社内の既存AD(Active Directory)を既存のクラウドサービスや他システムと連携する際は、以下8つのポイントに注意しましょう。
これらが不十分だと、認証障害や権限の逸脱、同期の不整合といったトラブルにつながる可能性があります。
- セキュリティ対策の強化
- ネットワーク設計と可用性
- アカウント設計・権限設計
- 役割分担と範囲の整理
- レプリケーションとDNSの整合性
- 運用・監視・ガバナンス
- 連携ツールの管理
- テストの実施
目次
セキュリティ対策の強化
ADは社内のユーザーやコンピューター、グループなどの重要な情報を管理しているため、セキュリティ対策の強化は必須です。
従来のセキュリティ対策のままADを運用すると、悪意のある第三者によってADの特権IDを奪われ、情報を盗まれたり、システムを破壊されたりするリスクが高くなります。
具体的な強化策として、以下のような案を検討してみましょう。
| アクセス権限の最小化 | 管理者権限は必要な担当者に限定し、常時付与を避ける |
| 多要素認証(MFA)の導入 | 特権アカウントや管理画面へのアクセスに、二段階認証など追加認証を設定する |
| サービス利用状況の監視 | 異常なログオンや権限変更を早めに検知できるよう監視する |
| 定期的なセキュリティパッチの適用 | パッチを当ててDCや連携サーバーを既知の脆弱性から保護する |
| パスワード強度の向上 | 推測されにくい複雑なパスワードを設定し、不正ログインを防ぐ |
MFAは、ADと連携するクラウド認証基盤やVPN、特権アクセス経路などへの導入を検討するとよいでしょう。どの認証経路に適用するかによって構成が変わるため、事前に情報を整理しておくことが重要です。
ネットワーク設計と可用性
ADを他システムを連携させる場合、ADは会社全体の認証インフラになるため、適切なネットワーク設計と可用性が重要です。
主な対策として、以下のような取り組みが挙げられます。
- ドメインコントローラー(DC)の適切な配置
- ファイアウォールの設定
DCは複数用意することで、ダウンタイムの削減や信頼性・可用性の向上につながります。
アカウント設計・権限設計
管理者権限を持つアカウントは必要最小限に抑えることが重要です。DCが攻撃を受けて管理者権限を奪われた場合、組織全体に大きな被害が及ぶ可能性があるからです。
特にDomain Adminは、特定のドメイン内のすべてのユーザーやコンピューター、グループの管理権限を持っています。ヘルプデスクユーザーなどに権限を付与すると、端末が侵害された際に管理者権限が悪用される可能性があります。
このようなリスクを防ぐため、次のような対策を実施しましょう。
- 専用のサービスアカウントの作成
- 既存ADのグループ構造の見直し
- 権限の適切な分離と最小化
役割分担と範囲の整理
ADにどのような役割を担わせるかを決めるのも重要なポイントの一つです。例えば、認証のみ任せるのか、あるいは属性管理やグループ・権限管理まで一任するのか、あらかじめ任せる範囲を整理しておかないと、システム連携がスムーズに進まない可能性があります。
なお、ADでは権限設計に応じて以下のような運用タスクを委任できます。
- ユーザーアカウントの作成、削除、管理
- コンピューターのドメイン参加管理
どの範囲まで委任するかは、OU設計やアクセス権限の設定に応じて整理しておきましょう
また、既存システムで独自に管理しているIDや権限がある場合は、完全統合するのか、それとも一部のみ統合するのかなども検討しておく必要があります。
レプリケーションとDNSの整合性
ADでは複数のDCが同じ情報を共有しながら稼働します。そのため、レプリケーションが遅延したり、DCが依存しているDNSに不整合が発生したりすると認証トラブルの原因となることがあります。
ADにおけるネットワーク的に離れた拠点間で情報を同期する「サイト間レプリケーション」の既定間隔は180分ですが、設定で間隔を短くすることも可能です。最小間隔は15分で、間隔を短くすると待機時間が短縮される代わりに、WANトラフィックの量が増加する点には注意が必要になります。
なお、同一拠点内の「サイト内レプリケーション」は、既定では15秒以内に行われます。
また、DNSの不整合を防ぐために以下のような対策も有効です。
- 監視体制の整備
- TTLの適切な管理
運用・監視・ガバナンス
ADおよび連携システムを正常に運用するには、監視体制やガバナンスの強化が不可欠です。
具体的には以下のような取り組みが有効です。
- 定期的なセキュリティチェック
- 監査ログの取得と分析
- 不審なアクティビティの監視
- 公式ドキュメントに基づく運用
また、ADのヘルスチェックツールを導入するというのも一つの方法です。ヘルスチェックツールを導入すれば、ヘルス分析だけでなく、レプリケーション問題の診断やトラブルシューティング、AD監視の効率化に役立つ場合があります。
なお、必要な監視項目や診断機能はツールによって異なるため、導入前にニーズに合った機能を満たしているかどうか確認しておきましょう。
連携ツールの管理
ツールの設定やサーバー管理を適切に行うことも重要です。オンプレミスとクラウド両方のシステムを運用する場合、アカウント連携のために専用ツールを導入するケースがあります。設定・管理が不十分だと、クラウドユーザーが不正に利用されたり、ユーザーの作成・削除などを不正に行われたりする危険性が高まります。
連携ツールを導入するサーバーは、DCと同様に厳重に保護し、定期的にセキュリティパッチの適用など必要な措置を講じましょう。
また、同期設定の誤りは全ユーザーに影響を及ぼす可能性があるため、
- セキュリティグループを作成する
- ユーザーをグループに所属させて管理する
といった適切な設定を行うことが大切です。
同期対象を限定するために、特定のOUやグループを対象にしてスコープを絞りましょう。連携対象のユーザーを専用グループで管理しておくと、意図しないオブジェクトが同期されるリスクを下げられます。
テストの実施
既存ADと他システムの連携を本番環境に適用する前に、必ず検証環境でテストを実施します。テストを行えば、同期設定や認証連携の変更が既存ユーザーに与える影響を事前に確認することが可能です。
トラブルが起こったときに備え、できれば既存のネットワークとは切り離し、独立したテスト環境で実施するのが望ましいです。
また、小規模な単位で試験的に導入すれば、問題が発生したときも迅速に対応しやすくなります。
具体的には以下のようなテストを実施し、挙動や反映の有無を確認するのがポイントです。
| 認証テスト | ログインの成功/失敗、ロックアウト挙動 |
| 同期テスト | ユーザーの作成・削除・無効化・属性変更の反映 |
| 権限テスト | グループ変更時の権限反映、管理者権限の制御、パスワード変更時の反映 |
| 障害テスト | AD停止時・DC障害時・ネットワーク断時の影響確認 |
さらに、ADが停止した際にどのような影響が出るのかを確認し、しかるべき対策を講じることも大切です。
社内の既存ADと連携する際はセキュリティ対策や各種設計に注意
社内の既存ADを他システムやクラウドサービスと連携させる際は、セキュリティ対策の強化、ネットワーク設計と可用性、アカウント設計・権限設計、役割分担と範囲の整理、レプリケーションとDNSの整合性、運用・監視・ガバナンス、連携ツールの管理、テストの実施の8点に注意が必要です。設定に漏れや不備があると連携がスムーズに進まないだけでなく、システム障害や認証トラブルにつながる可能性があります。
導入前には十分な準備と検証を行い、安定した運用を実現しましょう。
