【はじめよう】ADを活用した認証でゼロトラストへの第一歩
現在、「ゼロトラスト」という言葉が少しずつ浸透してきているように思われます。実はこのブログでも、過去にいくつか記事となっていますので、興味のあるかたはそちらもご参照ください。
【ゼロトラスト】最重要なのは、守るべき資産が何かを理解し、フォーカスし続けること
昨今の状況におけるオンプレADの課題
さて今回の記事では、認証基盤としてオンプレのADを導入済みで、Microsoft 365等のビジネス系クラウドサービスを利用しており、その上で「ゼロトラストの導入を検討しよう」というケースが対象となります。オンプレ環境でADを導入されているということは、導入時は「特定のオフィス内でWindowsマシンを使用した作業」だったと思われます。ですが昨今、クライアントとしてMacやChromebook、スマホやタブレット等、WindowsPC以外の端末が増えてきました。これらの端末は、ADのドメイン参加が難しく、「WindowsPCのみ認証基盤に参加できている」という中途半端なものになりがちです。また、テレワークの浸透によって「オンプレADのネットワーク外」からドメイン参加しようとした場合、VPN接続等を検討することになりますが、そのVPN自体の構築や運用コストも重くなってしまうことが予想されます。
課題を解決しつつ、ゼロトラストへの第一歩
そこで、上記のような課題を解決するために、弊社Gluegent GateのAD連携オプションをご紹介したいと思います。前提として、PCについてはドメインへのログインではなく、ローカルログインとします。つまりPC(スマホやタブレットも含めて)はクラウドサービスを利用するための端末とみなし、作業はすべてクラウドサービスで行うイメージとなります。その上で、「どのユーザがどんなサービスをアクセス出来るか」を管理下に置くことにより、「ゼロトラスト」環境構築の第一歩へと繋がります。つまり、「ユーザへの必要 最小限の権限付与」を実現出来ます。また、クライアント証明書による端末管理により、「デバイスの安全」も確保できます。ではGluegent Gateによって、どのようにその状態を実現していくのでしょうか。
AD資産をGluegent Gateでそのまま活用
まず、AD連携オプションをご契約いただきますと、オンプレADのユーザ/グループ情報をGluegent Gateへ定期的に同期することが可能となります。
(※特定IPからADへ接続可能状態としていただく必要がございます。)
そして、Gluegent Gate側ではクラウドサービスへのSSOの連携設定を行います。
(※SSOについてはこちらの記事などをご参照ください。)
その結果、ユーザ視点の操作で言えば、以下のような流れとなります。
「クラウドサービスへログインすると、ADと同じID/パスワードで認証して、そのままクラウドサービスが使える。」
ということが実現できます。更に、管理者側としても、従前と同様に使い慣れたADへの管理に集中できますので、これまでの運用ノウハウがそのまま活かせることになります。また、先程課題に挙げたVPNの構築も不要で、通常のインターネット接続でご利用可能です。
「クラウドサービスへログインすると、ADと同じID/パスワードで認証して、そのままクラウドサービスが使える。」
ということが実現できます。更に、管理者側としても、従前と同様に使い慣れたADへの管理に集中できますので、これまでの運用ノウハウがそのまま活かせることになります。また、先程課題に挙げたVPNの構築も不要で、通常のインターネット接続でご利用可能です。
よりセキュアに、より便利に
ゼロトラスト視点で言えば、「許可された端末」からのアクセスであるかの確保も重要です。そこで、Gluegent Gateの端末認証オプションをご契約いただくことにより、「ID/パスワード+クライアント証明書」という多要素認証を構築することで、より強固なセキュリティ環境を構築することも可能となります。
またGluegent Gateは、多数のクラウドサービスとの連携実績がございます。
(※Works with Gluegent)
前節AD連携/端末認証設定、そして複数のクラウドサービスとSSO連携設定を行っていただくことにより、最終的に以下のような流れとなります。
「クライアント証明書がインストールされた端末でのみ、連携設定されたクラウドサービスへログイン可能で、その際は全てADと同じID/パスワードで認証出来、そのままクラウドサービスが使える。」
(※Works with Gluegent)
前節AD連携/端末認証設定、そして複数のクラウドサービスとSSO連携設定を行っていただくことにより、最終的に以下のような流れとなります。
「クライアント証明書がインストールされた端末でのみ、連携設定されたクラウドサービスへログイン可能で、その際は全てADと同じID/パスワードで認証出来、そのままクラウドサービスが使える。」
テレワークでのクラウドサービス利用の比重がますます増えていく傾向にある昨今、「セキュリティ強化」も「ユーザの利便性」も「運用の負荷軽減」も全て考慮した環境を構築することが重要になっていくことが予想されます。そこでGluegent Gateをご導入いただくことにより、それらの要素をバランスよく満たしたソリューションをご提供出来るかと思います。
ご興味がありましたら、是非お問い合わせください。
(Fuji)