クラウドサービス

ManageEngineのクラウドサービスに関するコラム一覧です。 Visit:

第12回 Azure ADのアクセスログ管理【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ 「誰が」「いつ」「どのクラウドサービス」にアクセスしたのかを監査するためのアクセスログの参照方法 Azure ADとクラウドサービスを関連付けて、ユーザーにAzure ADを経由してアクセスさせれば、誰が、いつ、どのクラウドサービスにアクセスしたか?をAzure ADでまとめて参照できるようになります。このようなログは不正アクセスの検出に役立つだけでなく、様々な法令に基づいて証跡を保持しなければならないようなケースにおいても有効です。今回は、Azure ADのログの参照方法や保持方法について解説します。 Azure ADでは、管理作業のログとユーザーによるアクセスログを別々に記録し、それぞれAzure管理ポータルの[Azure Active Directory]より確認できます。管理作業のログはAzure管理ポータルの[Azure Active Directory]-[監査ログ]、アクセスログは[Azure Active Directory]-[サインイン]よりそれぞれ参照します。 [監査ログ]では、管理作業のジャンルやその操作の結果(成功・失敗)、対象となるユーザーなどを選択し、フィルターできます。例えば、別のAzure ADディレクトリに作られたユーザーをゲストユーザーとして登録したユーザーに対する操作であれば、「Invited Users」というサービス名を選択すれば、該当のログだけが表示されます。特定のログはクリックすると、その詳細を参照でき、日付、アクティビティの種類(どのような操作を行ったか)、状態(成功・失敗)などを確認できます。万が一、不正アクセスが疑われるような事象があった場合、監査ログを参照することで、その事象の確認ができるようになります。ちなみに、下の画面ではゲストユーザーを削除したことを表しています。 一方、[サインイン]ログではAzure...

ADAudit Plus , クラウドサービス , セキュリティ , 一般 1 min read

第11回 クラウドサービスへのアクセス制御(3)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ 多要素認証を活用したクラウドサービスへのアクセス制御方法を解説 ・ 条件付きアクセスを使用したより高度なアクセス制御方法を解説 前回と前々回で、条件付きアクセスを使って、Azure AD経由でアクセスするクラウドサービスへのアクセス制御を行う方法について解説しました。OS種類や場所、ドメインに参加しているか、などデバイスの状態に基づいてアクセス制御できることを確認しました。今回は、もうひとつの条件付きアクセスを制御する方法として、多要素認証を活用したアクセス制御方法についてみていきます。 多要素認証とは、複数の認証要素を利用して本人確認を行う方法で、通常使われるユーザー名とパスワードに加えて「別の要素」を利用して本人確認を行います。「別の要素」として利用する方法には、主に次の方法があります。 ・電話をかけてもらって応答する方法 ・SMSのメッセージを送ってもらってメッセージに書かれた番号をサインイン画面に打ち込む方法 ・Microsoft Authenticatorアプリに通知を送ってもらい、その通知に応答する方法 Microsoft AuthenticatorとはiOS, Android用のアプリで、それぞれのストアからダウンロードできるので、事前にユーザーのスマートフォン/タブレットにインストールしておいて利用します。インストール後に多要素認証を行うユーザーを登録すると、次回から多要素認証が必要なタイミングで下の図のような通知が表示されます。 多要素認証を利用するときは本来、Azure管理ポータルの[Azure Active Directory] – [ユーザー]...

クラウドサービス , 一般 1 min read

第9回 クラウドサービスへのアクセス制御(1)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 ◆ 今回の記事のポイント ◆ ・ 条件をクリアしたユーザーのみがクラウドサービスにアクセスできる「条件付きアクセス」機能の解説 第6回から第8回まででAzure ADと様々なクラウドサービスを関連付け、Azure ADにサインインするだけでクラウドサービスへのアクセスが実現するシングルサインオンの設定について解説をしました。このとき、アクセス許可の割り当てはユーザーまたはグループの単位で設定できることを紹介しました(OpenID Connect/OAuth2.0を使う場合は[承諾]ボタンを押せばアクセス許可の割り当てすら不要でした)。 ところが、クラウドサービスへのアクセス制御となると、いつでも、どこからでもアクセスできてしまうというセキュリティ上の課題があるため、単純にユーザー名とパスワードが正しければ無条件にアクセスしても良い、などとすることはできないでしょう。 こうした課題に対応するため、Azure ADではクラウドサービスへのアクセスに追加の条件を設定し、その条件をクリアしたユーザーだけがアクセスできるように制御する「条件付きアクセス」と呼ばれる機能を提供しています。 条件付きアクセスでは、クライアントがどこからアクセスしているか?や、クライアントデバイスのOSが何であるか?など、ユーザーアカウントを利用するデバイスの状態をベースにアクセス制御を行います。 具体的な処理フローは次の通りです。 条件付きアクセスでは、設定を適用するユーザーとグループ、クラウドアプリ(クラウドサービス)を最初に決定し、その後、クラウドサービスへのアクセス条件と許可/拒否を設定します。 それでは、具体的な設定方法を確認していきましょう。 条件付きアクセスの設定は、Azure管理ポータルの[Azure Active Directory]から[条件付きアクセス]をクリックして行います。[条件付きアクセス]画面では[新しいポリシー]をクリックして、ルールを作成します。 ポリシー作成画面では、最初にポリシーの名前、対象となるユーザー/グループ、クラウドアプリを選択します。ここでは、前回紹介したWebアプリケーションへのアクセスに条件付きアクセスを使ってアクセス制御設定をします。 続いて、ポリシーでは条件を設定します。ここでは「WindowsまたはiOS以外のすべてのOS」という条件を設定します。OS種類の設定は[条件]-[デバイスプラットフォーム]を利用します。条件設定画面では、対象外に設定したルールは対象に設定したルールよりも優先されるため、 対象:任意のデバイス...

