2022/6/23
by 田中 一也
複数システムで横断的に利用可能なシングルサインオン(SSO)を実現するMicrosoftの「Active Directoryフェデレーションサービス(ADFS)」は、利便性の高さから多くの企業に導入されています。しかし、ADFSにはいくつかの問題点が指摘されており、その解決策として「Azure Active Directory(Azure AD)」への移行を検討する企業が増えています。この記事では、DXCテクノロジーが担当した事例を参考に、ADFSサーバのクラウド移行について紹介します。
SaaSの普及でID・パスワード管理が複雑に
Active Directoryは企業システムの認証基盤として広く採用されてきましたが、SaaSアプリケーションを利用する機会が増えるにつれ、複数のID/パスワードを使い分けることが求められるようになってきました。それに伴って発生するユーザーやシステム管理者への負担を軽減するために、Active Directoryの統合Windows認証に対応していない業務アプリケーションもSSOに対応させる仕組みとして登場したのが、ADFSです。
しかし、ADFSにはいくつかの課題が指摘されています。その中でも最大の課題と言えるのが、セキュリティ対策です。Microsoftも、ADFSサーバの運用にはオンプレミスに依存した潜在的な脆弱性があると警告しており、例えば2020年に発生した「Solorigate」というサイバー攻撃では、ADFSを経由して機密情報が大量に窃取されるというインシデントが発生しています。
ADFSは外部向けに認証用のHTTPSポートを公開しなければならないため、こうした不正侵入に対抗する手段を別に講じる必要があります。また、認証・認可処理を行うために冗長構成によって24時間365日の非常に高い可用性を実現しなければならないなど、運用管理や保守メンテナンス、リプレースにコストがかかることも大きな課題です。
DXC TechnologyとMicrosoftはグローバルな戦略的パートナーシップに基づき、幅広いテクノロジーとサービスでお客様のクラウド活用やビジネス拡大をご支援しております。
ADFSの課題を解消するAzure AD
こうした課題を解決するために、MicrosoftではクラウドID管理サービスのAzure ADへの移行を推奨しています。Azure ADには、例えばアクセス先のSaaSアプリケーションやユーザー、グループ、デバイスごとのアクセス制御、SMSやスマートフォンアプリによる多要素認証、ユーザーごとのパスワードの漏洩の有無や不正なサインインの兆候の自動判定、リスク度合いに応じてアクセス制御を行う機能など、多彩なセキュリティ機能が搭載されています。
また、Azure ADは地理的に分散されたデータセンターからサービスを提供することで、極めて高い可用性を実現しています。さらに、動的なスケールアップ・ダウンによってコストの最適化につながるメリットもあります。
ADFSからAzure ADへの移行ユースケース
DXCテクノロジーでは、上述したADFSの課題を解決するために、Azure ADへの移行を支援しています。ここで、グローバルでビジネスを展開する医療業界A社のユースケースを紹介します。
A社の意向に沿った移行プロジェクトの推進
オンプレミスのActive DirectoryとADFSによる認証基盤を運用していたA社では、Microsoft 365をはじめとする100以上のSaaSアプリケーションを利用していました。デバイスの利用は会社支給のWindows10 PCとiOSデバイスに限定され、各デバイスに配置されたユーザー証明書を用いた多要素認証を実施していました。しかし、従来の認証基盤は運用負荷が非常に高かったため、シンプルかつセキュアな認証基盤への移行を決断。DXCテクノロジーをパートナーに選定し、Azure ADへの移行プロジェクトをスタートさせました。
A社の委託を受けたDXCテクノロジーは、A社の従来の認証基盤の課題と要望をヒアリングしました。A社は、ユーザー証明書による多要素認証は運用負荷が高いため将来的に取りやめたいと考えていたため、DXCテクノロジーは別の手段を検討。Windows10 PCにおいてはHybrid Azure AD Join(以下、HAADJ)、iOSデバイスにおいてはMicrosoft Intuneのセキュリティポリシー準拠を追加認証条件とし、Azure AD条件付きアクセスポリシー(以下、CAポリシー)で判定することにしました。
Azure ADのサポート対象外となるレガシー認証を採用したアプリケーションの継続利用については、セキュリティの脆弱性を考慮し、限定的な範囲でCAポリシーから除外。オンプレミスのADFSと同等の利便性を確保するために、代替ログインIDとしてメールアドレスを使用し、Azure ADにサインインする機能を使いました。
リスクを考慮した段階的な切り替え
移行プロジェクトは、2つのフェーズに分けて進められました。まずフェーズ1ではSaaS向けアクセスの大半を占めるMicrosoft 365向けの認証の切り替えを行いました。ADFSからAzure ADへの切り替えは、リスクを考慮してStaged Rolloutの機能を利用し段階的に実施しています。また、CAポリシーのレポートオンリーモードを利用し、切替前に潜在的なエラーを洗い出すなど経過観察を行いました。
フェーズ2では、Microsoft 365を除く100以上のSaaSアプリケーションを順次Azure ADへと切り替えることにしました。Microsoft が提供するADFSからAzure ADへのSaaSアプリケーション移行判定レポートツールを活用して影響有無を全般的に洗い出し、これをベースにSaaSアプリケーションごとのクレームルールをAzure ADのSAMLパラメータへ移行していきました。
移行に際しては、一部のデスクトップアプリケーションやWebブラウザからAzure ADの判定に必要なデバイス IDが送付されない、同一のメールアドレスがある場合に競合が発生し同期エラーが起きる、Windowsデバイスのアクセス条件をHAADJにしたときに問題が生じるといったトラブルは発生したものの、DXCテクノロジーが都度解決したことで、A社は1年半ほどの期間でADFSからAzure ADへの移行を完了しようとしています。
Azure ADへの移行に向けて取り組むべきこと
上述したユースケースでは、ユーザー側の影響を考慮してHAADJでの多要素認証を採用しました。将来的には電話やSMS、スマートフォンアプリを含めた認証方式に切り替えてネットワーク境界に依存しないゼロトラストモデルの採用に取り組む必要もあります。
このほか、Azure ADに含まれる「Identity Protection」を採用し、リスクの発生度合いに応じてリアルタイムにアクセス制御方式を切り替える仕組みの導入も、今後の検討課題と言えます。これを活用することで、Azure ADを中心としたよりセキュアなSSO環境を実現できます。
DXCテクノロジーでは、Microsoft Azureをはじめとしたクラウドサービスの活用推進を包括的にご支援しています。クラウド利用がさらに進むこれからを見据え、ADFSからAzure ADへと移行を検討しているお客様は、豊富な実績と知見をもつDXCテクノロジーへぜひお問い合わせください。