クラウド時代に“Active Directory帝国”が抱えるこれだけの問題

アクセス管理で多忙を極めるIT管理者の現実

　皆さんは「社内ITシステムを管理する」と聞くと、何を連想するだろう？ 真っ先に思い浮かぶのは「ID管理」や「アカウント管理」「アクセス権管理」ではないだろうか。具体的には従業員や協力会社のメンバーなど、ITシステムにアクセスするユーザーのID管理、ファイルサーバ上にある共有ファイルやネットワークプリンタを利用するアクセス管理、社内アプリケーションを利用する際のアカウント管理などだろう。

　また、昨今ではクラウドサービスやWi-Fiアクセスポイント、VPN（Virtual Private Network）といったネットワークへのアクセス管理も必要だ。さらに会社支給のPCやタブレット、スマートフォンといったデバイスの管理もITリソースへのアクセスの入り口として管理しなければならない。

　ざっと列挙するだけでもこれだけ多種多様な項目が、いわゆる「社内業務で利用する ITシステムへのアクセスを管理する」場合の対象となる。では皆さんの企業では、これらの多様な対象をどのようにして日々管理しているだろうか？

　この問いに対し、少なからぬ方が「MicrosoftのActive Directory（以下、AD）を使ったアカウント管理とアクセス制御を行なっている」と答えるかもしれない。確かにADは20年以上にわたり、社内ITシステムを一元管理する基礎部分を担ってきた。それは紛れもない事実である。

“Active Directory帝国”がもたらした光と影

　ADはMicrosoftが2000年にリリースした「Windows 2000」に搭載されたディレクトリ サービス システムである（それ以前の同機能は「NTドメイン」だ）。2000年ごろの社内ITシステムは、社内と社外を明確に区切る境界線（城壁）によって囲まれた世界だった。「会社に出勤する」という行為は城壁の中に入り、内部に存在するITリソースを利用して仕事をすることだった。城壁の中の世界は安全であり、内部への物理的な侵入を防げばよいという境界防御がセキュリティの基本だった時代である。

　そして城壁で守られた“帝国の中心”に鎮座していたのがADだった。すべてのマシンはADのドメインサービスを介して相互に接続を行い、すべてのユーザーはそれぞれのマシンの前で「Ctrl+Alt+Del」キーを叩き、ユーザー名とパスワードを入力して城壁のシステムにログインしていた。そこではファイルサーバ内の共有フォルダへのアクセスやネットワークプリンタへの出力、Exchangeサーバによるメールの利用、SharePoint内のコンテンツへのアクセス、RADIUSサーバ経由でのWi-Fiアクセスポイントへの接続、さらにはADによって提供されるDHCPやDNSサービスの利用も可能だった。

　その後モバイルPCの普及に伴い、VPNを経由したリモート接続も一般化していった。しかし、そのような状況でもADを中心としたアクセス管理の環境が大きく変わることはなかったのである。