これらが不十分だと、認証障害や権限の逸脱、同期の不整合といったトラブルにつながる可能性があります。

• セキュリティ対策の強化
• ネットワーク設計と可用性
• アカウント設計・権限設計
• 役割分担と範囲の整理
• レプリケーションとDNSの整合性
• 運用・監視・ガバナンス
• 連携ツールの管理
• テストの実施

セキュリティ対策の強化

ADは社内のユーザーやコンピューター、グループなどの重要な情報を管理しているため、セキュリティ対策の強化は必須です。

従来のセキュリティ対策のままADを運用すると、悪意のある第三者によってADの特権IDを奪われ、情報を盗まれたり、システムを破壊されたりするリスクが高くなります。

具体的な強化策として、以下のような案を検討してみましょう。

MFAは、ADと連携するクラウド認証基盤やVPN、特権アクセス経路などへの導入を検討するとよいでしょう。どの認証経路に適用するかによって構成が変わるため、事前に情報を整理しておくことが重要です。

ネットワーク設計と可用性

ADを他システムを連携させる場合、ADは会社全体の認証インフラになるため、適切なネットワーク設計と可用性が重要です。

主な対策として、以下のような取り組みが挙げられます。

• ドメインコントローラー（DC）の適切な配置
• ファイアウォールの設定

DCは複数用意することで、ダウンタイムの削減や信頼性・可用性の向上につながります。

アカウント設計・権限設計

管理者権限を持つアカウントは必要最小限に抑えることが重要です。DCが攻撃を受けて管理者権限を奪われた場合、組織全体に大きな被害が及ぶ可能性があるからです。

特にDomain Adminは、特定のドメイン内のすべてのユーザーやコンピューター、グループの管理権限を持っています。ヘルプデスクユーザーなどに権限を付与すると、端末が侵害された際に管理者権限が悪用される可能性があります。

このようなリスクを防ぐため、次のような対策を実施しましょう。

• 専用のサービスアカウントの作成
• 既存ADのグループ構造の見直し
• 権限の適切な分離と最小化

役割分担と範囲の整理

ADにどのような役割を担わせるかを決めるのも重要なポイントの一つです。例えば、認証のみ任せるのか、あるいは属性管理やグループ・権限管理まで一任するのか、あらかじめ任せる範囲を整理しておかないと、システム連携がスムーズに進まない可能性があります。

なお、ADでは権限設計に応じて以下のような運用タスクを委任できます。

• ユーザーアカウントの作成、削除、管理
• コンピューターのドメイン参加管理

どの範囲まで委任するかは、OU設計やアクセス権限の設定に応じて整理しておきましょう

また、既存システムで独自に管理しているIDや権限がある場合は、完全統合するのか、それとも一部のみ統合するのかなども検討しておく必要があります。

レプリケーションとDNSの整合性

ADでは複数のDCが同じ情報を共有しながら稼働します。そのため、レプリケーションが遅延したり、DCが依存しているDNSに不整合が発生したりすると認証トラブルの原因となることがあります。

ADにおけるネットワーク的に離れた拠点間で情報を同期する「サイト間レプリケーション」の既定間隔は180分ですが、設定で間隔を短くすることも可能です。最小間隔は15分で、間隔を短くすると待機時間が短縮される代わりに、WANトラフィックの量が増加する点には注意が必要になります。

なお、同一拠点内の「サイト内レプリケーション」は、既定では15秒以内に行われます。

また、DNSの不整合を防ぐために以下のような対策も有効です。

• 監視体制の整備
• TTLの適切な管理

運用・監視・ガバナンス

ADおよび連携システムを正常に運用するには、監視体制やガバナンスの強化が不可欠です。

具体的には以下のような取り組みが有効です。

• 定期的なセキュリティチェック
• 監査ログの取得と分析
• 不審なアクティビティの監視
• 公式ドキュメントに基づく運用

また、ADのヘルスチェックツールを導入するというのも一つの方法です。ヘルスチェックツールを導入すれば、ヘルス分析だけでなく、レプリケーション問題の診断やトラブルシューティング、AD監視の効率化に役立つ場合があります。

