Azure Managed Service Column ＜Azure運用コラム＞Azure Active Directory（Azure AD）が提供する認証形態について解説します！

パスワード認証に代わり多様化する新しい認証形態のトレンドとは？

近年、DX 化の推進、働き方の多様化により多くの企業でクラウドサービスの利用が増えています。クラウドサービスはいつでも、どこでも、あらゆるデバイスからアクセスすることが可能です。しかしその反面、クラウドサービスのアカウント管理についての課題が顕在化しています。

従来のパスワードによるアカウント管理では、パスワード情報の漏洩、アカウントのハッキングによる不正利用などが年々増えています。そこで注目されているのが様々な認証機能を提供する Azure Active Directory （ Azure AD ）です。

Azure AD はクラウド型の Active Directory サービスで、クラウドサービスをはじめ、あらゆる環境に対しアカウントを一括で管理しセキュリティレベルの高い認証基盤として利用することができます。

本記事では、Azure AD が提供する認証機能に注目し、それぞれの認証方法について解説します。

1.Azure ADが提供する認証形態について

Azure Active Directory （ Azure AD ）は、マイクロソフトが提供しているアカウント（ ID ）管理のためのクラウドサービスです。 Azure AD の詳細については以下の記事をご参照ください。

Azure AD は様々な環境に対応した認証サービスを提供してくれます。まず前提として Azure AD が提供する認証形態について解説します。

シングルサインオン（ Single Sign On : SSO ）

ユーザーは Azure AD へ一度サインインすることで、 Azure AD と連携したクラウドサービスについては改めての認証をすることなく利用することができます。

SSO の認証形態では一度の認証で様々なサービスにアクセスできてしまうため、厳重にアカウントを管理する必要があります。

オンプレミス Active Directory と連携

オンプレミス Active Directory のアカウントや認証情報を Azure AD と同期することができます。オンプレミスとクラウドを同じアカウントで利用することができることからユーザーはシステムの場所を意識せず、使い分けることなく利用できる形態です。この時、オンプレミス側に Azure AD Connect という同期ツールを展開する必要があります。

さらに Azure AD Connect は同期方向が Azure AD からの一方向のみであり、情報が上書きされてしまうとなるため、ユーザー情報の上書きが発生してしまう場合があり運用上注意が必要です。

多要素認証（ Multi Factor Authentication : MFA ）

MFA はサインインする際の認証要素を複数用いる認証形態です。これによりサイバー攻撃や不正アクセスが成功するリスクを大幅に削減することができます。

一般的な MFA は、ワンタイムパスワード（ One Time Password : OTP ）が多く用いられます。 OTP は、 E メール、 SMS 、アプリ、トークンを介して通知される乱数のコードです。 OTP は、認証リクエストが発生するたびに発行され、一定時間を経過すると無効化されるため安全です。

MFA ではデバイスの紛失などによりアクセスができなくなるケースがあるため注意が必要です。

パスワードレス認証

認証方式にそもそもパスワードを利用しない形態です。モバイルデバイスでは多く実装されている、指紋、顔などで認証する生体認証などです。

他のデバイスへ通知をプッシュし、ユーザーが通知を確認し、「許可」、「拒否」を選択する認証方法もあります。
また特定のデバイスで特定のアプリケーションを開くことで認証されるなど振る舞いによる認証も普及しています。

2. Azure AD の認証に利用されるツール、サービスについて

一般的に認証といえばパスワード認証が多く用いられる手段です。パスワード認証は取り扱いこそ簡単ですが、管理がユーザー任せになることが多く、セキュリティ面においても課題が多い認証方法です。Azure AD では、ユーザーが安全にサインインするための認証方法としてパスワード以外の認証方法を推奨しています。

本章では Azure AD の認証に利用されるツール、サービスについて解説します。

図版出典：Microsoft 公式サイト

Windows Hello for Business

Windows Hello for Business は、Windows 10 より搭載されたパスワードレスを実現し二要素認証を提供する機能です。ユーザーがデバイスとパスワードではなく指紋・顔・虹彩といった身体的特徴で本人確認を行うという機能で、この２要素両方を持っていない限りアクセスできません。

Azure AD にデバイスを登録することで、秘密鍵と公開鍵のキーペアが生成され、秘密鍵はデバイスに、公開鍵は Azure AD に保存されます。

秘密鍵は、PC 内のセキュリティチップ「 TPM 」（ Trusted Platform Module ）に保存されており、ネットワークを通じて外部に出ることはありません。またデバイスが盗難にあったとしても不正ログインは阻止できます。パスワードレス認証はデバイスと生体認証の 2 要素と公開鍵と秘密鍵の対による真正性を認証することができます。

Microsoft Authenticator

Microsoft Authenticator は多要素認証やパスワードレスの認証ツールとして、iOS や Android 搭載のスマートフォンアプリとして利用することができます。自分の電話で通知を受け取り、デバイスの生体認証（指紋または顔）あるいは PIN を使用して確認するフローとなります。

FIDO2 セキュリティキー

FIDO2 とは、パスワードレスの認証技術の標準化を推進する非営利団体「 FIDO Alliance （ファイド アライアンス）」が 2018 年に公開した仕様です。 FIDO2 外部のセキュリティキーまたはデバイスに組み込まれているプラットフォームキーを使用してパスワードレスでサインインできます。

FIDO2 セキュリティキーは USB デバイス、Bluetooth 、NFC （ Near field communication ）を使用できます。認証を処理するハードウェアデバイスはパスワードレスです。 FIDO2 セキュリティキーを使用して、Azure AD に参加済みの Windows 10 デバイスにサインインし、クラウドおよびオンプレミスリソースへのシングル サインオンを実現できます。

FIDO2 セキュリティキーは音声通話や SMS による多要素認証ができない企業での利用環境などに有効的な認証方法です。

OATH ハードウェアトークン

Azure AD では、30 秒または 60 秒ごとにコードを更新する OATH TOTP （ Time based One Time Password ）トークンの使用をサポートしています。 OATH ハードウェアトークンには、事前にプログラミングされた秘密鍵が付属しています。この秘密鍵を Azure AD に設定する必要があります。

OATH ソフトウェアトークン

OATH ソフトウェアトークンは、 Microsoft Authenticator やその他の認証アプリなどで利用することができます。秘密鍵は Azure AD 側で生成されます。

SMS（ Short Message Service ）

Azure AD で SMS ベース認証が可能です。サインインのフローで電話番号を入力することで認証コードを SMS で通知することができます。

音声通話

携帯電話番号を入力することでユーザーへコールバックすることで自動音声通話による確認コードを通知することができます。

3.まとめ

本記事では Azure AD の認証について解説してきました。全体的なトレンドとして従来一般的であったパスワード認証はセキュリティ面においてリスクが高いことから廃止する動きが見られます。実際にパスワード認証は 2017 年には 33 億の資格情報が盗まれたと報告されています。またパスワードの変更などユーザー側の管理も煩雑です。

このことから、クラウドサービスが普及する近年において、アカウント管理をセキュリティ向上させながら、管理負担を削減し効率化、生産性の向上をさせるという目的を達成させるために、Azure AD の認証機能を活用することが推奨されます。

自社の利用環境に合わせて認証方法、ツール、サービスを組み合わせて導入する必要がありますので、Azure AD 導入に当たっては是非専門家へのご相談を推奨します。

• 

  AWSとAzure、テレワークの普及で注目を集めるDaaSについての比較

• 

  Azureへデータ移行するには？移行のためのステップと環境に合わせた移行方法を紹介！