理の考え方とは?セキュリティを高める方法とは
クラウドサービスの導入を行う企業が増加しており、1社が複数のクラウドサービスを利用することも珍しくありません。一方で、こうしたサービス利用時の ID 管理の負荷が課題になってきています。
IDaaS はこうした問題を解決する方法のひとつで、複数のクラウドサービスの ID を管理し、シングルサインオン機能やアクセス制御機能を提供するサービスです。また、IDaaS は新しいセキュリティの概念であるゼロトラストネットワークを構築する技術でもあります。
本記事では、IDaaS の概要と機能を踏まえ、Azure で IDaaS を実現する方法について解説します。
- よくあるお悩み:
- アプリケーションごとにID を管理しており、運用が煩雑になっている
- ユーザのシステムへのアクセスコントロールができていない
- アクセスをコントロールしたいが、適切な方法がわからない このようなお悩みを解決するサービスはこちら。>> Azure アクセス権設計サービス
1. IDaaS とは
まず、IDaaS の概要と機能について解説します。
1.1 IDaaS の概要と目的
IDaaS( Identify as a Service )とは、クラウド経由で ID 認証、パスワード管理、アクセス制御(認証・認可)などを提供するサービスの事を指します。利用者は、IDaaS に 1 回ログインするだけで、事前に登録・連携しているクラウドサービスはすべて使えるようになる「シングルサインオン」の機能を利用できるようになります。
企業のクラウド利用が進むにつれて、今後 IDaaS を導入する企業はさらに増えると考えられています。また、IDaaS は、クラウド時代の新しいセキュリティの考え方である「ゼロトラストネットワーク」を構成するために欠かせない技術でもあります。
1.2 ゼロトラストネットワークとは
ゼロトラストネットワークとは、「全てのアクセスを信用しない」ことを前提として、全てのユーザーとデバイス機器からのアクセスに対して毎回認証を求めるネットワークセキュリティの考え方です。
従来のネットワークセキュリティの考え方では、社内ネットワークは完全に保護されているという前提で、社外からの境界に対してファイアーウォール等のセキュリティ対策を施すことが一般的でした。しかし、近年のクラウド利用やテレワークの広がりにより、インターネット経由でのアクセスが増加しており、社内と社外の境界が曖昧になってきています。そのため、ゼロトラストネットワークでは、全てのアクセスに対して都度安全性の確認を行うというセキュリティ方式を採用します。
1.3 IDaaS の主な機能
主な機能は下記の通りです。
- 認証・シングルサインオン
- ID 管理
- ID 連携
- 認可
- 監査
1.3.1 認証・認可・シングルサインオン
ユーザーのログイン時の認証、多要素認証、及びサービスへのアクセス権の付与、シングルサインオン機能(複数のクラウドサービスへのログイン)などを指します。
1.3.2 ID 管理
ID管理は、IDaaS と連携した複数のクラウドサービスそれぞれの ID を管理します。
1.3.3 ID 連携
ID連携は、シングルサインオン等ができるよう、IDaaS と連携したクラウドサービス、社内システムとの ID 連携を行います。
1.3.4 監査
監査は、IDaaS や連携しているクラウドサービスのログイン認証や利用証跡としてのログを取得・管理を行います。
2. Azure Active Directory とは
IDaaS はオンプレミスだけではなくクラウドでも利用可能です。マイクロソフトが提供するクラウド、Microsoft Azure で IDaaS を構成するためには、Azure Active Directory というサービスを利用します。ここでは Azure Active Directory の概要と料金体系について解説します。
2.1 Azure Active Directoryの概要
Azure Active Directory とは、マイクロソフトが提供するクラウドベースの ID 管理・アクセス管理サービスであり、次のリソースへの認証・認可とサインイン(アクセス)機能を提供するサービスです。
- Azure サービス
- Microsoft 365
- その他外部の SaaS アプリケーションなど
- 企業が独自に開発したアプリケーションなどの内部リソース
マイクロソフトは従来からオンプレミス型の Active Directory を提供していましたが、Azure Active Directory は、従来の Active Directory をクラウドサービスの認証に対応させたサービスと言えます。Azure Active Directory は IDaaS に必要な機能を兼ね揃えており、また ID(ユーザー)単位で、Azure サービスに対する細かいアクセス制御と認証を実現可能なため、全てのアクセスを疑い常に認証・認可を行うゼロトラストネットワークの理念とも合致しているサービスです。
2.2 Azure Active Directory の料金体
Azure Active Directory は下記 4 つの料金プランが用意されています。
- Azure Active Directory Free
- Office365
- Azure Active Directory Premium P1