なお、必要な監視項目や診断機能はツールによって異なるため、導入前にニーズに合った機能を満たしているかどうか確認しておきましょう。

連携ツールの管理

ツールの設定やサーバー管理を適切に行うことも重要です。オンプレミスとクラウド両方のシステムを運用する場合、アカウント連携のために専用ツールを導入するケースがあります。設定・管理が不十分だと、クラウドユーザーが不正に利用されたり、ユーザーの作成・削除などを不正に行われたりする危険性が高まります。

連携ツールを導入するサーバーは、DCと同様に厳重に保護し、定期的にセキュリティパッチの適用など必要な措置を講じましょう。

また、同期設定の誤りは全ユーザーに影響を及ぼす可能性があるため、

• セキュリティグループを作成する
• ユーザーをグループに所属させて管理する

といった適切な設定を行うことが大切です。

同期対象を限定するために、特定のOUやグループを対象にしてスコープを絞りましょう。連携対象のユーザーを専用グループで管理しておくと、意図しないオブジェクトが同期されるリスクを下げられます。

テストの実施

既存ADと他システムの連携を本番環境に適用する前に、必ず検証環境でテストを実施します。テストを行えば、同期設定や認証連携の変更が既存ユーザーに与える影響を事前に確認することが可能です。

トラブルが起こったときに備え、できれば既存のネットワークとは切り離し、独立したテスト環境で実施するのが望ましいです。

また、小規模な単位で試験的に導入すれば、問題が発生したときも迅速に対応しやすくなります。

具体的には以下のようなテストを実施し、挙動や反映の有無を確認するのがポイントです。

さらに、ADが停止した際にどのような影響が出るのかを確認し、しかるべき対策を講じることも大切です。

社内の既存ADと連携する際はセキュリティ対策や各種設計に注意

社内の既存ADを他システムやクラウドサービスと連携させる際は、セキュリティ対策の強化、ネットワーク設計と可用性、アカウント設計・権限設計、役割分担と範囲の整理、レプリケーションとDNSの整合性、運用・監視・ガバナンス、連携ツールの管理、テストの実施の8点に注意が必要です。設定に漏れや不備があると連携がスムーズに進まないだけでなく、システム障害や認証トラブルにつながる可能性があります。

導入前には十分な準備と検証を行い、安定した運用を実現しましょう。

投稿 社内の既存AD（Active Directory）と連携する際に注意すべきポイントは何ですか？ は ITreview Labo に最初に表示されました。

複数の社内ツールを管理したり、テレワークなど自宅からツールにログインする機会が増えたりしているなら、ぜひシングルサインオンを導入してみてください。この記事では、シングルサインオンの特徴と利用する3つのメリットについて詳しく解説します。

パスワード管理を楽にする「シングルサインオン（SSO）」とは？

「シングルサインオン（SSO）」とは、会社で利用する業務ツールや社内ツールのID・パスワードを一括管理できるツールのことです。

従来、社内ツールのID・パスワードは各個人が別々に管理していました。しかし、パスワード情報を忘れてしまったり、紛失してしまったりすることもあり、保存したデータが利用できなくなることがしばしばありました。シングルサインオンを導入すれば、このようなトラブルを回避できるだけでなく、各社員がID・パスワードを忘れてしまっても、いつでもバックアップを取り出せるのです。

またシングルサインオンは、ログインするという手間をなくしてくれます。生体認証で自動ログインできるシングルサインオンも多数展開されており、1つのIDとパスワードがあれば、どのツールでも簡単にログインできます。複数のID・パスワードが不要になるのも、シングルサインオンの魅力です。

メリット1：社内パスワードを一元管理できる

シングルサインオンを導入することによって、社内パスワードを一元管理できます。従来は、利用するソフト・ツールに合わせて、ID・パスワードを変えることが「セキュリティ面で優れている」と言われていました。しかしこの方法では、社員が複数のID・パスワードを管理する必要があります。PC上のメモ帳などにID・パスワードを保存した結果、ウイルスの侵入によって情報流出してしまうというトラブルにつながることもありました。

これに対しシングルサインオンは、ID・パスワードを一元管理できるだけでなく、メモ帳に情報を保存する必要がないため、セキュリティ面でも優れた機能となっています。

メリット2：低コストで利用できる

シングルサインオンは、低コストで利用できるのもメリットです。便利に利用できるツールといえば、莫大な費用がかかるイメージがありますが、シングルサインオンは月額数百円という低コストで利用できます。低価格でありながらサポートサービスが充実しており、適用範囲を自由にカスタマイズできます。初めてシングルサインオンを導入する方でも使いやすく、社内ルールに則った利用ができる柔軟性を持っているサービスです。

