“ドメイン認証を受けないユーザー”を対象としたパスワード期限、アカウントロック解除の効率的な運用方法クラウド活用におけるActive Directoryアカウント管理

グループウェアやメールなど、クラウド上のシステムを使う上で認証にオンプレミスのActiveDirectoryを利用するケースも多い。「社外からWeb経由で利用する」など「Windowsドメイン認証を受けていないユーザー」には「Active Directoryのパスワード期限が通知されない」といった問題が多くの企業や組織で課題になっている。セキュリティ、ガバナンスの徹底が強く求められている昨今、社内外のシステムのアクセス権限管理を、低コストで確実に行う方法とは何か?

» 2015年03月31日 10時00分 公開
[PR/@IT]
PR

クラウドに拡散するADアカウントロック解除運用の課題

 クラウドサービスの企業や組織での利用が広がる中、社内外のシステムにまたがるID管理をどう行うかが課題になってきた。特に管理面では、クラウドやオンプレミスにあるシステム/サービスを、Active Directoryなど一つの認証基盤で統合管理することが望ましい。だが複数のシステム/サービスが混在する中で、こうした取り組みを行うことは簡単ではない。そんな中、これまでシステム担当やITヘルプデスクを悩ませてきたアカウント管理にまつわる課題がクラウド環境にも波及してきたという。

 ゾーホージャパンでマーケティング部マネージャを務める曽根禎行氏は、アカウント管理の課題について、次のように説明する。

ALT ゾーホージャパンの曽根禎行氏

 「Active Directory認証のパスワードの期限を超過してしまい、アカウントがロックされるケースが頻発しています。特に問題となっているのは、ドメインに参加しないユーザーが、Active Directoryを認証基盤とした、メールやグループウェア、勤怠管理、経費精算などのクラウド型のアプリケーションを利用する場合です」

 Windows PCへのログインを通じてドメイン認証をするユーザーに対しては、パスワードの有効期限が近付いていたらログイン成功時にPC上にポップアップで通知を行うことが可能だ。また、Windowsの標準機能でドメインパスワードを変更するGUIも提供される。

 だが、Windowsドメイン認証を行わないユーザー、つまり、ローカル認証のみでログインをするWindows PCやデバイスを利用するユーザーに対しては、「Active Directoryのパスワード変更画面がユーザーに提供されない」「パスワードの期限設定を行っている場合、期限前にユーザーに通知を行うことができない」といった問題が起こる。

 つまり、社外に常駐する社員や、外出先から主にクラウドサービスなどのWebを通じたシステムにしかアクセスしない従業員など、Windowsドメイン認証を行わないPCやデバイスを使うシーンが増えた現在、「パスワード期限を設定できないユーザーが存在してしまう」「パスワード変更を行う画面が提供されないため、常に管理者側がパスワードを期限前に変更する手間が生じる」、場合によっては「メールなど、何らかの形でユーザーに変更後のパスワードを通知する」など、セキュリティと運用効率の両面で、最も不適切な状態に陥ってしまうケースもあり、多くの企業がこの問題解決を急いでいるのだ。

ドメイン認証されていないユーザーをどう管理するか

 こうしたクラウドサービスのアカウント管理にまで拡散したアカウントロックやパスワード管理のさまざまな課題に応えるのが、ゾーホージャパンの「ManageEngine ADSelfService Plus(以下、ADSelfService Plus)」だ。

 ADSelfService Plusは、Active Directoryのアカウント管理に関わる作業負荷を軽減するツール。アカウントロック解除やパスワードリセット、Active Directory情報の更新を、ユーザー自身で行える点が最大の特長だ。ゾーホージャパン ManageEngine&WebNMS事業部 技術部の石井翔平氏は次のように解説する。

ALT ゾーホージャパンの石井氏

 「クラウド上でのアカウントロックやパスワード管理の問題を突き詰めると、Windowsドメイン認証を受けないユーザーをどう管理していくかに行き着きます。ADSelfService Plusは、Active Directoryのドメインユーザーだけではなく、ドメイン認証を受けていないユーザーに対しても、アカウント管理のためのセルフサービス機能を提供することができます」(石井氏)

 クラウドサービス上でのアカウントロックの問題は、いったんロックされてしまうと、それを解除するためのインターフェースが用意されていないことだ。例えば、Active Directoryのログイン情報を使ったOffice 365へのログインに失敗し、ロックされてしまったら、ユーザー自身ではそれ以上なすすべがなくなる。電話などでIT管理者に問い合わせるなどして、ロックを解除してもらうしかない。

 ここでADSelfService Plusを導入すると、Office 365のログイン画面の他に、アカウントロックを解除するための専用のログイン画面が提供されるようになる。アカウントがロックされたら、Webブラウザーで指定されたURLにアクセスして、ユーザー自身がロック解除の手続きを行えばよい。社外スタッフやパートナーなど、普段からドメイン認証を利用していないユーザーも同様だ。Active Directory上でアカウントを管理しておき、もしユーザーがログインに失敗してアカウントがロックされてしまったら、アカウントロックの解除画面に誘導することができる。

 パスワード期限通知についても、シンプルに解決できる。パスワード期限通知の問題は、Active Directoryを導入している環境では、ドメインユーザーにしか通知ができないことにあった。ADSelfService Plusを導入すると、ドメイン認証を受けないユーザーに対して通知を行う画面が提供される。管理者は、この画面上で、期限が切れる前に指定した頻度でメール/SMSで通知を送信することができるのだ。

