“Identity愛好家”たちが語るActive Directoryの課題と次期版への期待

阿久津良和

2016-03-24 07:00

 日本マイクロソフトは3月18日、Active Directory登場15周年を記念して「Active Directory & Security Conference 2016」を品川本社で開催した。本稿では、Identity愛好家たちが集まる「#idcon(Identity Conference)」の関係者によるパネルディスカッションの様子を紹介する。#idconは「OAuth」や「OpenID Connect」などの認証認可プロトコルの技術的アプローチを勉強し合うコミュニティだ。

 今回のパネルディスカッションは、OpenID Foundation Japan Board Members兼Lepidum 代表取締役の林達也氏がモデレーターを務め、パネリストとして、OpenID Foundation Japan Evangelist兼グリーの真武信和氏や、Yahoo! JAPAN システム統括本部 情報システム本部の大塩英輔氏、日本マイクロソフト テクニカル エバンジェリストの安納順一氏が参加した。


OpenID Foundation Japan Board Members兼Lepidum 代表取締役の林達也氏

 各人はActive Directory(AD)との関わりを次のように説明した。「雑誌などでADの紹介記事を執筆していたが、NDS(Novel Directory Service)を使う場面が多かったため、その後は触れる機会はなかった。しかし、認証という関わりでAD15周年を祝えるのは誇らしい」(林氏)。「管理画面に触れたのは2015年の春。OpenID Connectの相互接続性テストに参加し、Azure ADとの連携確認のために使用した。今春にグリーがADFS(Active Directoryフェデレーションサービス)を導入したので、OAuthやSAML(Security Assertion Markup Language)の検証を行っている。プロトコルレベルでは理解しているが、サービスとしては詳しくない」(真武氏)

 「Yahoo! JAPANの社内にはWindowsデバイスが多いため、インフラエンジニアとしてADを使っている。管理者になったものの前任担当者はメモ程度の指示書しか残さなかったため、必死になって学んできた。最初の構築はSIerに頼んだが、それ以降はOSのバージョンアップはもちろん保守・管理も社内で行っている」(大塩氏)。「JWNTUG(日本Windows NTユーザー会:通称じゃんたぐ)の初期メンバーとしてADの運営を行ってきたため、身の回りの製品として常に使ってきた。個人的にADがない生活は考えられない。当初はLDAPの互換性を疑問視する声が多かったが、15年経って誤解であることがようやく認知された」(安納氏)


OpenID Foundation Japan Evangelist兼グリーの真武信和氏

 林氏がプロトコルとディレクトリサービスの相違点が管理の負担につながる点に言及すると、安納氏は「社内用業務アプリケーション作成ルールの1つとして、ADもしくはADFSのアカウントによるログオンが必要だが、そのルールを守らないアプリケーションを見かける。きっと開発者がユーザー認証をクリアした時点で発想が止まるからだろう。やはりプロトコルまで意識しないと生産性向上につながらない」と回答。真武氏が「(日本マイクロソフトのような)B2B企業でもロールという概念を持っていないのは不思議だ」と質問すると、「開発者は認証よりもGUIデザインやシステム構造に興味を惹かれてしまうのでは」(安納氏)と推察した。

 続けて林氏が、社内の認証基盤にADを活用しているかと質問すると、「グリーは毎月ローンチするサービスのAD対応に注力している最中のため、勤怠管理などにADを活用するに至っていない。そろそろAzure ADに移行したい」と真武氏が現状を説明。大塩氏も「Yahoo! JAPANは米国本社から技術やライセンスを購入しているため、社内の認証基盤は別のものを使ってきた。だが、OSSやクラウド製品の認証時に既存基盤との接続が難しいので移行を模索している。Microsoft AzureとOffice 365を導入して、今後はAzure ADを中心としたシステム構築を行っていく」と自社の動向を明かした。


Yahoo! JAPAN システム統括本部 情報システム本部の大塩英輔氏

 日本マイクロソフトがADによる統合認証するのは至極当然だが、興味深いのはその社内ポリシーである。「従業員の生産性を高める仕組みのため、制限は極力排除している。唯一の条件はドメイン参加のみ」(安納氏)と語り、私物のSurface Bookを手にADにログオンしないとWi-Fiも使えず、社内リソースにもアクセスできないと説明した。

 ただし、MacはGPO(グループポリシーオブジェクト)をネイティブサポートしていないため、多くの社員はWindowsをインストールして使用しているという。話がMacに移ると、大塩氏が「Yahoo! JAPANのウェブサービス対象もスマートフォンにシフトしている関係から、開発環境はどうしてもMacが主流になってしまう。しかし、Windowsデバイスならグループポリシーで必要最小限の制限をかけられるが、Macは難しい」と多様なデバイスを使用する際の運用課題を指摘した。

 その指摘を受けて、林氏がデバイスの多様化に向き合うための対応方法をパネリストに問いかけると、安納氏はEMS(Enterprise Mobility Suite)の導入を提案した。「ただし、1人あたり月10ドルの費用が発生するため、数万人レベルの企業ではコスト面で難しい。だが、Microsoft Intuneならば多様なデバイスの認証基盤と管理が行える」(安納氏)


日本マイクロソフト テクニカル エバンジェリストの安納順一氏

 次に話題に挙がったのはクライアントログオンの共通化だ。MacはPAM(Pluggable Authentication Modules)によるKerberos認証ができるため、ADのユーザー認証が可能だが、大塩氏が「Yahoo! JAPANもPAMを利用している。ただしADのドメインに.localを利用すると、内部で名前解決を行ってからDNSへ問い合わせるため、30秒ほど待たされる問題がある」と現場の苦労を明かし、各人からMacのFIDO対応など希望や対応策が語られた。

 2016年中にリリースされる見込みである「Windows Server 2016」のADについては、「SAMLではなくOAuth 2.0のプロトコルを製品やサービスに使えるようになった。OpenID Connectに期待している。グリーでもWindows 2016 Serverを早く使いたい」(真武氏)、「既存基盤と連携し、すべてのIDを包括管理できるのではと期待している。Azure AD導入で社内技術に頼っていた部分が拡大する」(大塩氏)というのが各社の期待だ。林氏が「ADの普及率と開発者がOpenID Connectにシフトしつつある状況と、ADFSのエコシステムが広がることで、開発者の負担を大きく軽減する。#idconの人間としては幸せを感じる」とディスカッションをまとめた。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]