また、ログ保管など、後からログイン情報をさかのぼれる機能が設けられているため、トラブルなどが発生した際にも、瞬時に原因を究明できるのも魅力的なポイントです。

サービスごとに無料体験版も用意されているので、まずは無料で使いやすさを確認してみてはいかがでしょうか。

メリット3：パスワード忘れによる対応を減らせる

シングルサインオンは社内ツールのID・パスワードを一括管理できることから、1つのID・パスワードを管理するだけで済みます。

ID・パスワードを管理したときに最も多いのが、パスワードを忘れてしまうというトラブルです。特に、パスワードの定期更新があったり、新たにツール登録したりすると、追加のID・パスワードが必要となり管理が煩雑になります。また、管理できたとしてもパスワードを忘れてしまったり、思い出すのに時間がかかったりすることもあります。

シングルサインオンは、初期設定の段階でID・パスワードを決めておけば、後は永続的に同じパスワードを利用できるため、パスワードを忘れてしまったり、思い出すのに時間がかかったりするという手間を軽減できます。どの企業でも起こっている慢性的な問題を解決できるのも、シングルサインオンのメリットだと言えるでしょう。

SSOの導入メリットを実感されたら、以下の記事もご一読を。導入が失敗しないようにポイントを解説しています。

記事：失敗しないシングルサインオン（SSO）の選び方｜おすすめSSOツール３選

ITreviewでシングルサインオンサービスを探してみよう

社員が抱えるID・パスワード管理という手間のかかる課題は、シングルサインオン（SSO）を導入することによって、瞬時に解決できます。従来、1つのツール・アプリごとに1つのID・パスワードが必要でしたが、シングルサインオンがあれば、複数のツール・アプリを1つのID・パスワードで管理できるようになります。

ID・パスワードの管理を社員に任せた場合、パスワード忘れといった慢性的に発生するトラブルにつながる場合もありますので、ぜひシングルサインオンを導入してみましょう。

シングルサインオンについて詳しく理解してから導入を検討したいのなら、まずはITreviewが提供するサービスの紹介ページを参考に、気になるサービスを比較してみてはいかがでしょうか。利用者のレビューや評価も掲載しているので、ぜひ参考にしてください。

投稿 シングルサインオン（SSO）導入のメリットとは？社内のID管理を効率化しよう は ITreview Labo に最初に表示されました。

そこでこの記事では、シングルサインオンを導入したい企業向けに、おすすめのサービスを3つご紹介します。サービスごとに特徴や魅力を解説しますので、製品探しの参考にしてみてください。

シングルサインオン（SSO）とは？

シングルサインオンとは、社内で利用するツールに必要な「ログインID・パスワード」を一括管理できる仕組みのことです。

通常、ツールごとにID・パスワードを管理しなてくはいけませんが、SSOの導入により連携するITツールに関しては1つのID・パスワードで管理できるようになります。これにより、ID・パスワード管理で起こりがちな「パスワード忘れ」「ウイルスによる情報流出」を避けられるというメリットもあることから、近年ではシングルサインオンを導入する企業が増えています。

また、セキュリティ対策も充実しており、社内利用だけでなく、テレワークを導入している会社でも利用できます。個人によるID・パスワード管理の課題を解決してくれる魅力的なサービスです。

シングルサインオン（SSO）を選ぶポイント

シングルサインオンは利用するサービスによって機能や価格が変化します。自分に合ったサービスを選ぶためにも、次のポイントをおさえてみてください。

• 価格
• 機能性
• ユーザビリティ

価格

自社と要件の合うコスパの良いサービスを選びましょう。SSOはほぼ全てサブスプリクション形式で提供されており、半永久的に費用がかかります。不要な機能が多いにもかかわらず、高額なサービスを使ってしまわないように事前に満たすべき要件を定めてください。

機能性

自社に必要な機能がそろっているのか確認しましょう。サービスによって搭載している機能が異なるため、自社に適した機能を備えているのか確認することが重要です。例えば自社が既に導入している製品と適応しているのか、ブラウザに記憶しておけるのかなど、あらかじめ、利用するサービスが自社の目的に適用しているか確認しましょう。