 通知を受け取ったユーザーは、ADSelfService Plusにログインし、自分でパスワードの変更を行う。本人確認のために、セキュリティ質問や認証コードの送付など、マルチファクター認証をサポートしており、安全にパスワードの変更を行うことが可能だ。

安全性の高い"別の入口"からシンプルに解決

 実際に、これら2つの機能はどのような画面として提供されるのか。実際の利用シーンを見ながら、具体的に紹介してみよう。

パスワードの更新期限が近づいている場合の利用シーン

 まずは、パスワードの更新期限が近づいている場合のADSelfService Plusの利用シーンだ。更新期限の通知は、管理者が管理画面から設定する。以下は、更新期限通知のメール送信を設定する、管理者側の「メール通知機能設定画面」だ。

ALT 図1 管理者側の「メール通知機能設定画面」。特別なスキルがなくても操作できるシンプルで分かりやすいUI《クリックで拡大》

 設定項目としては、「通知スケジュール」「通知方法」「通知頻度」「通知を開始する日数」「通知内容」などがある。「通知スケジュール」では、通知対象ごとにOU(組織単位)/グループを選択できる。

 「通知方法」はメール/SMSで、通知頻度は「毎週/毎日/特定の日」あるいは「何日前から通知開始」といった具合に任意に設定できる。メール/SMSでの通知文面も自由にカスタマイズできる。例えば、パスワード期限満了日の直近は、やや強い口調の文面にするといった工夫ができる点もポイントだ。

 また、通知対象となるADユーザーの上司属性にあるユーザー、あるいは任意のAD管理者に対して、更新期限通知メールを送った証跡として「送信レポート」を自動送信することも可能。更新期限を予告したことを確認できる他、上司あるいは管理者側から対象ユーザーに「メールが送られたはずですが」などと直接、声掛けをして万一の失念を防止することにも役立つ。

ALT 図2 更新期限通知メールを送った証跡として「送信レポート」をADユーザーの上長などに自動送信することも可能《クリックで拡大》

 一方、通知を受けたADユーザーは更新期限通知メールを確認し、期限切れ前にWebブラウザーでADSelfService Plusへアクセスし、ADパスワードの変更を行う。 具体的には以下の3ステップで簡単かつシンプルに行える。

ALT 図3 ADパスワードの変更もADユーザー側がセルフサービスで行える《クリックで拡大》

パスワード更新期限が切れてしまった場合/パスワードを忘れてしまった場合

 次は、パスワードの更新期限が切れてしまった場合や、ユーザーがパスワードを忘れてしまった場合の利用シーンだ。

 更新期限が切れると、基本的にアカウントはロックされる。このため、ロックされログインができなくなったユーザーは自分で専用画面に行ってロックを解除することになる。同様に、パスワードを忘れてしまった場合も、この専用画面に行ってパスワードをリセットすることになる。具体的には、以下の4ステップで簡単に行える。

ALT 図4 アカウントロックの解除もユーザー自身で簡単に行える《クリックで拡大》

 ロック解除の場合は、最初の画面左下の「アカウントがロックされた場合」をクリック(ステップ1)→表示されたポップアップにユーザー名を入力(ステップ2)→本人確認のためのオプションを選択(ステップ3)→セキュリティ質問に答えてロックを解除する(ステップ4)。パスワードを忘れた場合は、左下の「パスワードを忘れた場合」をクリック。ほぼ同様の手順でパスワードを再設定する。こうして実際に見てみると、シンプルでありながら有効性の高い解決策であることがお分かりいただけるだろう。

データへのアクセス権限は人だけでは守りきれない

 システム担当やITヘルプデスクにとって、アカウントロックやパスワード管理はかねてより悩みの種だった。Active Directoryによるアカウント管理対象が、社内環境からクラウドサービスへと拡大したことで、ますます対応が難しくなってきているといえるだろう。

 実際、曽根氏によると、「ドメイン認証を受けないユーザーをどう管理すればいいかという顧客からの要望は日増しに高まっている。そうした背景もあって、2014年からADSelfService Plusによるドメイン認証を受けないユーザーに対するサポートを強化してきた」という。曽根氏は今日の状況に対して次のようにアドバイスする。

 「データへのアクセス権限管理は、人手での運用では守りきれなくなっています。ポリシーに準拠するための仕組みであるはずなのに、ドメイン認証を受けないユーザーには通知の手段がなく、アカウント変更のためのプロセスもないという状況は避けなければなりません。また、無理な運用がアカウントロックの頻発を招いているという側面もあります。複雑なプロセスは運用効率を低下させるだけではなく、セキュリティの抜け穴につながります。ツールを上手に使って、運用工数の削減とガバナンスの徹底を両立することが大切です」

 シングルサインオンやIDフェデレーションなど、クラウドサービスとオンプレミスシステムをまたがったアカウント管理は、セキュリティ、ガバナンスの両面でますます重要性が増している。そうした管理体制の整備は、“運用で解決”するような人手だけに頼ったアプローチでは実現が難しい。アカウント管理の在り方を“仕組み化する”ことが、運用負荷低減と、セキュリティ、ガバナンスの確実な担保には不可欠となる。ADSelfService Plusは、そうした仕組みをシンプルかつ低コストで構築できる格好の選択肢といえる。その適用シーンを考えながら、自社のアカウント管理体制をあらためて見直してみてはいかがだろう。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:ゾーホージャパン株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2015年5月20日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。