企業のAD FS導入/運用状況を踏まえてエキスパートがアドバイス
「AD FSからAzure ADに移行したいが、ID管理基盤は自社のシステムや組織の事情に合わせて複雑にカスタマイズして導入/運用しているため、システム・インテグレーターやサポートに移行手順や考慮点などを聞いても今一つ具体的なアドバイスが得られない」と悩む担当者は多いだろう。
そうした担当者を対象に現在、日本マイクロソフトが開催している無料ワークショップが「ハイブリッド ワーク体験会 Goodbye AD FS編〜クラウド認証への移行で目指すセキュアなハイブリッドワーク環境〜」だ。このワークショップでは、ID管理基盤に関して豊富な知見とノウハウを有するマイクロソフトのエキスパートが、「なぜAD SFを廃止してAzure ADに移行すべきなのか」「移行の具体的な作業をどう進めるべきか。その際の留意点は何か」といったことを、各社のID管理基盤の導入/運用状況を踏まえて説明してくれる。
同ワークショップは、Microsoft Teamsを利用してオンラインで受講できるほか、東京 品川の日本マイクロソフトのオフィスで受講することも可能だ。今回は同社オフィスで開催されたワークショップを取材した。受講者は、物流事業をグローバルに展開するA社で、ID管理基盤の運用にかかわる担当者らだ。講師はマイクロソフト US 本社 Azure Active Directory 開発部門にてプロダクトマネージャーとして活躍する兒玉雄介氏が務めた。
マイクロソフト US 本社 Azure Active Directory 開発部門 プロダクトマネージャー 兒玉雄介氏
参加企業の実状に合わせて説明内容や時間配分を調整するために、ワークショップはID管理基盤の導入/運用状況についてのヒアリングからスタートする。A社の場合、Office 365などを利用するために、Microsoft Azure上で提供されるAD FSを本社およびグループ各社が利用している。セキュリティ強化のために多要素認証(MFA)の導入を検討しているが、セキュリティ強化のためにこれまでの IP ベースの境界型防御ではなく、より強力な制御を導入するために Azure AD のみの構成への移行を検討し始めたという。また、AD FSはOffice 365などクラウドサービスの認証に利用しており、現在のところ社内アプリケーションでは利用していない。
2017年にシェア逆転。現在は8割の企業がAzure ADを利用
ところで、せっかく多くの投資を行って構築/運用してきたAD FSから、なぜAzure ADに移行しなければならないのだろうか? 「その理由は、ハイブリッドクラウド化が進む企業IT環境により適したID管理基盤がAzure ADだからです」と兒玉氏は話す。
日本でも多くの企業が利用しているOffice 365の導入が進んだのは2014年〜2016年だが、その期間、ローカルADとOffice 365の連携を実現するためにほぼデフォルトで使われていたのがAD FSだった。当時、Azure ADにはクラウドサービスごとにアクセス条件を設定する条件付きアクセスの機能が用意されておらず、これを実現したければAD FSしか手段がなかったのだ。
その後、クラウドサービスとの連携にはAzure ADのようなIDaaSの利用が推奨されるようになると、AD FSのシェアは徐々に下降をたどる。2017年にはAzure ADのシェアがAD FSを逆転するが、その割合は2020年頃まで大きく変わることはなかった。なぜかと言えば、企業のID管理基盤は各社のシステムの状況に応じて複雑であり、個別に細かな機能要件が生じる。Azure AD で満たすことのできない複雑な要件が一部残っていたのだ。
しかし、最近では両者の機能面のギャップはほぼなくなり、グローバルでのシェアも「80%:20%」程度とAzure ADが圧倒している。今後、AD FSからの移行が進むことで、Azure ADのシェアは限りなく100%に近づくだろう。
AD FSを廃止してAzure ADへの移行を急ぐべき“3つの理由”
兒玉氏は、AD FSを廃止してAzure ADへの移行を急ぐべき理由として、「セキュリティ(リスク/コンプライアンス管理の強化)」「コスト」「生産性」の3つを挙げる。
- ①セキュリティ ─ 英国政府機関もAzure ADへの移行を推奨
