Reading Time: 1 minutes
★IDの不整合が起こる仕組みについて
★効率の良い棚卸管理について
第二弾:Active Directoryの必要性【MicrosoftのMVP解説!Active Directoryのハウツー読本】
第三弾:Microsoft 365(旧称:Office365)とは【MicrosoftのMVP解説!Microsoft 365の活用術】
第四弾:ファイルサーバーのアクセス許可【MicrosoftのMVP解説!ファイルサーバー管理のいろはを学ぶ】
本シリーズでは、一貫して「源泉ID」を起点にした他のシステムとの同期・連携の必要性と、ID管理システムを利用した一元的なID管理について解説してきました。今回はここまでの内容を一度おさらいしたうえで、源泉IDとID管理システム間で起こる不整合の可能性と、不整合の放置によって不正アクセスにつながらない運用について解説します。
★源泉IDという考え方
正社員や派遣社員など、種別を問わず従業員が入社した場合、人事システムに従業員の情報を登録し、社内システムを利用できるようにActive DirectoryユーザーなどのIDの払い出しを行います。このときに社内システムで利用するIDが物理的な人物と紐づくように作成しないと、なぜ存在するのかわからないIDが作られる可能性があります。実際、銀行口座でも「KYC」と呼ばれる厳格な本人確認を行い、そのうえで口座開設を行うよう、物理的な人物とID(この場合は口座)を紐づけた運用を行うことで不正利用を防いでいます。
そのため、社内システムのIDも物理的な人物と紐づける運用を行いたいのですが、社内のID管理システム自体を一元化できていない企業も多いと思います。そこで、それぞれのID管理システムに登録するIDの「大本(おおもと)」となるIDを設けて一元管理するのです。これを「源泉ID」と呼びます。そして、源泉IDは専用のID管理システムを利用するのではなく、人事システムを源泉IDとして利用すれば、物理的な人物との紐づけもスムーズにできるという話を前回までに行いました。
★IDの不整合が起こる仕組み
源泉IDをもとにしてID管理システムのIDを一元管理するという考え方は一見するとスマートな運用のように思います。しかし、現実には色々な理由で例外が発生するものです。ここでは例を3つ挙げます。
まず1つ目は、協力会社のIDを作って運用するケースです。具体的には、源泉IDである人事システムに登録を行わずに、Active DirectoryだけにIDが登録されてしまう運用方法です。このケースは、以前の連載でも例外を認めない運用にするか、人事システム以外のデータベースを源泉IDにすることを検討してくださいと解説しましたが、そのどちらも守られないことは比較的多くの企業で見られる傾向です。
2つ目は、複数のID管理システムを利用することによって起こるIDの不整合です。例えば、Active Directory(以下、AD)とAzure Active Directory(以下、Azure AD)を利用している企業の場合、ADとAzure ADの構築・運用を別々のITベンダーに発注していれば、当然管理者は別々になります。結果、両者間で一元管理が行われず、源泉IDにも登録されていないIDが作られていくのです。最近ではクラウドID管理システムもOktaとAzure ADを組み合わせるなどの多段構成で運用するケースも出てきていますので、この傾向はますます顕著になりつつあります。
3つ目は、複数のID管理システムを利用することによって起こるグループの不整合です。これは特にAzure ADで起こるパターンですが、ADとAzure ADでグループの管理がバラバラになることで不整合が発生します。それは、ADでは、AGDLP戦略と言ってIDをグローバルグループに登録、そしてグローバルグループをドメインローカルグループに登録し、ドメインローカルグループにアクセス許可を割り当てるという運用を推奨しています。しかし、Azure ADでは、グループの中にグループが含まれるようなグループに対するアクセス許可を割り当てることができません。結果、グループ管理は、ADとAzure ADでまったく異なる運用が求められることになるのです。
ここまで、IDの不整合が起こる仕組みについて解説しましたが、この問題への対処方法は一元管理などという理想論ではなく、やはり定期的な棚卸管理をするのが現実的です。
具体的には、棚卸管理で行う作業は、IDの使用状況と使用目的の確認です。
IDの使用状況の確認では、ID管理システムのログを参照して未使用なIDがないかを確認します。ただし、1年使われていないIDがあった場合にも、それは永遠に使われないIDであるとは限らず、削除を機械的に判断できるわけではありません。
そのため、ID管理者が目視で確認することが必要になります。このとき課題になるのは、未使用IDの本来の利用者がわからないという点です。通常、IDの名前には従業員の名前や社員番号のような識別可能な情報が含まれます。しかし、特定のシステムの管理目的で作られたようなIDの場合、当人しかわからないようなIDを設定してしまうケースもあるため、IDが使われる目的を明確にするような運用を日頃から行うことが必要です。
そして、IDの使用目的の確認では、目的がわからないIDの確認作業は地道に色々な人に聞いてまわるという面倒な作業です。そのため、こうした手間のかかる作業が発生しないように、IDを作成する時点で利用目的をIDの属性に設定すべきなのです。
★効率のよい棚卸管理
定期的に行う棚卸管理は、マンパワーがどうしても必要になる面倒な作業です。そのため、棚卸管理の作業をできるだけ少なくするような運用が求められます。
例えば、人事システムに源泉IDを設ける運用にすると、人事システムに登録できないIDが登場するために不整合が起こるという話をしました。不整合の発生をできるだけ抑えるためには、人事システムからADやAzure ADなどに同期するのではなく、その間に「統合ID管理システム」を挟んで、人事システムに登録されないIDも合わせて管理できる源泉IDを設けて運用するのです。そうすることで、システム管理IDやIDの利用目的など、本来人事システムに掲載されないような情報も管理でき、棚卸管理で行うべき作業を軽減できるのです。
