1. HOME
  2. セキュリティコラム
  3. お役立ち情報
  4. Active Directoryが求められる背景や機能についてわかりやすく解説

Active Directoryが求められる背景や機能についてわかりやすく解説

Active Directoryが求められる背景や機能についてわかりやすく解説

Active Directory(アクティブ・ディレクトリ)とは、Windowsのサーバーに搭載されている機能で、ネットワークにつないでいるクライアント端末やサーバー、プリンター、アプリケーションなどの情報を収集し、一元管理できるディレクトリサービスです。情報とは具体的には、ユーザー情報やIPアドレス、ハードウェアの設定、アクセス権限などです。
Active Directoryには、ユーザー情報の管理機能のほかに権限設定機能などがあり、活用することで管理者の負担を軽減できます。

本コラムでは、Active Directoryの概要と求められる背景、機能や活用するメリットについてご紹介いたします。

クラウド型ID管理・統合認証サービス「Okta(オクタ)」のサービスページはこちら

Active Directoryとは

Active Directory(アクティブ・ディレクトリ)とは、Windowsのサーバーに搭載されている機能で、ネットワークにつないでいるクライアント端末やサーバー、プリンター、アプリケーションなどの情報を収集し、一元管理できるディレクトリサービスです。Windows Server2000から提供が開始されました。

ネットワークにおける「ディレクトリサービス」とは、情報を一元管理しておき、求める情報を検索して得られるシステムのことです。ここでいう情報とは、ユーザー情報やIPアドレス、ハードウェアの設定、アクセス権限などのことです。ディレクトリサービスを提供するサーバーをディレクトリサーバーといいます。
なお、SEOにおいて用いられるディレクトリサービスとは、カテゴリ別に掲載されるWebサイトのリンク集を指すため、混同しないようご注意ください。

Active Directoryには、ユーザー情報の管理機能のほかに権限設定機能などがあり、活用することで管理者の負担を軽減できます。Active Directoryの機能や活用メリットについては「Active Directoryの機能」「Active Directoryのメリット」で、それぞれ詳述します。

Active Directoryが求められる背景

2000年からサービス提供されているActive Directoryですが、求められるようになった背景として、どんなことが挙げられるでしょうか?

Active Directoryの開発の背景

Active Directoryが登場する前は、「Windows NT」という業務用シリーズにおいて、任意の管理グループ単位でコンピューターやユーザーアカウントなどを管理する「NTドメイン」が使われていました。

ただ、NTドメインには、次のような課題がありました。
・ドメインの階層構造をつくることができない
・広域ネットワークの利用に適さない
・データを保存できる容量が少ない

組織の人数が多くなれば、上部組織と下部組織などでドメインを分けることがありますが、その階層構造が作れないためにドメインごとの管理ができず、大雑把な管理しかできませんでした。
また、NTドメインは当時のLANのように狭く限られたネットワークでの使用が想定されていたため、WANなど広域での使用にも向いていませんでした。
さらに、ユーザーやコンピューターのアカウント情報などを格納しておくSAMの容量が最大でも約4万件までだったため、大きな組織になると資源の情報を管理しきれなくなる問題もありました。

このような課題を解消するべく、Active Directoryが開発されました。

Active Directoryが必要な理由

Active Directoryは、単にNTドメインが抱えていた課題を解消しただけでなく、より効率的に情報管理が行えるような機能が充実しています。ID/パスワード管理や権限管理ができることから、シングルサインオンが可能になったり、管理者が登録されているパソコンの設定を行ったりすることが可能になりました。

業務におけるコンピューターやネットワークの重要性が増す中で、ユーザー側・管理者側、双方の利便性を高めてくれるActive Directoryが求められるようになり、従来、NTドメインを利用してきた管理者は、Active Directoryへ移行していきました。

Active Directoryの機能

Active Directoryには、主な機能として以下の4点があります。

ユーザーID/パスワードの一元管理

Active Directoryには、ドメイン内のユーザーのID/パスワードを管理する機能があり、階層構造で管理することができます。
Active Directoryを利用しない場合、ユーザーはシステムごとにユーザーID/パスワードを設定・管理する必要があるため、システムごとにログインしなければなりません。

Active Directoryのフェデレーションサービスを利用すれば、クラウドサービスを含む複数のシステムへのログインを最初の一度のログインで認証できるシングルサインオンが可能なため、ユーザーは1組のID/パスワードのみを管理すれば済むようになります。

ユーザー認証とアクセス制御

Active Directoryでは、ユーザーID/パスワードの管理に加えて、各ユーザーのアクセス権限管理と認証も行えます。

ユーザーごとやグループごとに、閲覧可、データ編集可といったアクセス権限を付与し、そのリストに基づいて認証を行います。

ネットワーク上の機器やソフトウェアの管理

Active Directoryの管理機能は、ユーザーのみではなく、ネットワーク上(同一ドメイン上)に接続されているパソコンやプリンター、USBメモリといった機器類や、Windows OSやセキュリティソフトアプリケーションなどのソフトウェア、ファイルやフォルダも対象としており、これらの管理も行えます。

このため、ソフトウェアのアップデートを管理者側で一括で行ったり、USBメモリへの書き込みを不可能にしたり、プリンターのドライバーを一斉に配布したり、プリンターのIPアドレスの変更にActive Directory側の設定のみで対応したりということが可能です。

Active Directory上の操作ログの閲覧・管理

Active Directory上での操作にはログが残り、これを閲覧したり管理したりすることができます。
イベントログとして、ログインや特権の割り当て、チケット要求といった認証に関するログが記録されており、これらを確認することで、アカウントの悪用やサイバー攻撃を受けた場合に手がかりとなる情報を得られる可能性があります。
ただし、Active Directoryでは、個々のパソコンの操作ログは取得することができません。