クラウドサービス , セキュリティ , 一般 1 min read

サービスデスク × ビジネスチャット、チームとつながるワークプレイスで生産性向上

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ワークスタイルの多様化に伴って、「場所や時間に制約されずに働けるワークプレイス」が必要とされています。 社内制度、規則・規程類の策定や業務プロセスの見直しを行って、導入後も多様な利用者のサポートや利用環境を含めた改善を継続的に行うことで、「快適なエンプロイー・エクスペリエンスを提供。」あわせて、業務を効率化して導入前より「生産性を向上させる」ことが企業の成長に欠かせません。 IT部門では、ITIL®、ISO/ICE 20000といったITサービスマネジメントに関するフレームワークや国際規格を参考にして、効率化の問題を技術とプロセスの自動化で解決してきました。 ポイント例 自動化されたプロセスやワークフロー セルフサービスの重視 メトリクス主導による可視性とインサイトをオペレーションとカスタマーエクスペリエンスへ サービス管理にテクノロジーを適用 ManageEngineが提供する ServiceDesk Plus Cloud のようなサービスデスクツールを利用することで、利用者 – サービスデスクチーム – ITチーム(情シス部門など)間を「ワークスタイル/ワークプレイスに関係なく効果的に繋ぐ」かつ「上記ポイントの利点を最大限に享受する」ことが可能です。 さらに、ManageEngineが提供する ServiceDesk Plus CloudはITIL®準拠のITサービスマネジメントためのクラウドサービスです。ITIL®のフレームワークを活用しながら、...

ServiceDesk Plus On-Demand , クラウドサービス , 未分類 1 min read

第3回 Azure ADの利用開始【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 ◆ 今回の記事のポイント ◆ ・ Azure ADにおける「ディレクトリ」の意味について解説 ・ Azure ADディレクトリの作成方法について解説 今回からいよいよAzure Active Directory (Azure AD) の具体的な操作も交えながら、その特徴について見ていきます。 Azure ADでは「ディレクトリ」と呼ばれる単位で管理を行います。オンプレミスで運用するActive Directoryで言うところの「ドメイン」に当たるものだと思ってもらえれば、分かりやすいと思います。Azure ADでは「ドメイン」という言葉は、Azure ADディレクトリに対して設定する、example.comやcotoso.comのような名前のことを指すために、「Azure ADドメイン」ではなく「Azure ADディレクトリ」という呼び方をするようです。しかし、実際にはディレクトリとドメインの言葉は、区別せずに使ってしまうことが多いようです。ですので、そういう違いがあるという認識をしていただいた上で、どちらでも皆さんにとって使いやすい言葉を選択してください。...

ADAudit Plus , クラウドサービス , セキュリティ , 一般 1 min read

クラウドもオンプレも!ハイブリッド時代の特権ID管理とは?

Reading Time: 1 minutesこの記事の所要時間: 約 2分 数年前までの日本では、「クラウドサービス」というとセキュリティ面でネガティブな印象を多分に持たれていました。 「大切なデータを社外に置くなんて…」 「誰にアクセスされるか分かったものじゃない…」 しかし、IT技術が飛躍的な進歩を遂げている今、日本企業のクラウドへのシフトも徐々に加速しています。 単独の企業が自社のネットワーク向けにセキュリティレベルを向上させる場合、例え大企業であっても技術面・資金面の双方ですぐに限界が訪れる事は、容易に想像がつくからです。 一方、クラウドサービスの場合は専門的なノウハウを持つメーカーが、ビジネスとしてリソース・資金を集中投入したシステムを複数企業でシェアするため、セキュリティレベルも個々の企業にとってのコストパフォーマンスも、圧倒的に良くなります。 もちろん、企業のクラウド移行が進む中、新たなセキュリティ課題が生まれているのも事実です。 CRMやSFAといったビジネスアプリケーションであるSaaSを利用するような場合は、OS管理やセキュリティ管理ということから開放されますが、自社で作ったシステムをPaaS上で動作させる場合、例えば、AWSやAzureといったクラウドサービスを利用する場合、自社でOSを管理するため、そのOSの最高権限である「特権ID管理」をどうするのか…といった課題が浮かび上がってきます。 特権IDが悪用されると、機密情報の流出や組織システムの破壊にもつながり、膨大な被害が予想されます。クラウド環境においては、データが社外ネットワークにさらされる分、攻撃者から侵入経路として狙われやすい「ID」の防衛を強化することは、企業にとっての急務となりました。 ManageEngineが提供するPassword Manager Proでは、このようなニーズに応えるため、AWSやAzureとの連携を強化し、クラウドサービスの特権IDをセキュアに管理するためのソリューション提案に努めています。 下図は、Password Manager Proでクラウドサービスの特権ID管理をする際の活用イメージです。 まず、以下のような方法により、特権IDを活用してクラウドサービスへログインする際の端末を固定します。 ・クラウドサービス側で特権ID利用時の接続元グローバルIPアドレスを固定 ・特定の端末にのみ、特権IDのクライアント証明書を適用 上記端末へログインする際、Password Manager Proを経由することで、以下のようなセキュリティ強化を実現できます。 ・端末を利用する際の「申請/承認」フローをシステムによって徹底...

Password Manager Pro , クラウドサービス 1 min read