関連するソリューション
ITコンサルティング
コンサルティング事業本部
テクニカルエキスパート
認定インストラクター
PeopleCert ITIL® Ambassador
長崎 健一
デジタル社会の落とし穴
アニメ映画「サマーウォーズ」(細田守監督)をご存じでしょうか、この映画が公開されたのは16年前の2009年のことです。ストーリーは、世界中の人々が利用するインターネット上の仮想空間OZ(オズ)が、謎の人工知能(ラブマシーン)に管理権限を盗まれてしまうところから動き始めます。ラブマシーンは、自らの学習欲求を満たすという目的のために、利用者のアカウントを次々に乗っ取っていきます。OZと連携していた数多くの社会インフラ・システムは、アカウントを乗っ取られたことで機能しなくなり、社会全体が大混乱するという展開です。
もちろん、これは映画の中の架空の話ですが、アカウントを守ることの重要性は現実世界でも変わりません。アカウントの乗っ取りは、情報漏洩、不正利用、詐欺などにもつながり、その被害は個人だけにとどまらず、時には組織の信用を失墜させることもあります。アカウントを守ることは、今日のデジタル社会に生きる現代人の宿命であると言えるでしょう。
ユーザー認証の仕組み
システムやサービスにアクセスしようとする人物が、正当な利用者本人であるかを確認する仕組みのことをユーザー認証と言います。近年では、パスワードなどユーザーだけが知っている情報(知識要素)で確認する方法に加えて、スマートフォンなどユーザーだけが持っている物(所有物要素)を使った確認や、指紋や顔などユーザーの身体的特徴(生体要素)による確認を組み合わせて、より厳密なユーザー認証を行うようになっています。一つの方法だけでは破られてしまうことがあっても、本人確認を組み合わせることで、より強固な防御となります。二重三重に鍵をかけるイメージですが、過信することは危険です。前述の「サマーウォーズ」では、システムの管理権限を保護していた2056桁の暗号が解読されてしまい、人工知能による不正侵入を許す羽目になっています。コンピュータの処理能力の向上は、防御だけでなく侵入の能力も同時に向上させていますので、認証技術のアップデートを怠ることできません。
Active Directoryを活用した従業員のアカウント管理
今日のデジタル社会における企業活動は、数多くのデジタル技術によって支えられています。その中において、企業が所有する情報資産を適切に保護するためには、従業員のユーザー認証に加えて、情報資産へのアクセス権限のきめ細かい管理が不可欠です。従業員のアカウントに関する要件をアカウント管理ポリシーと言います。それらをまとめて管理する技術がディレクトリ・サービスです。ディレクトリ・サービスを利用することで、効率的なアクセス権限の付与や削除が可能になり、また、一つのユーザー認証を複数のシステムで共有するシングル・サインオンが実現します。デジタル社会における効率的かつ安全な事業運営には欠かせない技術が、ディレクトリ・サービスです。
代表的なディレクトリ・サービスには、オープンソースのOpen LDAP、アップルのOpen Directory、マイクロソフトのActive Directoryなどがあります。
Active Directoryの特徴
マイクロソフトのActive Directoryは、数多くの企業が採用している高機能なディレクトリ・サービスですが、上手く使いこなすには相当のノウハウが必要になります。また、一部の管理者に作業負荷が集中してしまうことのリスクも考えられます。
Active Directoryの統合管理ツールを利用することで、これらのデメリットをかなり緩和することができます。ゾーホージャパンが提供するAD360は、ユーザー認証、アクセス権限、シングル・サインオン、パスワード変更などのActive Directory機能を、使いやすいインタフェースを介して管理することを可能にします。https://www.manageengine.jp/products/AD360/
特に多数の従業員が異動・昇進・新任となる人事異動のシーズンには、絶大な威力を発揮するツールであると言えるでしょう。
未来のユーザー認証
パスワードに依存したユーザー認証にはパスワード漏洩のリスクが付きまとい、また、利用者にはパスワードを自己管理する負担を強いることになります。将来的には、パスワードレス認証によって、セキュリティの強化と利便性の向上を両立させる方向へ進むことが予想されます。公開鍵と秘密鍵のペアを使ったパスキー認証はその代表例です。生成された公開鍵はサービス側に保存され、秘密鍵は利用者のデバイス側に保存されます。パスワードを記憶する必要がなく、フィッシング詐欺にも強いということで、今後の普及が待たれる技術です。また、指紋や顔などの外見的特徴だけでなく、偽装が困難な脳波や心拍などの内部的特徴を使ったユーザー認証も研究されているようです。
ユーザー認証は、古くて新しいテーマなのです。
最後に
当社ではActive Direcotryに関する設計・導入・設定サービスを行っています。Active Directory管理を行うAD Manager Plus
Active Directory上のID管理を効率化する、Active Directory ID管理ソフト。アカウントの一括更新や不使用アカウントの棚卸、ファイルサーバーアクセス権管理など、AD管理を効率化する機能を有しています。
Active Directory監査を行うADAudit Plus
AD管理者の変更操作ログのチェック、IT統制、PCI-DSSやJ-SOX等のコンプライアンスレポート作成機能などにより、監査業務を効率化するパッケージソフトウェアです。
Active Directoryアカウント管理を行うadselfservice plus
Directory(AD)のアカウントロック解除やパスワードリセットの運用をユーザー自身で実行させる、セルフサービス化ソフトウェアです。シングルサインオン(SSO)にも対応し、セキュリティの向上と煩雑なパスワード管理の大幅な効率化に貢献します。
