AD連携とシングルサインオンについて

Microsoftブログを紹介する女性

様々なデバイス端末やITソリューションの使用が広がる中、組織の管理者はユーザー情報を管理しなければなりません。そこで活用できるのが「AD(Active Directory)」です。

本記事では、ADの概要やメリット・デメリット、シングルサインオン(SSO)のAD連携について解説します。
これからAD連携によるシングルサインオンを導入しようと考えている方、社内のセキュリティを強化させたいとお考えの方は、ぜひご参考ください。

AD連携とは?

ADとは「Active Directory」の略称で、マイクロソフト社から提供されている機能であり、ユーザーアカウントや端末情報を管理することが可能です。サーバー用OSであるWindows Serverに備えられており、ユーザー及びコンピューターを管理するための仕組みにより、管理下にあるPCやスマホなどのデバイス端末に対するシングルサインオンを実現します。

アクセス権限があるユーザーのみを認証し、アクセスの許可を出すのがADの役割です。ユーザーは一度、ユーザー名とパスワードを入力すれば、アクセスが許されている範囲に継続してアクセスし続けることができます。AD連携は、リソース管理機能として有効的な方法だといえるでしょう。

Active Directoryの構造図

ADを導入する目的

ADは、データへのアクセスを認証・管理するために利用されます。
組織の環境として、誰もが社内のデータにアクセスできる環境は、セキュリティ面において好ましくなく、権限が与えられてないユーザーと共有できることは、早急に解決すべき問題です。

そこでADを導入し、ユーザーの属性ごとに権限を付与しセキュリティ強化を実現する他、個人ごとに権限を設定する必要がなくなるため、管理者の作業負荷も削減できます。

ADのユーザー認証においては、ユーザー名とパスワードが一時的に利用されます。他人にユーザー名とパスワードが知られてしまった際に不正アクセスさせないよう、指紋認証・スマートカードなどを使用した認証機能と連携させて、セキュリティをより強化することも可能です。

ADは管理者の負担軽減につながる

先述の通り、部署や役職といったユーザーの「属性」でアクセス制御が可能ため、ユーザーごとに個別で制御を設定する手間を省けます。新入社員や人事異動の際でも、ユーザー属性で制御されていれば、度々権限を割り振り直す必要はありません。

セキュリティ管理だけでなく、グループポリシー機能によって、利用端末の自動セットアップも可能です。利用端末へ組織の運用ルールやソフトウェアのインストール、OSのアップデート管理なども行え、効率的な一元管理化を実現します。
AD連携により、システム管理者の負担軽減を期待できるでしょう。

シングルサインオンとは?

シングルサインオンとは、「シングル(single)」と「サインオン(sign-on)」の2つの単語が組み合わさった造語です。

シングルサインオンは、「一度システムの認証を行うと、複数システムの利用を開始する際に、都度認証を行わずログインできる」または「一度のシステム認証により複数システムに同時に認証できるようにする製品・ソリューション」を意味します

近年、組織のクラウド活用の進展に伴い、シングルサインオンの導入も拡大していますが、リモートワークの普及により、さらに重要視されるようになりました。
リモートワークでは、従業員の業務環境において社内外の境界線が曖昧となり、セキュリティ意識が薄れる傾向があります。社外にいるメンバーが社内システムを使用したり、社内にいるメンバーが社外にあるクラウドサービスを利用したりする場面が増え、システム・クラウドサービスへのログイン認証の回数も増えるでしょう。

このような業務環境の変化により、クラウドサービスでシングルサインオン認証が採用されました。そして、利便性と安全性を兼ね備えているシングルサインオンを利用する組織が増加しています。

シングルサインオンの認証構成は、一度の認証で、対応するシステム・クラウドサービスへのログインが可能

シングルサインオンが注目されている理由

リモートワークの普及や組織のDX(デジタルトランスフォーメーション)推進により、クラウドサービスやSaaS(Software as a Service)の利用が拡大したため、シングルサインオンが注目されています。業務ごとで異なるクラウドサービスを導入している組織も多く、複数のクラウドサービスを利用することが一般的となりました。

利用するサービスが増えると、おのずと管理するIDとパスワードも増えます。同じパスワードを使い回すことはセキュリティ的に好ましくないとされているため、複数のパスワードを使い分けるには、それなりの手間となるのではないでしょうか。

シングルサインオンは、アカウント管理の運用負担を減らすことで、ぜい弱なパスワードの使用を回避します。簡易なパスワードを設定したりパスワードを使い回したりするような、セキュリティの低下を防ぐでしょう。
また、情報漏えいや不正アクセスを防止し、サイバー攻撃への対策を強化するという側面もあります。これらの理由から、シングルサインオンの採用が広まっているのです。

不正アクセスについて、下記記事にて詳細を解説しています。ぜひ、ご参考ください。
不正アクセスを防ぐには? 被害事例と対策を徹底解説

AD連携やシングルサインオンのメリット・デメリット

AD連携やシングルサインオンの概要について説明してきましたが、メリット・デメリットについて、それぞれ解説します。

メリット①不正アクセス・機密情報漏えいのリスク軽減

複雑なパスワードをひとつ管理するだけで済むため、そのパスワードを厳格に管理できれば安全性が高まります。

複数のサービスを利用する中で、簡易的なパスワードを設定したり、パスワードを使い回したり、パスワードをメモに残したりなど不適切な管理をしてしまうと、セキュリティがぜい弱になる恐れがあります。しかし、シングルサインオンによってひとつのID・パスワードで複数サービスにログインできるようになれば、英大文字・英子文字・数字など混在させた複雑で強固なパスワードを設定することは、そこまで苦ではないといえるのではないでしょうか。

