皆さんこんにちは!Azure Active Directory Program Manager の佐藤沙里那です。
「大解剖!Azure Active Directory」と題して、現在3回にわたりAzure Active Directory(Azure AD)にはどのような機能が備わっているかということについて皆さんと一緒に学んでいます。ID に興味はあるけれど言葉が理解しづらくてよく分からないと思っている方、仕組みが分かりにくくて困っている方や、これからID について学びたい、ID をシンプルに使いたいと考えている方はぜひ一緒に学んでいきましょう!
前回までのおさらい – Identity の大切さとIDaaSを導入するということ
前回は、 「Azure AD 大解剖編第1回」ということで、開発チームの兒玉さんを招き、 Azure AD が IDaaS としてどのよう仕組みを提供しているのか、全体像について学びました。 Azure AD には8つの柱があり、今回は認証と認可の2つの機能に焦点を当ててみなさんと学んでいきたいと思います。また、認証や認可の技術については以前の記事でも取り上げていますので、事前にご一読ください!
単一要素の昔ながらの認証から、強化された認証へ
Azure AD は、認証機能としてユーザーアクセスの正当性を確認する認証処理のための多数の認証オプションを提供しています。その中でも企業の IT 管理者が必ず気にするべき主要な機能には以下が挙げられます。
- パスワード認証機能
- 多要素認証機能
- シングルサインオン
- ID フェデレーション
- パスワードレス認証 (生体認証、FIDO2、証明書など)
沙里那:「認証というと、最初に頭に浮かぶのはユーザー名とパスワードを入れて、サイトに入ったりアプリを利用したりする場面ですね。いわゆる認証機能というのは、このユーザー名、パスワードを入れて認証する仕組みのことを指しているのでしょうか?」
兒玉さん:「そうですね。よく利用されている仕組みは、沙里那さんのいうように、ユーザー名とパスワードを入力して認証をするものです。ただ、現在ではパスワード単体での利用、またはパスワードそのもの自体がリスクとなり得ると言われるようなこともあり、最低限より強力な多要素認証の適用をお勧めしています。」
沙里那:「多要素認証って、『多くの要素での認証』ですから、ユーザー名やパスワードに加えて、もう少し他に認証するものを増やすということでしょうか?」
兒玉さん:「かみ砕いて言うとそうなりますね。多要素認証は “強力な認証” と表現されることもあり、一般的にこれから伝える3つのうち、2つ以上の組み合わせのことを言います。」
- あなたの知っているもの(what you know)
- あなたの持っているもの(what you have)
- あなた自身であること(what you are)
兒玉さん:「知っているものは、パスワードなどの知的要素。持っているものは、電話やスマートフォン、PC などのデバイスそのものなどが考えられます。 Azure AD の 多要素認証 では サードパーティ 製のソフトウェアトークンやハードウェアトークン、『FIDO2』セキュリティキーなども利用できます。最後に、あなた自身であることは、指紋などの生体要素を指します。これらの要素を組み合わせて認証すると、不正にパスワードを入手されたとしても、それだけで大切なデータやアプリにはアクセスされることはなくなるわけです。」
沙里那:「本当ですね! パスワードをしっかり管理しているようで、実は付箋などに書いたものが他人に盗み見されたりする可能性もありますので、他の方法で認証も付け加えておけば、万が一漏れてしまった場合にも、安心ですね。」
兒玉さん:「しかし、日本ではまだ管理者アカウントの多要素認証を有効化せず運用している非常に危険なケースを数多く見聞きします。多要素認証の普及が急務なのです。」
沙里那:「ニュースなどでもアカウントの乗っ取りから発生するデータ流出のようなセキュリティ事故を目にしますよね。会社としては、金銭的にも会社のイメージとしても、非常に大きい損害を被っていると聞きます。」
兒玉さん:「たとえパスワードが漏れてしまった、不正に入手されてしまったとしても、もうワンステップの認証があるだけで、不正なアクセスを防げるケースが多いのです。しっかり と、Azure AD の多要素認証機能を活用されることをお勧めします。」