ユーザビリティ

実際に触れて、使いやすいと感じるサービスを選びましょう。なかには安く利用できるものの、操作性が劣っており使いづらいSSOもあります。また、動作が重くストレスに感じてしまうSSOもあるので、事前チェックは必須事項です。ほとんどのサービスが無料体験版を用意しているので、実際に触れてみてから使いやすさや操作性を確認するのがおすすめです。

おすすめSSO製品３選

1.CloudGate UNO

株式会社インターナショナルシステムリサーチが提供する「CloudGate UNO」は、クラウドを通じてID・パスワード管理を行えます。生体認証を必要とするMFAを採用しており、自身だけしか情報を扱えないように、万全のセキュリティ対策を講じているのが特徴です。

また、あらかじめ設定した「アクセス制限」「ユーザーフレンドリー」といった機能を活用することによって、テレワーク中もID・パスワードを管理できます。場所を問わず働ける「近年の働き方」にも対応したサービスだと言えるでしょう。

・CloudGate UNOの参考価格

Standard Plus：400 円 / ユーザー/月

・CloudGate UNOのユーザーレビュー

CloudGate UNOの管理画面で認証失敗時のログ確認ができるため、
　サービスごとにログチェックをすることがなくなりました。
ID/PW管理が必要なサービスでSSO連携が可能となり、使い勝手がよくなりました。
IDの作成/削除処理をサービスごとに行わないで済みます。
ID管理の工数が大幅に削減されました

CloudGate UNOへのレビュー「SSO認証基盤(関連システムの入口)として」より

2.HENNGE One

HENNGE株式会社が提供する「HENNGE One」は、SaaS技術を活用したクラウド管理型のシングルサインオンサービスです。MicrosoftやGoogleなど様々なクラウドサービスのID・パスワードを管理できるのが特徴で、誤送信や標的型攻撃といった幅広いメールセキュリティにも対応しています。

初めてシングルサインオンサービスを導入する人に対して手厚いサポートを実施しており、導入前・導入後に関わらずテクニカルコンサルタントによる支援を受けられるのも魅力です。導入手順や仕組みが分からないといった人におすすめのサービスだと言えます。

・HENNGE Oneの参考価格

HENNGEIdP Lite：150円／ID／月

・HENNGE Oneのユーザーレビュー

・Office365との相性が良く、特にHENNGE Access Controlの機能でユーザを１分もかからず登録でできる。
・Office365製品の中であれば高いセキュリティを保ちながら、簡単にログインができる。

HENNGE Oneへのレビュー「Office365との連携がGood」より

3.GMOトラスト・ログイン

GMOグローバルサイン株式会社が提供する「GMOトラスト・ログイン」は、情報セキュリティ事業を展開する大手企業が開発していることもあり、信頼性の高いサービスを期待できます。

シンプルで使いやすいUIが導入されていることから、初心者でも迷わずID・パスワード管理を行えるだけでなく、低予算でありながら高機能なサービスをまんべんなく利用できます。

無料プランを利用することによって実際に使いやすさを確認した後に有料プランへ移行することもできるため、シングルサインオンのビギナーにおすすめのサービスだと言えるでしょう。

・GMOトラスト・ログインの参考価格

PRO：300円／ID／月（機能制限付きの無料プランあり）

・GMOトラストログインのユーザーレビュー

解決できた課題・具体的な効果
・低コストでの導入
・ユーザーインターフェースのわかりやすさによりリリース時のサポート低減
・パスワード管理の一元管理(SSO)により、点在していたサービスのアクセス方法集約化
　パスワード問い合わせなどのサポート工数削減

GMOトラスト・ログインへのレビュー「スピーディーな導入と運用管理工数の削減」より

ITreviewでシングルサインオン（SSO）ツールを探してみよう

シングルサインオン（SSO）は、社内ツールの利用で手間に感じる「ID・パスワードを管理」をラクにしてくれます。ただし、サービスによってID・パスワード管理の承認方法や機能が異なるため、まずは資料請求および無料体験で利用してみるのがおすすめです。

ご紹介したサービスのほかにも製品を比較したい人は、「ITreview」を利用して自社にぴったりのシングルサインオンを見つけてください。

投稿 失敗しないシングルサインオン（SSO）の選び方｜おすすめSSOツール３選 は ITreview Labo に最初に表示されました。