近年、ADやMicrosoft 365(旧称:Office 365)のAzure ADを狙った不正アクセスが話題になっています。不正アクセスの原因には様々な要素がありますが、そのひとつに誰にも管理されていないIDがあります。こうした放置されたIDを排除し、セキュアなユーザーデータの管理を行うには、定期的な棚卸管理、そして棚卸管理の負荷を下げるような仕組みを検討することが必要なのです。
株式会社ソフィアネットワーク所属。インターネットサービスプロバイダでの業務経験を経て、1997年よりマイクロソフト認定トレーナーとしてインフラ基盤に関わるトレーニング全般を担当。Azure ADを中心としたトレーニングの登壇やトレーニングコースの開発に従事するだけでなく、ブログ等のコミュニティ活動も評価され、2006年からAzure AD/Microsoft 365の分野におけるMicrosoft MVPを15年連続で受賞する。
主な著作に『ひと目でわかるIntune』 (日経BP)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。
ゾーホー社員のつぶやき
こんにちは!ゾーホージャパンの近藤です。ADを狙った不正アクセスといえば、近年標的型攻撃や内部不正による被害が多く報告されています。ADのドメイン管理者権限を奪取する、もしくは、付与されたアクセス権限/アカウントを悪用することで、AD環境配下のあらゆるエンドポイント上の重要情報が窃取可能となります。最近では、リモートワークで利用が拡大しているVPNを狙った標的型攻撃の手口もあり、日々巧妙化する攻撃に備えるためにも、適切なAD管理、および監視は重要な作業となっています。AD攻撃検知と対策に関する詳しい情報は、ADのセキュリティ運用方法をまとめたソリューションページよりご確認いただけますので、是非ご一読ください。
さて、今回は源泉IDを軸とするID(ユーザー)運用を行うには、ID紐づけの際に発生する不整合の可能性も考慮に入れた、定期的棚卸管理の必要性について述べられていました。不正アクセスの要因ともなり得る未使用IDの放置は、定期的な棚卸作業で対処できますが、IT管理者にとっては多くの工数を要する悩ましい作業です。
そこで、Active Directory管理を容易に実現できるソフト、ManageEngine「ADManager Plus」をご紹介します。
ADManager Plusでは、WebベースのシンプルなUIで操作できるため、人事異動や退職などで使用されなくなったユーザーアカウントやPCの削除を容易に実行できます。
例えば、レポート機能で、Active Directoryの不使用アカウント/無効化されたアカウント/期限切れのユーザーアカウントやPCを可視化し、それらアカウントやPCの無効化/削除/移動などを迅速に処理できます。また、テンプレートやレポート、CSVデータを利用しての一括処理も可能ですので、棚卸管理業務を大幅に短縮・効率化できます。
Microsoft SQLやOracle Databaseのデータベース、WorkdayやZoho PeopleなどのSaaS系人事システムとも連携できるので、人事異動や組織変更の際の大量の設定変更も効率的に実施できます。
ADManager PlusのActive Directory ユーザー管理ページはこちら
ADManager Plusのデータベース連携ページはこちら
ADManager Plusとは?
WebベースのGUIでActive Directoryのユーザー、コンピューター、ファイルサーバーを管理し、自動化、ワークフローなどを容易に実行できるActive Directory運用管理ソフトです。誰にでも操作しやすい画面で、適切な権限割り当て、更新作業ができます。Active Directoryにまつわる定型業務を効率化する豊富な機能で、管理者の運用負荷を軽減します。
AD360もおススメ!
Active Directoryのアカウント管理・監査/パスワードセルフ管理を一元化、Azure ADにも対応。Active Directoryのアカウント情報の一括更新、セキュリティログの収集・可視化、パスワード変更とアカウントロック解除のセルフサービス化など、多彩な機能を1つのコンソール画面で利用できるソフトウェアです。ファイルサーバーアクセス権管理の機能も備えています。
上記2つの製品について詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスしてくださいね。
ADManager Plusの製品ページはこちら
ADManager Plusの概要資料ダウンロードページはこちら
ADManager Plusの無料版ダウンロードページはこちら
AD360の製品ページはこちら
AD360の概要資料ダウンロードページはこちら
AD360の無料版ダウンロードページはこちら
▼▼ 別シリーズのブログ記事もチェック! ▼▼
Microsoft MVPシリーズ第一弾:AzureADを利用する意味【AzureADの虎の巻】
Microsoft MVPシリーズ第二弾:Active Directoryの必要性【Active Directoryのハウツー読本】
Microsoft MVPシリーズ第三弾:Microsoft 365(旧称:Office365)とは【Microsoft 365の活用術】
Microsoft MVPシリーズ第四弾:ファイルサーバーのアクセス許可【ファイルサーバー管理のいろはを学ぶ】
>> 第4回 人事システムとクラウドサービスとの連携
<< 第6回 人事システムの直接連携に向けて(最終回)
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。