沙里那:「ちなみに、最近『パスワードレス』という言葉もよく耳にします。特に、先ほどパスワード自体がセキュリティリスクと考えられる自体となっていると話にも出てきているように、これからはパスワードを使わない方法での認証を進めていくのが良いかなと思いました。 Azure AD でのパスワードレス対応についてはいかがでしょうか?」
兒玉さん:「パスワードレス認証というのは、パスワード入力を除いて上記の強力な認証を実現する認証方式です。マイクロソフトは、このパスワードレス認証の開発に積極投資しています。既に Azure AD でもこのパスワードレス認証を支えるために、多彩な方式を提供しています。」
兒玉さん:「これらのどれかを選択しなければならない、ということではなく、ユーザーの利用シーンを想定して使い分けていただきたいと考えています。例えば、会社一人に一台配布する業務PC は、『Windows Hello for Business』、 モバイル端末向けには『Authenticator』、 共有 PC や管理者アカウントのシナリオでは FIDO2を利用する、などです。パスワードレスに関しては、以前にウェブセミナーで詳しく説明しているので、ぜひ『Aka.ms/AzureADWebinar』にアクセスして、過去セッションをチェックしてみてください。」
沙里那:「それぞれの特性があるから、しっかりシナリオを考えた上で活用すると、非常に有効かつ便利な認証になりますね!」
兒玉さん:「パスワードレスを導入するには、その前準備として、多要素認証の導入が必要になります。最近ではその多要素認証の導入をよりセキュアに実施するための『Temporary Access Pass』という機能が登場して、より安全に企業が強力な認証を使い始めることができる仕組みが整ってきています。また、最近は既存のパスワードレス方式の派生として、『Azure AD の証明書ベースの認証に関する概要 (プレビュー) - Azure Active Directory | Microsoft Docs』もリリースされました。ぜひチェックしてください。」
沙里那:「これまでは、オンプレミスの認証基盤しか利用できないからと、移行できなかったお客さまに選択肢が増えて、さらに多くの企業が利用しやすい環境が増えているのですね。」
兒玉さん:「その通りです。冒頭でお伝えしたような多要素認証をしっかり適用することが重要です。その次のステップとして、パスワードレスの展開を進めていくことが、 Azure AD を使った強固な認証の第一歩になります。」
沙里那:「基本的だからこそ、着実に使いこなしていきたい仕組みが多い機能なのが認証ですね。では、次に認可について、それぞれの機能を見てみましょうか」
認可の中心となるアクセスコントロール
リソースへのアクセス許可を多様な基準により評価、制御を行う認可の仕組み。 Azure AD で、ほぼ必須の認可の仕組みとして、以下が提供されています。
- ゼロトラストを実現するアクセス制御エンジン
- 機械学習ベースのリスクベース認可機能
- デバイスベースの認可機能
- セッションベースの認可機能
兒玉さん:「まず沙里那さんに知っていただきたいのは、Azure AD では、認可の中心となるアクセスコントロールの仕組みがとても充実しているということです。」
沙里那:「これは最近よく耳にする、条件付きアクセス 機能ですね!」
兒玉さん:「その通りです。この条件付きアクセスは、ゼロトラストを実現するアクセス制御のエンジンの役割を担います。ユーザーやワークロードID(Service Principal)を用いたリソースアクセスを保護できる機能で、ポリシーには多彩な条件とコントロールを用いることができます。」
沙里那:「条件というのは、例えば、私がどんなデバイスでアクセスしているか、どこからサインインをしていきているのか? というようなことも条件になるのでしょうか?」
兒玉さん:「そうですね。もちろん沙里那さんがどういう部署の人かといったユーザー情報なども条件に入りますし、例えば、沙里那さんがいま東京にいて、お仕事をしているにも関わらず、米国シアトルからサインインの情報が来たらおかしいですよね。そういった挙動も条件として捉えています。ちなみに、最近登場した『デバイスフィルター機能』を利用すれば、同じユーザーの同じリソースへのアクセスの際にも、デバイスごとにコントロールを分けるというような制御もできるようになりました。」
沙里那:「すごい! ユーザーの生活に選択肢が増えれば増えるほど、アクセスの際の条件も増えて、それにどんどん対応しているわけですね。複数のデバイスを使う社員がいる会社がどんどん増えているからこそ、細かい条件を支える機能が役に立ちそうですね!」
