企業でのクラウド利用が広がるにつれ、オンプレミスでのID管理をいかにしてクラウドと連携させるかが課題となってきた。マイクロソフトの「Enterprise Mobility Suite」は、企業が抱えるID/アクセス管理の課題をトータルで解決するソリューションになる。日本マイクロソフトの安納順一氏に、Enterprise Mobility Suiteのコンセプトや特長を伺った。
企業のパブリッククラウドの積極的な利用に伴い、社内外に散在するようになったIDの管理が大きな課題になってきている。その代表的な例が、社内(オンプレミス)にあるWindows ServerのActive Directoryとクラウドとをいかにして連携させるかというケースだろう。
そうした現状に対して、マイクロソフトのエバンジェリストである安納順一氏(デベロッパーエクスペリエンス&プラットフォーム統括本部)が提案する解決策は、「クラウドとオンプレミスをシームレスにつなぐ、統合的なディレクトリサービス環境を構築する」ということだ。
「統合的なディレクトリサービス環境」とは、具体的にはどのようなものなのだろうか。その前に、今日的な「ID/アクセス管理」(Identity & Access Management:IAM)の課題を振り返ってみよう(図1)。
よくあるのは、クラウドサービスごとにそれぞれIDを作成してしまい、利用するクラウドサービスが増えるごとにIDが増え、乱立状態になってしまうというケースだ。この場合は、一つのアカウントのセキュリティが破られると、そこから他のアカウントも侵入される恐れがあるという。こうした状態をIT部門が集中的に管理することは、ほとんど不可能に近い。
そこで、社員に発行しているメールアカウントとクラウドサービスのIDを連携させる、いわゆる「シングルサインオン」を実現しよういう考えが浮かぶ。例えば、メールシステムをクラウドに移行し、SAML 2.0やWS-Federation、OpenID Connectといった業界標準の認証プロトコルで連携することで、各自のメールアカウントで他社のクラウドサービスにログインできるようにする。認証は「多要素認証(Multi-Factor Authentication:MFA)」で行うことで、セキュリティやコンプライアンスを確保するのである。
クラウド上だけであれば、こうした仕組みは有効に機能することが多い。しかし、社内のオンプレミス環境で動作する業務アプリケーションのアカウントや、Active Directoryで管理しているWindowsユーザーアカウントとの連携はどうするか。また、ワークスタイル改革の一環として、モバイルデバイスを業務に活用する動きが進んでいるが、それらのデバイスで用いるアカウントを企業内と企業外でどのように管理していくかという課題も浮上してくる。
さらに、個人所有のデバイスを業務で利用させるBYOD(Bring Your Own Device)を実現するには、既存のアカウントとデバイスのアカウントの“紐付け”も考慮する必要がある。デバイスのアクセス制限やアカウントの権限管理という、性質の異なる課題への対応も必要だ。また、Windows PC以外にも、多様化するモバイルデバイス(Windows Phone、iOS、Android)のサポートも必須となる。
このように、近年のID/アクセス管理にまつわる“目の前の課題”を整理していくだけでも、早急に対処が必要な課題が複数あることが分かってくる。安納氏によると、実際にこうした課題への対応で難儀している企業は多いとのこと。
「これまで、マイクロソフトは多くのお客さまとモビリティやID/アクセス管理に関する取り組みを進めてきました。そこで分かったのは、当初のニーズは企業ごとにさまざまですが、最終的には同じような道をたどるということです。必要な機能やソリューションを個別に実装すると、コストは増えてしまいます。最初から必要なものをセットにして提供することで、トータルのコストを抑えることができます。また、次に何をするのが望ましいかを知ることもできます」(安納氏)
マイクロソフトがこうしたモビリティやID/アクセス管理の課題を解決するため、2014年5月に提供を開始したソリューションが「Enterprise Mobility Suite」(以下、EMS)だ。EMSは、クラウドID管理ソリューションの「Microsoft Azure Active Directory Premium」(以下、Azure AD Premium)、モバイルデバイス管理ソリューションの「Windows Intune」、データ保護/暗号化ソリューションの「Microsoft Azure Rights Management Service」(以下、Azure RMS)を一つにまとめたスイートライセンスになる(図2)。
企業がモビリティに対する取り組みを進める上で不可欠なコンポーネントを、一つのライセンスにまとめることで価格を抑え、その後の展開をスムーズに行えるようにしている。
EMSを構成するソリューションの一つであるAzure AD Premiumは、Microsoft Azureが提供しているディレクトリサービス「Microsoft Azure Active Directory」(以下、Azure AD)の機能拡張版だ。
