IdPとは、認証・認可してきたユーザーが、どのサービスに対してアクセスできるかを取り決める仕組みです。新入社員にBoxやOffice 365などのアカウントを1つずつ割り当てるような面倒な作業も、IdPがあらかじめ許可したグループにその人が加わった瞬間に、自動的にユーザーアカウントを適切に作成してくれます。
IdPツールとしては「Okta」や「Ping Identity」などが知られていますが、シンジさんは「Azure AD自体にもオプションでIdPが用意されている」と説明。しかも「IdPは基本的にAzure ADの統制下にあるので、事故が起こった際のログやレポートはAzureポータルの管理者が確認でき、総務部で機器の管理が必要な場合などは、デバイスIDのみの管理権限を渡すだけで、別途資料を用意することもない」と機能の特徴を紹介しました。
例として挙げたネットワーク構成であれば、退職や異動、休職などが発生した際も、AD DSやAzure ADのユーザーを無効化するだけで全てのアクセス権限が剥奪されるため、管理者の負担は大きく軽減されると言います。最近では、Jamf ProとマイクロソフトのMDMツールであるIntuneが連携できるようになったため、Azure ADの使い勝手も大きく向上したそう。
「このPCはアンチウイルスが起動していないからネットにつながりません、あるいは、このPCには会社から支給される証明書がないので、このサービスにアクセスできませんといった、細かい条件によるアクセス管理がiOSとWindowsの間でできるようになった」とシンジさん。
こうしたIdPの機能をうまく活用することで、「運営しているタイトル数が多過ぎてセキュリティ関連のサービスやソリューションを適用しにくい」というDさんや、Eさんの悩みである「ゲーム開発機のネットワーク管理」などを解決する道が開けるといいます。
さまざまなアドバイスやレクチャーを行ったシンジ兄さん。最後に総括として「今日のアンケート結果を見ると、iPhoneのパスコードやWindowsのログインパスワードなど、認証(認可)に関する質問が多かった。Azure ADでは、パスワード認証をやめて顔認証にするなど、シングルサインオンの概念をさらに進めた『ゼロトラストネットワーク』の仕組みも比較的簡単に構築できる。人数が多いと影響も多岐に及ぶので、徐々に進めていく必要はあるが、切り口としてはおすすめ」とアピール。
情シスにとっても社員にとっても、望ましいセキュリティ体制を作るには、最終的な目標をまず図式化し、プラットフォームを少しずつエンドポイントセキュリティの将来像に近づけていくしかない、と話すシンジ兄さん。記事では書けなかったような話も含め、「こんなにリアルな話が聞けると思わなかった」と来場者の皆さんの心に刺さった模様。今回来れなかった方も、次回はぜひ。シンジ兄さん……いやシンジ兄貴。今日は本当にあざっした!
Copyright © ITmedia, Inc. All Rights Reserved.