兒玉さん:「上記のような条件を基に、認証の際にお話した多要素認証の要求や、デバイスの健全性の証明、クライアントアプリケーションの保護状態といったものを仕掛けることができますし、秘匿性の高いリソースにアクセスするなどの特定のシナリオ向けに、サインインの頻度を調整したり、アプリケーション上のファイルの操作を制限したりする (ダウンロード不可、など) 機能も搭載されています。」
沙里那:「なるほど。多要素認証の要求についてはイメージがつきますが、その他のコントロールは、どういうことでしょうか?」
兒玉さん:「社員が『Office 365』 にアクセスするときには、モバイルデバイス管理(MDM)で、ポリシーに準拠済みとなっている端末からのみアクセスできるようにすることや、派遣従業員が社内アプリにアクセスするときには特定の場所から、さらに多要素認証を行わなければならないなど、それぞれの条件に基づいたアクションを制御できます。」
沙里那:「細かい制御を人手で行うのは難しいですが、これらを全て Azure AD 上で行うことができると思うと、非常に便利ですね!」
兒玉さん:「そして、この条件付きアクセスは、 Microsoft製のアプリだけではなくて、サードパーティの SaaS アプリケーションや、自社開発されたアプリでも利用できるので、皆さんの働く環境になじみやすい機能です。」
沙里那:「でも、いろんな機能がありすぎて、どこから制御すれば良いか悩んでしまう企業は多そうですね・・・」
兒玉さん:「認証でもお伝えしたように、基本から始めることが大切です。安全なデバイスであることをアプリケーションアクセスの条件とするというのを基本として、条件付きアクセスポリシーの設定を行うのが第一歩になりますね。そして、基本ができたらその次にリスクベースのようなアクセス制御に挑戦してほしいと思います。」
沙里那:「リスクベースのアクセス制御とは、具体的にはどのようなものでしょうか?」
兒玉さん:「先ほどお伝えをした、東京で働いている沙里那さんが、突如シアトルからサインインしてきた、というようなパターンが該当しますね。」
沙里那:「なるほど! いつもとは異なる場所、いつもとは異なる OS から、というような普段とは違う挙動でリソースにアクセスしてくるユーザーは要チェックとして、通常よりも厳しいアクセス制限をつけることができるということですね。」
兒玉さん:「はい。これは『Azure AD Identity Protection』の機能ですが、ユーザーと認証セッションのリスク値を評価するマシンラーニングベースの仕組みで、条件付きアクセスポリシーと組み合わせて利用できます。」
沙里那:「なんだか、これまでの認証や認可の機能をフルで活用しているようなものですね。」
兒玉さん:「そうですね、こういうのを実現するには、信頼できるデータソースと検知の仕組みが必要になります。マイクロソフトは、日々多くの数のアカウント攻撃を受けており、一方それらのデータを常時分析しているからこそ提供することができる、強力なアクセスコントロール機能です。」
沙里那:「なるほど。とても理解が深まりました。多くの分析や攻撃のデータがあるからこそ、みなさんに信頼できる機能を提供することができるのですね。」
兒玉さん:「その通りです。今回は認可の話までお伝えしましたが、幾つかの機能は次回説明するアプリケーションの回でお話します。まずは、Azure ADのアクセスコントロールをしっかり使いこなしていただきたいと思います。」
まとめ
Identityの基礎となる 認証や認可の機能はベーシックな技術だからこそ、着実に使いこなしたいツールです。Azure ADの中の認証や認可の技術も、時代の変化に対応しながら開発が進んでいるということも、兒玉さんの話で理解できました。
まずは、多要素認証や条件付きアクセスのような基本機能を利用することが大切ですので、認証や認可の基本の仕組みを使いこなすところから始めていきましょう。次回は、会社の中の ID の管理やガバナンスの機能について、皆さんと学んでいきたいと思います!
Profile
Strategic alliance team Program Manager
佐藤沙里那氏
経歴:
2016年日本マイクロソフト株式会社に新卒入社。
法人営業部の流通・小売、商社、飲料業界チームに配属後担当営業として活動。
その後現在の部門に異動をし、SaaS アプリケーション業界での更なるAzure AD 技術活用の推進をする。
