Active Directoryとは? 利用するメリット・デメリットや注意点を解説

Windowsの認証の方法として、Active Directoryがあります。これはWindows 2000 Serverの目玉機能として登場し、数多くの企業に導入されてきています。今回は、Active Directoryとは何なのかわかりやすく解説します。

Active Directoryでの用語

まずは、Active Directoryを理解するためには、使用する用語を理解する必要があります。

①ドメイン/ドメインコントローラー ドメインは、リソース同士の関係性を示すもの示すものです。ドメインにより、ユーザや端末、部署などのリソースを扱うことができます。このドメインを管理しているシステムがドメインコントローラーです。ユーザは、ドメインコントローラーを通して証明することにより、ユーザーと他のリソースの関係性が解り、アクセスできるようになります。

②ドメインツリー/フォレスト ユーザやコンピュータの権限などが異なるとドメインを複数に分けて管理する必要があります。このときに親ドメインと子ドメインに分け、子ドメインは親ドメイン名の一部を継承し、お互いのドメインリースを利用できる関係性を結びます。このように親子関係になっているドメインをドメインツリーと言います。 また、名前の階層を分けたいと言う場合に複数のドメインに信頼関係を結びます。この状態をフォレストと言います。Active Directoryでは、これがグループの最大単位となります。なお、フォレストは、1つ以上のドメインツリーで構成されます。

③シングルサインオン シングルサインオンは、ユーザ名とパスワードを一度入力するのみで、他のサーバにもアクセス可能となる仕組みです。

④フェデレーション Active Directoryにログインするのみで、他のサービスへ個別にログインすることなく自動的にサービス利用となる機能で、シングルサインオンの一種です。

ドメインツリー /フォレストの構成。各ドメインに一台以上のドメインコントローラが存在します。

https://codezine.jp/article/detail/4584 より

なぜActive Directoryを利用するのか

Active Directoryを利用する理由として挙げられるのは、認証権限の管理があります。また、クラウドサービスについても、ID連携等がすることができます。

①Active Directoryが必要な理由 社内にある様々なシステムとのシングルサインオンが実現可能です。従来は、社内の各システムでユーザ名やパスワード等を入力してログインしていました。しかもセキュリティの都合上、これらのパスワードはそれぞれ異なる物でした。Active Directoryによりシングルサインオンを実現することにより、一つの組み合わせを覚えるのみで十分となり、ユーザへの負担軽減に繋がります。 また、Active Directoryでは、管理者権限を一括して持つことが可能であり、各端末の設定を一括で行うことも可能となっています。

②Active Directoryの利用例 Active Directory の使用場面としては、権限の付与があげられます。具体的には部署毎・役職毎にドメインを準備し、人事異動があればユーザの所属ドメインを変更します。こうすることにより、適切なアクセス権限の付与が可能となります。 また、シングルサインオン機能を利用し、システム内のログインを省略するということも可能です。

Active Directoryの機能

Active Directoryの機能としては、「ID・パスワードの管理」「アクセス権限の管理」「ソフトウェアの管理」「接続機器の管理」「操作ログの管理」等があげられます。

①ID・パスワードの管理 従来は、システム毎にIDとパスワードを管理していました。Active Directoryでは、このIDとパスワードを一括で管理することができます。IDやパスワードの個別管理をなくすことにより、サイバー攻撃などのリスク低減にも繋がり、セキュリティ対策として有効です。

②アクセス権限の管理 Active Directoryでは、ログインの可否のみならず、アクセス権限の管理もできます。これにより必要最低限のアクセス権限を付与することができ、情報漏洩等のリスクを低減することができます。なお、この権限は、ドメイン単位でもユーザ単位でも行うことができます。

③ソフトウェアの管理 Active Directoryにより、Windows Updateやセキュリティソフト等の更新を一括して管理することも可能です。また、管理下の端末に対して同じ操作を行うことが可能となっているため、全ての端末を同じ環境にすることが可能です。これにより、脆弱性のあるバージョンのソフトウェアの利用を廃止し、セキュリティ面の向上が図れます。また、ユーザが個別に更新する必要が無くなります。

④接続機器の管理 USBメモリやプリンタ等の各種周辺機器についても管理を行うことができます。USBメモリへの書き込み制限やプリンタドライバの一斉配信等も行うことが可能です。設定を一括で行えるため、周辺機器のアドレスが変更となった場合でも、Active Directoryにより、ユーザは個別に対応する必要がなくなります。

⑤操作ログの管理 閲覧出来るログに制限はありますが、Active Directoryに対する操作ログを管理できます。具体的にはログオンの認証や、各ファイルサーバに対する操作等が管理可能となっています。

Active Directoryを利用する メリット・デメリット

①Active Directoryのメリット 管理者にとってのメリットは、煩雑な業務を効率的に管理できるようになることがあげられます。企業には、膨大なリソースが数多くあります。その一つ一つを管理しようとすると多大な労力を必要とします。しかし、Active Directoryを使用することにより、ある程度自動化することができ、更に作業ミスを少なくすることができます。 企業側としては、リソースを一元的に管理できることです。これにより業務の効率化を行うことができます。また、管理者の業務効率化が図れることにより、人件費の削減にも繋がります。更にセキュリティ対策としても有効であり、情報漏洩等のリスク低減にも繋がります。 ユーザ側としては、個別の設定をしないでよいことがあげられます。また、シングルサインオンが可能となるため、パスワードを覚える必要もなくなります。また、各種アップデートも管理者で行うことができるため、負担が減ります。

②Active Directoryのデメリット 一番は導入時のコストです。導入するためには、サーバーの構築や各種設定等の導入コストがかかります。また、万が一Active Directoryが使用不可となったときは、ユーザーがログインできなくなるなど、業務が滞る可能性があります。運用時にも、Active Directoryの仕組みは複雑であるので、使いこなすためには専門的な知識や技術が必要となります。そのための人材確保のコストもかかります。

Active Directoryの使用上の注意点

注意点は権限の付与を正しく行うことです。また、ユーザの制限が厳しいと業務の効率性が落ちます。逆にユーザの制限が甘いとセキュリティの問題も生じます。 セキュリティと利便性はトレードオフの関係性にあるため、どのような権限付与にするのか十分検討しなければなりません。

まとめ

Active Directoryを使いこなすことで、ユーザや端末の管理を非常に効率的に行うことができ、同時に、セキュリティの向上も図ることができます。適切に設定を行い、業務を最適な形に運用できるようにしましょう。

執筆:橋爪兼続

ライトハウスコンサルタント代表。2013年海上保安大学校本科第Ⅲ群(情報通信課程)卒業。巡視船主任通信士を歴任し、退職後、大手私鉄の鉄道運行の基幹システムの保守に従事。一般社団法人情報処理安全確保支援士会の前身団体である情報処理安全確保支援士会の発起人。情報処理安全確保支援士(第000049号)。