- 多くの企業がAD FSを廃止する理由はセキュリティだ。例えば、英国の国家サイバーセキュリティセンター(National Cyber Security Centre)は2019年、「Office 365を使う場合には、AD FSを使うよりもAzure ADなどのIDaaSを使うほうがセキュリティリスクを低減できる」とのレポートを公表した。同レポートはAzure ADへの移行勧告と受け止められ、世界中でAD FSを廃止してAzure ADに移行する動きに火が付いた。
実際、近年はAD FSの仕組みを悪用したサイバー攻撃が深刻化している。
「例えば、米国で起きたネットワーク監視ツールを介して拡大したサプライチェーン攻撃は、AD FSのフェデレーションの仕組みを悪用したものでした。まずオンプレミス側の機器にマルウェアを仕込み、ドメインのクレデンシャルを乗っ取ります。そしてAD FSの偽トークンを作り、それをAzure ADに渡して信用させることで攻撃を拡大していったのです」(兒玉氏)
この攻撃ではAD FSの仕組みが悪用されたが、「そもそもオンプレミスとフェデレーションしていることが危険である」という認識が広がり、“脱AD FS”の流れが加速することとなった。
また、Azure ADをAD FSとフェデレーションさせている場合、ログインページのURLが推測しやすく、パスワードスプレー攻撃などの標的になりやすいという問題もある。ハイブリッドワークの導入に伴ってより強固なセキュリティが求められている今日、AD FSを積極的に使う理由はなくなっているのだ。
- ②コスト ─ AD FSのための余計なコストをいつまで払い続ける?
- コスト面の負担の大きさも、AD FSを早急に廃止すべき大きな理由である。AD FSは企業内のさまざまなシステムと関連するため、多くのAD FSサーバを運用する必要がある。IT人材の不足が叫ばれる中、AD FSを使うために生じているサーバの運用保守や証明書更新の手間など減らしたいと考える企業は多いだろう。
また、AD FSにはIDガバナンスの機能がないため、アプリケーション側でユーザーの権限確認などを行うために煩雑な運用をしている現場も多い。AD FSを使うことで、Azure ADならば不要なコストを支払い続けることになるのだ。
- ③生産性 ─ クラウドの利用価値を最大化するには移行が必須
- 生産性に関しては、Azure ADに移行することで得られるメリットに目を向けてほしいと兒玉氏は訴える。
「例えば、パスワードレス認証や、クラウドを介した取引先とのコラボレーション、クラウドとオンプレミスにおけるIDの一元化などにより、ユーザーの利便性が高まり、生産性が大きく向上します。クラウドの利用価値を最大化して生産性を高めていくうえでも、AD FSからの移行は不可避だと言えます」(兒玉氏)
莫大な投資で信頼性/機能向上が進むAzure AD
AD FSを使い続ける企業の中には、「Azure ADはクラウドサービスだから、落ちてしまうのではないかと不安だ」といったことを理由として挙げる向きもある。しかし、「Azure ADはクラウドだから不安定」という評価は、もはや当てはまらない。
マイクロソフトは現在、ハイブリッドクラウド活用の要となるAzure ADの信頼性および機能の強化に対して高い優先順位を付けており、「落とさない、もし落ちたとしても障害を最小限に抑えるための可用性やセキュリティの向上に全力を注いでいます」と兒玉氏。インフラレベルでの冗長性確保から、単一障害点の排除、セルベースアーキテクチャの導入による不具合影響範囲の縮小、Office 365向けのバックアップ認証など、Azure ADの信頼性を高めるために年間10億ドル以上の投資を続けている。
「すでに一般の企業が利用するオンプレミスやデータセンターをレベルをはるかに凌駕した信頼性を実現しています。この投資を今後も継続することで、私たちはAzure ADに対してお客様が抱く全ての不安を払拭しようとしています」(兒玉氏)
「AD FSをAzure ADとフェデレーションさせれば問題ない」という声も聞くが、2つのID管理基盤を運用するのはコスト面で大きな負担になるばかりでなく、SLAを掛け合わせればわかるように可用性も低下する。信頼性の向上という点でも、2つのID管理基盤を持ち続けることに利はないのだ。
条件付きアクセス、パスワードレス、MFA ─ Azure ADに移行すると何が嬉しいのか?