Active Directoryのメリット

Active Directoryを活用すれば、次のようなメリットを享受できます。

ユーザー(従業員)のメリット

ユーザーである従業員にとってのメリットは、シングルサインオンが利用できるようになるため、利用している複数のシステムやアプリケーションで毎回、異なるID/パスワードを入力せずに済む点です。パスワード忘れによってログインできなくなり、情報システム部門などに問い合わせる必要もなくなります。

また、ソフトウェアのアップデートを手動で行う煩わしさから解放されたり、ネットワーク上のプリンターなどの機器をスムーズに利用できたりするメリットもあります。

管理者(従業員)のメリット

一方、ネットワークやハードウェアなどを管理する従業員にとってのメリットは、管理作業にかかる負荷を低減できる点です。ユーザーや機器、アプリケーションといった資源の情報を一元管理できるため、煩雑な管理業務を効率化することができます。

たとえば、グループ単位で権限を設定できるため、ユーザー一人ひとり個別に設定を行う手間がかかりません。作業工数が減る分、設定ミスなども低減できます。また、シングルサインオンにより、ユーザーからのパスワード忘れによる問い合わせに対応する工数も削減できます。

企業側のメリット

企業側の視点から見た導入メリットは、上記のようにユーザー・管理者とも業務を効率化できることから余計は人件費が発生せず、コストを削減できる点です。コスト削減による利益の増加が見込めます。

また、ユーザー情報やアカウント情報などの管理を効率化することで、情報漏えいなどのセキュリティ事故を低減することができます。さらに、ユーザーに依存せず管理者によるアップデートが可能なため、既知の脆弱性を放置したことに付け込まれるNデイ攻撃も防ぐことができます。こうした点から、セキュリティ対策の面でもメリットがあります。

Active DirectoryとOktaの連携で、スムーズなID管理を実現へ

このようにメリットの多いActive Directoryですが、欠点がないわけではありません。

Active Directoryでクラウドサービスとシングルサインオン(SSO)する際のデメリット

Active Directoryは、オンプレミス環境での利用を想定してつくられたディレクトリサービスです。そのため、フェデレーションサービスを活用すればクラウドサービスなどとのシングルサインオンが可能ではあるものの、フェデレーションサービスにはセキュリティ面でリスクがあったり運用管理の負担が増加したりするというデメリットがあるのです。

・オンプレミス環境での利用を想定しているため、社外のクラウドサービス利用ではセキュリティリスクが発生する。
・Active Directoryクライアント端末を中継するためのリバースプロキシサーバーの導入・管理が必要になる。
・フェデレーションサービスに記述する制御ルールである「クレームルール」が特殊であるため、記述とメンテナンスに人的コストがかかる。

「Okta」でActive Directoryと連携し、クラウドサービスを含めたシングルサインオン(SSO)を実現

とはいえ、クラウドサービスの利用は今後も広がっていくでしょう。
しかし、新たにクラウドに対応したシングルサインオンサービスを導入するために、これまで利用してきたActive Directoryに溜まった管理情報を捨ててしまうのは資産を捨てるのと同じで、もったいないことです。また、ユーザー情報やハードウェア情報などをすべて一から登録し直す作業にも負担がかかります。

そこで、Active Directoryと連携が取れるクラウド対応のシングルサインオンを導入することをおすすめします。
たとえば「Okta」なら、Active Directoryを統合してクラウドサービスを含めたシングルサインオンを実現できます。「Okta」は、ID管理とアクセス管理の分野では草分け的存在で世界最大手の米Okta(オクタ)社が提供するシングルサインオンサービスです。

Active Directoryと連携できるシングルサインオンサービスはまだ多くありません。
「Okta」なら、国内外を含めた複数の拠点のアカウントを、本社で統一された基準で管理できます。実際に、「Okta」はグローバル企業で多くの実績を持っています。

まとめ

Active Directory は、Microsoft社がWindows Server2000から提供を開始したディレクトリサービスで、NTドメインの課題を解消するかたちで開発されたものです。

Active Directory は、ユーザー、管理者、企業それぞれに活用メリットがあるサービスですが、クラウドサービスの利用が広がっている現在、Active Directoryでシングルサインオンを実現しようとすると、セキュリティリスクや運用管理負荷の増大が懸念されます。

Active Directoryに蓄積されたデータを活用しつつ、クラウドサービスにも対応したシングルサインオンが可能な「Okta」の導入がおすすめです。

伊藤忠テクノソリューションズでは「Okta」を取り扱っております。導入支援やサポートも含めたトータルなご提案をさせていただきます。また、当社のさまざまなクラウドサービスとの連携にも対応いたします。
「Okta」についてのご相談は、お気軽にご連絡ください。

伊藤忠テクノソリューションズ株式会社のロゴ
執筆者情報
伊藤忠テクノソリューションズ株式会社
ハイブリッドクラウド営業本部 クラウド営業第3部
  • LINEで送る
  • このエントリーをはてなブックマークに追加

記事カテゴリ

導入をご検討中の方へ

製品に関するお問い合わせも随時受け付けています。各フォームに必要事項を入力のうえ、お気軽にお問い合わせください。

CTC CLOUD SECURITY SERVICE LINEUP

Netskope(ネットスコープ)
Okta (オクタ)
Docusign(どきゅサイン)
Moblie Iron(モバイルアイアン)
Lookout(ルックアウト)
Box(ボックス)