Azure ADは「Office 365」をはじめとするMicrosoft Online Servicesや、他のクラウドベンダーのSaaS(Software as a Service)アプリケーションへの安全な接続を実現するクラウド型のID/アクセス管理サービスになる。多彩なクラウドサービスへのシングルサインオン(SSO)を実現し、オンプレミスのActive Directoryとも「Active Directoryフェデレーションサービス」(AD FS)を介して連携することが可能だ。
Azure AD Premiumは、Azure ADの基本機能に「多要素認証」や「グループベースのアクセス管理/プロビジョニング」「クラウドユーザーのセルフサービスによるパスワードリセット」「高度なセキュリティレポート(機械学習ベース)」「Microsoft Forefront Identity Manager(MIM、旧略称 FIM)CALおよびサーバー」といった12の機能が追加されたものになる(表1)。
「Azure AD Premiumを利用することで、高度なID管理、セキュリティ、監査の各機能、オンプレミスとMicrosoft AzureのActive Directory間の企業規模での同期機能などが利用できるようになります」(安納氏)
例えば、企業からのニーズが多いと思われる多要素認証について、Azure ADでは二つ目の認証要素として、電話、メール、モバイルアプリケーションなどを追加する機能が提供されている。Azure AD Premiumでは、さらに電話を使った認証時におけるカスタムの音声通話、内部設置型アプリケーションの多要素認証/多要素認証サーバーなどが追加される。MFA SDK(Software Development Kit)の利用も可能になる。
Azure AD Premiumを含むEMSを利用する最大のメリットは、「ハイブリッドID管理」を実現できること。ハイブリッドID管理を簡単にいえば、オンプレミスのディレクトリサービス(Active Directory)と、クラウド上のディレクトリサービス(Azure AD Premium)を、一つのID/アクセス管理システムに統合すること。ハイブリッドID管理環境下では、オンプレミスとクラウドをまたがって、ユーザーID、PC/モバイルデバイス、アプリケーション、データを統一的に管理できるようになる。
ハイブリッドID管理とは、具体的にどのようなシステム構成になるのかを安納氏に解説していただいた。
「基本的には、場所を問わず、全ての認証を社内Active Directoryドメインで行うという考え方になります。もちろん、パスワードもオンプレミスのActive Directoryで管理します。ただし、クラウド上のリソースに対してはAzure AD Premiumに登録されたIDを利用するので、社内Active Directory上のIDとAzure AD Premium上のIDを“フェデレーション”と呼ばれるテクノロジによって連携させます。これにより、どこからサインインしても必ずオンプレミスActive Directoryによる認証プロセスを通過することになりますし、どのサービスにも同じIDでサインインできるので、セキュリティポリシーを統一し、社外のITリソースに対してコンプライアンスを徹底できるようになります」(安納氏)
社内リソースにアクセスするデバイスには2種類存在する。一つはActive Directoryドメインに参加している社内PC。もう一つが、ドメインに参加していない(することができない)モバイルデバイスだ。
社内PCがドメイン内のリソースにアクセスする場合は、Active Directoryドメインサービスによるコンピューターアカウントの認証とユーザーアカウントの認証が行われる。社内PCはグループポリシーによってITガバナンスを効かせることができるため、その安全性は担保されているといえる。
一方、モバイルデバイスの利用を許可している企業の多くは、ユーザー認証のみでリソースにアクセスすることになる。言い換えれば、コンピューターアカウントの認証が行われていないため、デバイスに対するガバナンスが効いていない状況を許していることになる。ガバナンスの効いていないデバイスは、それが社員の個人デバイスであろうと、マンガ喫茶に常設されているPCと安全性のレベルは変わらない。
そこで、最新のActive Directoryでは「Workplace Join」と呼ばれる機能が提供されている。これは社外のデバイスをドメインに登録し、デバイス認証を可能にするものだ。Active Directoryは登録が許されたデバイスの属性をチェックし、ユーザー認証を許してよいデバイスかどうかを判断できるようになる。
