Active Directoryはなぜ必要なのか：基礎から分かるActive Directory再入門（1）

連載目次

Active Directoryを使う理由とは？

　「十年一昔」とはよく使われる言葉だが、ITの世界における10年は十分過ぎるくらいに昔を指す。

　2000年にリリースされたWindows 2000 Serverの目玉機能として登場した「Active Directory」は、現在までに多くの企業に導入されている。Windows Serverのアップグレードを繰り返しながら、10年以上経過しているところもあるのではないだろうか。初期導入からかなりの年月が経過したActive Directoryでは、最初に設計した担当者や運用管理者が入れ替わり、当初の設計意図とはかけ離れたものになっている可能性もある。

　IT教育研修の現場にいる筆者から見ると、10年前と今とでは技術者が学ぶ分野／項目は格段に増えており、Active Directoryの学習に以前ほど時間を取れなくなっている事情もあるように思われる。

　そこで本連載では、10年前に設計・構築・運用した人からバトンを渡されたIT運用管理者に向け、Active Directoryの今を知り、正しい知識を身に着けることを主眼にして、さまざまなActive Directoryの「なぜ？」に答えるかたちで、皆さんの学習の一助となる情報をお伝えしていきたいと思う。

　第1回目となる今回は、「Active Directoryはなぜ必要なのか？」という基本的な疑問に答えていこう。

「あなたは誰？」を確認する仕組みとして

　一般的な企業の社内システムには、会社の人間であれば誰でもアクセス可能なデータもあれば、一部の人にしかアクセスできないデータもある。この一部の人にしかアクセスできないデータに、誰でも勝手にアクセスできてしまっては困るだろう。

　そこで、アクセス可能な人かどうかを判断するため、「あなたは誰？」ということを確認する仕組みが必要になる。この「あなたは誰？」を確認する仕組みを「認証」と呼び、Windows Serverベースのシステムに認証の機能を提供するのが“Active Directory”となる。Active Directoryでは、基本的に“ユーザー名”と“パスワード”で「あなたは誰？」を確認している（図1）。

図1　Active Directoryでは、ユーザー名とパスワードで「あなたは誰？」ということを確認し、データへのアクセスを可能にする

　あなたの周りでは、1人で複数のユーザー名を使い分けたり、1つのユーザー名を複数人で共有したりしてはいないだろうか。ユーザー名（とパスワード）が「誰であるか？」を確認する仕組みであることを考えれば、そのような運用（使い方）はおかしいことがお分かりいただけるだろう。

ユーザー名／パスワードを何度も入力しないようにするため

　ユーザー名とパスワードによるActive Directoryの認証は、「あなたは誰？」を確認するための仕組みだ。認証によって「あなたはAさんですね」ということが確認できた場合、「Aさんである」という了解の下でアクセスできる範囲をActive Directoryでは「ドメイン」と呼ぶ。これは言い方を変えれば、ドメインとは「1回のログオン操作でアクセスできる範囲」ということになる（図2）。

図2　「ドメイン」とはActive Directoryで認証されたユーザーがアクセスできる範囲のこと

　例えば、会社でドメインを作成した場合は、ユーザー名とパスワードを入力して認証を済ませると、社内のさまざまなデータにアクセスできるようになる。そして、Active Directoryで一度認証すれば、そのドメインに参加しているサーバー上のデータにアクセスする際には、いちいちユーザー名とパスワードを入力しなくてもよくなる。

　認証の世界では、ユーザー名とパスワードを一度入力するだけで、どのサーバーにでもアクセス可能になる仕組みを「シングルサインオン」（Single Sign-On：SSO）と呼ぶ。

　ここまでの話をまとめると、「Active Directoryを使ってシングルサインオンできる範囲がドメインである」ということになる。

　しかし、最近では企業の合併なども増え、合併する会社がそれぞれでActive Directoryドメインをすでに運用しているケースも多い。その場合、会社は合併してもActive Directoryドメインは合併されず、別々に運用されたままになるということが起きる。そのために、Active Directoryには「信頼関係」という機能で、2つのActive Directoryドメインを結び付け、両方のドメインにシングルサインオンできる方法が用意されている。