IDとパスワードの漏えいは、不正アクセスや機密情報の流出につながりかねません。強固なパスワードを適切に管理することで、セキュリティリスクを減少できます

メリット②IT部門の負担軽減

シングルサインオンはIT部門の負担を軽減することも、大きなメリットです。

「社内システムのパスワードを忘れてしまった」「誤ったパスワードを数回入力したため、アカウントがロックされてしまった」といったことが起きた際、主に組織のIT部門や情シス部に問い合わせ、パスワードを再設定したり、アカウントをリセットしたり担当者に対応してもらいます。
社員数が数人程度でそこまで多くなければ大した手間とはならないかもしれませんが、社員数が多くなるほど莫大なリソース・人件費がかかるでしょう。

シングルサインオンを導入すれば、ID・パスワードを一元管理でき、従業員各自で個人管理が徹底されるため、IT部門の負担軽減を実現できるといえます。負担が軽減された分、より重要なコア業務にリソース・人材を割けるようになります。

デメリット①不正アクセス・パスワード流出時の被害拡大

各個人が所持しているデバイスに対して強固なセキュリティ対策を講じていたとしても、シングルサインオンのサービス自体に不正アクセスされると、使用しているすべてのサービスへ連鎖的にアクセスされてしまう恐れがあります。

その際の解決策として、スマホへのプッシュ通知によるパスワードレスな認証方法、ワンタイムパスワード、2段階認証(ID・パスワード入力の他にアプリでのログイン可否の選択や、セキュリティコードの入力を追加すること)、生体認証などを組み合わせて利用することが有効です。
1種類の認証方法しか用いられてない場合は、いずれかの方法を取り入れて、2種類の認証方法を組み合わせることをおすすめします。

スマホへのプッシュ通知やワンタイムパスワード、生体認証など2種類以上の認証方法を組み合わせ、不正アクセスを防ごう

デメリット②認証システムへの依存

シングルサインオンは、Webサービス・アプリケーション・クラウドサービスなどのサーバーと連動します。そのため、シングルサインオンのシステム自体が停止すると、関連するサービスにログインできなくなってしまい、業務が停滞するでしょう。

こうなることを防ぐため、シングルサインオンを提供しているメーカーに、サービスの稼働率やサービス保証について、またシステムが停止した際の対応について、事前に確認しておく必要があります。場合によってはシステム停止時の補償という話になってくるため、しっかりと把握しておきましょう。
また、特に重要なサービスへのログイン情報は、シングルサインオンだけでなく、別途管理するなど、社内でできるリスク管理をしておくこともよいかもしれません。

シングルサインオンを実現する新しいID管理サービスとは

シングルサインオンを実現する新しいID管理サービスとして、IDaaSが注目されています。

IDaaSは「Identity as a Service」の略称で、社内外のID管理をクラウド上で一元的に行えるのが特長です。IDaaSには、多要素認証やアクセス権限の管理、オンプレミス型サーバーとクラウドの連携といった機能が含まれます。そのため、IT部門や情シス部にとってもID管理が容易になったり、ログを分析できたりと、メリットが大きいようです。

また、リモートワークの導入で生じた「社外におけるエンドポイントのセキュリティ強化」にニーズにも応えており、さらにセキュリティを強化させたいと考えている組織の多くがIDaaSを導入しています。

認証強化やID連携を実現する「GMOトラスト・ログイン」

GMOグローバルサイン社が提供する「GMOトラスト・ログイン」は、Office 365をはじめとする様々なクラウドサービスに対し、シングルサインオンを実現するIDaaSです。
ID・パスワード管理やシングルサインオンの他、認証強化やAD連携の機能を低価格で実現できるのが特長です。

認証強化オプションとして、プッシュ通知認証・ワンタイムパスワード・デバイス制限・ステップアップ認証・SaaSアカウントの自動発行/削除などの機能が用意されています。

GMOグローバルサイン社は、SSL認証局として20年以上の実績があり、高レベルなセキュリティ情報を守る運用ノウハウを備えています。また、GMOトラスト・ログインは、ISO(International Organization for Standardization:国際標準化機構)から情報セキュリティ管理における安全性を認められたサービスなため、安心して使用することができるでしょう。

テクバンでは、GMOトラスト・ログインの導入サポートを行っております。「シングルサインオン対応をしたいが、どのIDaaSを選べばよいか迷っている」「GMOトラスト・ログインを導入したいが、社内システムとの連携をサポートしてほしい」などお悩みでしたら、ぜひお気軽にご相談ください。
GMOトラスト・ログイン導入サポートについては、こちらから。

また、GMOトラスト・ログインについて資料を用意しております。ぜひ、ご参考ください。
増え続けるクラウドサービスと社内システムの高度なログイン管理を実現!

img-light

AD連携をはじめとするシングルサインオンを活用し、適切なID管理を

Microsoftのお役立ち情報を知って喜ぶ男女

AD連携をはじめ、シングルサインオンが注目されている背景やメリット・デメリットについて解説しました。

複数のクラウドサービスを業務に取り入れることは、業務改善を図り、有効的な手段ではありますが、同時にセキュリティ対策にも強固に講じなくてはなりません。

「AD連携を行いたい」「自社に合うIDaaSを提案してほしい」などのご要望がありましたら、テクバンがサポートいたします。
セキュリティの強化やIDの一元管理化による負担軽減を実現させ、お客様にとって適切なID管理の環境を構築します。

※本記事の内容は2023年6月時点のものです。Microsoftの仕様や利用環境は変更する場合があります。

最適なセキュリティ環境で得られる安心感は、企業の成長、ビジネスの活性化、イノベーション創出につながります。包括的なセキュリティ強化を検討してみませんか。