効率的なアクセス権管理が可能に！Active Directory(AD)

はい、こんにちは。松井真也です。『ゼロトラスト用語辞典シリーズ』と題してブログを更新しております

今回のテーマは、「アクティブディレクトリ（AD）を使ったアクセス管理と制御」です。過去の記事でも少し登場したADですが、自社内でシングルサインオンを可能にする重要なサービスでしたね。しかし、その仕組みについては、きちんとご紹介したことがありませんでした。ゼロトラスト時代でこそ活躍する技術ですから、一度さらっておくことにしましょう！

アクティブディレクトリとは？

アクティブディレクトリ（AD）は、Windows Serverにより提供されるディレクトリサービスです。

おっとディレクトリサービス自体がよく分からないですよね。ディレクトリは、まあカタログのような一覧だと思いましょう。何がカタログの対象かというと、ネットワーク資源であったり、ユーザ情報であったりします。例えば、企業内のPC、プリンター、ユーザーアカウントなどがこれに該当します。これを一元管理するサービスが、「ディレクトリサービス」です。

ですから、ADも、ネットワーク上の様々な資源やユーザー情報を一元管理することが可能です。企業がIT資源やユーザを効率的に運用する上でとても重要な役割を果たしています！

セキュリティグループを利用したアクセス権の管理

では、「どのユーザに、どのネットワーク資源へアクセスさせるか」を設定する流れを見てみましょう！

まずは、管理者が、「セキュリティグループ」というものを作り、これを単位としてアクセス権を設定します。ユーザ単位じゃないんですね。

「セキュリティグループ」を使用することで、特定のユーザーグループにのみ特定のリソースへアクセス権を与えることができわけです。これにより、不正アクセスや情報漏洩のリスクを軽減します。

イメージが湧きませんか？例えば、財務部門のスタッフには財務システムへのアクセスを許可し、他の部門はアクセスできないように設定することができます。

ドメインコントローラの役割

では、そのアクセス権限の設定はどこでやりましょうか？「ドメインコントローラ」というものです。

ドメインコントローラはADの中核を成す構成要素です。ネットワーク内からの認証要求を処理する役割を担います。ユーザーがどのリソースにアクセスできるかを管理し、セキュリティを保ちながら効率的なネットワーク運用を助けてくれます。

「チケット」を使った認証プロセス

では、ユーザがドメインコントローラに認証してもらい、リソースへのアクセスを許可してもらう流れを見てみますか。財務課の人が財務システムにアクセスすると仮定しましょう。

まず最初に、ユーザーがリソースにアクセスする際には、ドメインコントローラに認証してもらいます。

すると、「チケット」と呼ばれる「認証トークン」を発行して（払い出しして）もらえます。そのチケットは、そのユーザが所属している「セキュリティグループ」に対応したものです。

ユーザは、そのチケットを「財務システム」に提示して「財務システム」にアクセスできます。このチケットを「人事システム」や「労務システム」に提示してもアクセスさせてもらえません。

サーバへのアクセス証を「チケット」と呼ぶあたり、イメージが湧きやすいですね！

はい、本日はここまで！今回は、複雑なネットワーク環境においても、セキュリティと効率性を同時に実現させてくれる「アクティブディレクトリ」をご紹介しました！