　また、最近では社内システム（オンプレミス）だけでなく、クラウドサービスも組み合わせた、いわゆる“ハイブリッドクラウド”を利用しようという機運が高まっている。こうした時流に乗り、社内のActive Directoryを利用して、一度のログオン操作でアクセスできる範囲をクラウドにまで広げていくにはどうしたらよいのだろうか。その場合には、Active Directoryに付属する機能で「Active Directoryフェデレーションサービス」（ADFS）を利用する方法がある。

　信頼関係やADFSを組み合わせて活用することで、Active Directoryによるシングルサインオンの範囲は広がり、ユーザー名とパスワードを何回も入力するような手間が省けるようになる（信頼関係やADFSの詳細は、今後の連載で解説していく予定だ）。特に最近は、クラウドサービスの種類や利用場面も増え、ユーザー名とパスワードを入力する機会も多くなっているので、Active Directoryとクラウドサービスを連携できるのは筆者としてもウレシイことである（図3）。

図3　ドメインは連携機能を使って、他のドメインやクラウドサービスとの間でシングルサインオンを実現できる

ユーザー名／パスワードを使わずに認証する

　Active Directoryは基本的にユーザー名とパスワードを使って「あなたは誰？」を確認する。これは言い方を変えると、ユーザー名とパスワードが分かれば、誰でも「他の人」になれるということになる。このことが昨今頻繁に発生している、「パスワードを盗んで他人になりすます」といった問題に発展している。Active Directoryにはこうした問題への対応として、ユーザー名とパスワード以外の認証方法も用意されている。

　例えば、別途ハードウェアが必要になるが、指紋を使って認証したり、「スマートカード」と呼ばれるチップが埋め込まれたカードを使って認証したりすることも可能だ。これらの認証は全てユーザー名と関連付けておくことで実現する。この指紋ならばユーザーAさん、このスマートカードを提示したらユーザーBさん、といった具合だ。ユーザー名とパスワードに頼らない認証を実現できることも、Active Directoryが導入される理由の1つである。

人事システムとして

　ほとんどの会社には、人事情報を登録したシステムがあるはずだ。人事システムに登録する情報は会社によって異なるが、名前、電話番号、部署名程度の簡単な情報を登録するだけであれば、Active Directoryを活用することができる（画面1）。Active Directoryはユーザー名とパスワードだけを登録する仕組みと考えている人も多いが、関連する人事情報も登録できるのだから、これを使わない手は無い。

画面1　Active Directoryではユーザー名とともに人事情報も登録できる

　Active Directoryが登場したばかりのころは、入力した情報を活用できる機能も無かったため、手間を掛けて入力するメリットはあまり無かった。しかし、最近ではActive Directoryに人事情報を登録することで、より細かくアクセスを制御できるようになっている。

　例えば、特定のデータに対してアクセス権限を設定する際、Windowsでは「アクセス許可」という仕組みで、ユーザー名を基にアクセス可能なユーザーを決定する。しかし、会社の中で特定のデータにアクセスできる人は、部署名や役職で決まっていることが多い。そこで、ユーザー名ではなく、Active Directoryに登録されている役職や部署名などを基にアクセス権限を設定するのである（図4）。役職や部署名で設定する方が分かりやすい場合もあるのだ。

図4　ユーザー名ではなく、役職や部署名でアクセス許可を設定すると分かりやすい場合もある

　ここまで、Active Directoryを使う理由について見てきた。社内システムにActive Directoryが導入されているから使うのではなく、「なぜActive Directoryを使わなければならないのか」を理解できれば、日々の運用管理業務もポジティブに行えるようになるのではないだろうか。次回からは、具体的なActive Directoryの設定方法なども解説していく予定だ。