- Azure Active Directory Premium P2
「 Azure Active Directory Free 」は無料で利用できますが、基本的な機能に限定して提供されているプランです。その他のプランは有料となり、プランによって利用できる機能に制約があります。
3. Azure Active Directory で実現する IDaaS の機能
IDaaS には、認証、認可、ID 管理といった機能が必要不可欠です。ここでは、こうした IDaaS に必要な機能を Azure Active Directory でどのように実現するのか解説します。
3.1 認証・認可・シングルサインオン
Azure AD では、Identity Protection という機能により、Azure 環境や、Microsoft 365、その他 SaaS サービス等へのシングルサインオン機能及び、統合的な認証/認可機能を提供しています。Identify Protection は、自動的にリスクの検出を行い、マルウェアとの関連性などリスクレベルに応じて条件付きアクセス機能と連動したきめ細かなセキュリティ機能を提供することが可能です。
3.2 条件付きアクセス
条件付きアクセスとは、認可機能の一部で、要件に合わせた細かいアクセスコントロールを提供する、Azure Active Directory が持つ大きな特徴とも言える機能です。条件付きアクセスでは、ユーザーがアクセスしてきた際に、特定の条件を設けることでアクセスコントロールを行います。例えば、特定のIPアドレス以外からのアクセスをブロックしたり、マイクロソフトが怪しいと判断したアクセスに多要素認証を求めるなどといった制御が可能です。
3.3 ID 管理
Azure Active Directory は、従来オンプレミスで利用されてきた Active Directory のクラウド版と言えます。そのため、ユーザーやグループなどの ID 管理機能は、Azure Active Directory の基本機能として標準で備えている機能です。
3.4 ID 連携
Azure Active Directory では、Microsoft 365 や、サードパーティの SaaS はもちろん、従来使用されてきた SAML 2.0 等のプロトコルに加えて OpenID Connect / OAuth にも対応しており、コンシューマー向けに開発されてきたアプリケーションとの ID 連携が可能になっています。
3.5 監査
Azure Active Directory は、下記のアクティビティを監査レポートとして記録・報告する機能を備えています。
- 異常なアクティビティ
- アクティビティログ
3.5.1 異常なアクティビティ
異常なアクティビティとは、不明なソースからのサインイン、複数のエラー発生後のサインイン、疑わしい IP アドレスからのサインインなどを指します。
3.5.2 アクティビティログ
アクティビティログとは、パスワードリセットの実施及びパスワードの登録、ディレクトリの監査されたレポートなどを指します。
3.5.3 統合アプリケーション
統合アプリケーションとは、AD で登録されたアプリケーションの実行状況、外部アプリケーションにアカウントのプロビジョニングを試行した回数の履歴などを指します。
4. まとめ
クラウド時代の到来に伴い、SaaS やクラウドサービスの導入を行う企業が増加しています。クラウド時代では、複数のクラウドサービスの利用に伴う ID 管理の負担やログインに関する利便性の低下が大きな課題となっています。その課題を解決する手段として IDaaS があり、Azure では Azure Active Directory が IDaaS を実現するサービスとして提供されています。
IDaaS を導入することにより、シングルサインオンを実現し、ID 管理の負担軽減にもつながります。ぜひ IDaaS の導入を検討してみてはいかがでしょうか。
Azure へのアクセスコントロールについて相談する
Azure アクセス権設計サービス
ユーザがアプリケーションをどう利用するのかに合わせて、適切な権限と条件付きアクセスポリシーを定義します。独自アプリケーションやサードパーティ製アプリケーションとのシングルサインオンの導入計画を策定します。
資料ダウンロード
課題解決に役立つ詳しいサービス資料はこちら
-
-
Azure導入支援・構築・運用サービス総合カタログ
Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。
-
よく読まれる記事
- 1 Visual Studio Code とは?柔軟で効率的なアプリ開発の方法と、Visual Studio との違いを解説2023.05.23
- 2 Azureネットワークセキュリティグループ(NSG)とは?特徴や設定時の注意点を解説2021.04.28
- 3 VDIに必要なWindows VDAライセンスとは?費用感、ライセンスの考え方について解説します!2022.08.10
- 4 Azure Bastionとは?踏み台による仮想マシンへのセキュアな接続方法について解説2022.05.12
- 5 Azure AD Connectとは?オンプレミスとクラウドの両方で使えるアカウント管理ツール2021.06.02
Category
Contactお問い合わせ
お見積もり・ご相談など、お気軽にお問い合わせください。