先に生産性の項で述べたように、AD FSを廃止してAzure ADに移行することで、企業は多くのメリットを得られる。その1つが「条件付きアクセス」によるセキュリティ強化だ。 Azure ADで条件付きアクセスを使うことにより、クラウドからオンプレミスまで、あらゆるアプリケーションでシングルサインオンを実現し、そのID管理を効率的に行えるようになる。
「マイクロソフトは、Azure ADをOffice 365などのSaaSアプリはもちろん、IaaS上でホストされるアプリや、プロキシやサードパーティのソリューションを介して公開されているオンプレミスアプリなど、あらゆるアプリの共通ID管理基盤とすべく機能強化を進めています。開発チームも以前の1,500人規模から、現在は3,000人規模にまで大きく拡大しています」(兒玉氏)
最近注目が高まっているパスワードレス認証も標準で利用できる。これはIDとパスワードだけではなく、証明書やセキュリティキーを使ってID/パスワード入力なしでの認証を実現するものだ。Azure ADでは、生体認証(Windows Hello for Business)や認証アプリ(Microsoft Authenticator)も使えるなど、豊富な選択肢も大きな魅力である。
「AD FSでも、Azure ADとフェデレーションすることでパスワードレス認証を使えると誤解している方がいらっしゃいます。Azure ADのパスワードレス認証はAD FSをバイパスするため、フェデレーションさせてもAD FS側の証明書などによるチェックは機能しません。AD FSはパスワードレス認証の実現でも足かせとなるため、それを理由にAzure ADに移行するお客様も少なくありません」(兒玉氏)
Azure ADは’MFAの実現にも最適だ。MFAではSMSや電話を使った認証がよく使われるが、それらに加えてAzure ADではMicrosoft Authenticatorによる認証も行える。「認証アプリはチェネルジャッキングを受ける可能性が最も低いため、MFAではMicrosoft Authenticatorの利用をお勧めしています」と兒玉氏は話す。
下図に示すのは、マイクロソフトが現在、Azure ADに関して進めている機能強化の投資だ。
「ここに挙げた項目のいずれかがAzure ADへの移行の妨げと考えられる場合、その障害はすでに取り除かれているか、近い将来、取り除かれる可能性が高いと言えます」と兒玉氏。例えば、証明書ベースの認証(CBA)には先頃正式に対応した。オンプレミスのIDと異なる文字列でサインインできるalt IDについては、まず電子メールでのサインインが可能となっている。「Azure ADはAD FSと比べて機能が弱い」という話は過去のものであり、現在はAzure ADでなければ実現できないことのほうがはるかに多いのである。
AD FS→Azure AD移行のロードマップ
それでは、AD FSからAzure ADへの移行は、具体的にどのように進めればよいのだろうか? その移行ロードマップは、大きく次のようになる。
ID管理基盤をAD FSからAzure ADに変える「認証の移行」と、AD FSを利用しているアプリケーションをAzure ADの条件付きアクセスの対象にする「アプリの移行」の2つを行う。作業の具体的な実施内容は、各社のAD FSの利用状況によって大きく異なる。
なお、アプリケーションでAD FSを利用していない場合、「アプリの移行」は不要だ。A社の場合もアプリケーションではAD FSを使っていないため、ワークショップでは「認証の移行」にフォーカスして具体的な作業ステップや留意事項が兒玉氏から説明された。読者の組織の移行ロードマップがどのようなものになるのかは、実際にワークショップに参加して確認していただきたい。
以上、「ハイブリッド ワーク体験会 Goodbye AD FS編」の模様を紹介した。AD FSからAzure ADへの移行を検討している企業は、本ワークショップを無料で受講することができる。マイクロソフトのエキスパートの説明を聞きながら、移行に際しての自社の課題を確認し、最適な移行方法を見つけたいという読者は、ぜひマイクロソフトの担当営業、もしくはパートナーを経由してお申し込みをいただきたい。次回開催は4/17,5/17,6/5 10:00~ / 14:00~の予定だ。 またオンラインのウェビナーも3/2に開催予定なので、ぜひ下記URLからお申込みいただきたい。