さらに、Windows Server 2012 R2では「Web Application Proxy」と呼ばれるサービスも提供されている。これは社内リソースへのリバースプロキシでもあり、Active Directoryドメインサービスへの認証プロキシとしても機能する。Workplace JoinとWeb Application Proxyを併用することで、社外からのアクセス要求に対して、それが許可されたデバイスからかどうかを判別することが可能になる。Web Application Proxyは社外からの認証要求をActive Directoryフェデレーションサービス(AD FS)に転送し、AD FSがActive Directoryドメインサービスと連携することによってユーザーとデバイスの認証を行っている。
次に、社外かつドメイン外のリソースに対するアクセスを考慮する必要がある。これは、Office 365をはじめとするSaaSなどのクラウドサービスへのアクセス、連携をどうするかという課題だ。この場合に必要になるのが、Azure ADやAzure AD Premiumだ。Azure ADおよびAzure AD Premiumはクラウドサービスへのアクセス制御を担当するが、実際のユーザー認証やデバイス認証はオンプレミスのActive DirectoryドメインサービスとAD FS側で行われる。
これにより、Active Directoryドメインサービスのアカウントを使って、Office 365やSalesfoce.com、Amazon Web Services(AWS)、Google Appsなどへの一元的なアクセス制御が可能になる。こうして、Active Directoryを中心としたシンブルで安全なID/アクセス管理環境が構築できることになる(図3)。
EMSを構成する要素には、Azure AD Premiumの他にWindows IntuneとAzure RMSがある。Windows Intuneは、クラウドベースのモバイルデバイス管理(Mobile Device Management:MDM)/モバイルアプリケーション管理(Mobile Application Management:MAM)ソリューションだ。
Windows IntuneはWindows OSだけでなく、Windows Phone、iOS(iPhone/iPad)、Androidをサポートしているので、現在モバイルで利用されているほとんどのデバイスを一元的に管理することができる。
具体的な管理シナリオとしては、例えばモバイルデバイスのロックスクリーン解除時にパスワードを必須するといったデバイス管理ポリシー、紛失時の強制的なリモートワイプといった機能を利用できる。この他、企業が個人に配布したiPadであれば、カメラ機能を強制的にオフにするなど、多彩な管理ポリシーを用意している。
なお、Windows Intuneは、2014年末に予定されているバージョンアップで「Microsoft Intune」に名称変更される。これは、Windows IntuneがMDM、MAMソリューションとして、Windowsだけではなく、iOS/Androidプラットフォームもサポートするという、マイクロソフトの戦略を反映したものになる。
Azure RMSは、企業データの一元的な保護・暗号化を実現するソリューションで、さまざまなアクセスポリシーを指定できる。例えば、アクセス可能なユーザー、アクセス期限、利用できる権限内容などを詳細に指定できる。この他、RMSコネクタを利用することで、オンプレミスのOffice、Exchange、SharePointのデータ保護/暗号化も可能になる。この機能もWindows(Windows RTを含む)だけでなく、iOSやAndroidデバイスでも利用できるため、これも個人デバイスによる業務遂行に大きな役割を果たすものとなる。
Azure AD Premium、Windows Intune、Azure RMSの三つがそろうことで、BYODに必要になる、デバイスのアクセス管理、アプリケーションの管理、データ保護がトータルで実現できるようになるわけだ。
安納氏は近年のID/アクセス管理について、「企業がITで実現したいことに振り返って、投資を検討すべき」とし、次のようにアドバイスする。
「企業がITに投資して実現したいのは、“生産性向上=自由度の高い働き方+リスク低減(ITガバナンス)”です。働き方の自由度を決めるのは、業務を遂行できるための場所や時間、ツールなどの制約を無くすことです。ただし、何でもかんでも許すというのではなく、許可された場所で、適切なユーザーが、適切なデバイスからストレスなくアプリケーションを利用できる環境が欠かせません。つまり、ID/アクセスの管理によって、社員の生産性を向上させることを目指しているのです」(安納氏)
ハイブリッドID管理は社員の生産性を高める手段として有効であり、そのためのソリューションとしてEMSが役立つということ。クラウドの普及でID/アクセス管理はますます複雑になっている。ともすれば、目の前の課題を解決することが、社員の生産性を低下させることにつながるのかもしれない。また、展望のないIT導入が思わぬコスト増を招いていることもあり得る。マイクロソフトのEMSは、そうした企業こそ導入すべきソリューションといえよう。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:日本マイクロソフト株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2014年11月21日