Active Directoryのススメ

進化したActive Directory

Windows 2000 Server Active Directoryの登場から10年が経過し、現在は、Windows Server 2008 R2が登場しています。この間Active Directoryは進化し、新たなニーズに対応できるようになりました。

例えば、情報漏えい対策。
不用意な取扱いによりさまざまな問題を引き起こしがちなUSBメモリは、セキュリティポリシー等の規定において、利用に制限がかけられていることが一般的です。しかし、より強制力のあるシステムによる制限を行うには高価なセキュリティソフトを購入が必須と考えられており、具体的な対策が取られていないケースが少なくありません。

Windows Server 2008 R2のActive Directoryに搭載されているグループポリシー機能では、『リムーバブルディスク:書き込みアクセスの拒否』や、読み込みの制限を行ったり、特定のプログラムを使用できないようにスタートメニューから非表示にすることなども可能です。

本コラムでは、様々な課題の解決が可能なActive Directoryの基本を解説します。

Active Directoryで、煩雑なパスワード管理から脱却

企業内にはメール、グループウェア、交通費精算システム、販売管理システムなど様々なアプリケーションがあり、各々にアカウント(IDとパスワード)が設定されています。各システムがそれぞれ単独で動作しているが故に、ユーザはその都度ログオンが必要となり、さらにはそれぞれのパスワード変更を定期的に行う必要があります。この非効率な作業はユーザに大きな負担を強いることとなります。

Active Directoryは、これらの各々のシステムのアカウントを集約し、一元的に管理することが可能です。各システムをケルベロスによる認証方式に切り替えることで、ユーザはActive Directoryのドメインアカウントのログオンを1回行うだけで、すべてのリソースへのアクセスが可能となります。

しかしながら、各システムの認証をケルベロス認証方式に変更するには、アプリケーションの改造を必要とし、開発費が負担となります。対象システムがメーカのパッケージ品であれば、自社での改造自体不可能となり、Active Directoryへの統合が実現できません。

このような場合、ID管理製品を利用して各システムに対してODBC連携やCSVによる取り込みなどを行い、ID・パスワード情報の同期を取る方法があります。

詳しくはこちら!
 Button 認証ソリューション
 Button Exgen LDAP Manager

また、各システムのID/パスワード情報をサーバで一括管理することで、ユーザによる各システムのログオンは一度で済ますシングルサインオンによる解決方法もあります。システムのログオン画面を記憶し、ID/パスワードを自動入力する機能を持った製品を利用することで、システムの改修を行うことなくシングルサインオン環境が構築できます。

詳しくはこちら!
 Button SecureSuiteVの機能 『パスワードマネージャ』

Active Directoryのセキュリティ対策

パスワードポリシーの適用
上述のログオンの一本化により重要になるのが、Active Directoryへのドメインログオン用パスワードです。Active Directoryでは、パスワードの文字数や定期変更などの条件を設定することで、企業内に定められたセキュリティポリシーをシステムに反映して管理することが可能になります。

Windowsパッチの強制適用
Windows Server Update Service (WSUS) との連携により、Active Directoryのグループポリシー機能を使ってセキュリティ更新プログラムの配布が可能となります。

Windows Server 2008 R2では、Window 7のAppLockerやBitLocker To Goの管理が可能となりました。AppLockerはソフトウェアの利用制限が可能となり業務に必要の無いゲームソフトなどの利用を制限することができます。BitLocker To Goは、ハードディスクドライブやUSBメモリやリムーバブルメディアの暗号化が可能となりPCや媒体の盗難時の情報漏えい対策に利用できます。

Active Directoryでセキュアなファイル共有

手軽なファイルの受け渡しや共有を可能にする共有フォルダは、業務効率が大幅に向上される必須機能です。一方で、共有フォルダに保管されうるファイルは、誰が参照しても良いものもあれば、人事部、経理部など特定部門だけに制限すべき内容も存在します。

こういった、部門ごとにアクセスの制限を加えたり、変更したりするのに最も便利なのもActive Directoryです。利用者のアカウントを一元管理し、総務部から人事部に異動があったときには総務部OU(組織単位)から人事部OUにアカウントを移動するだけでファイルやフォルダへのアクセス制限が自動的に変更されるため効率的に管理することができます。

▲一番上へ戻る

MENU

 
概要
・ SecureSuiteV (SSV) とは
ユースケース
・ 指紋認証
・ ICカード認証
・ ワンタイムパスワード認証
・ シンクライアントでの利用
・ Windows 7 環境での利用
特長/機能
・ シンクライアント対応
・ SSO(シングルサインオン)
・ 多要素認証
・ Active Directoryとの連携
・ SDK
・ 機能一覧
動作環境
・ ソフトウェア要件
・ 対応デバイス一覧
導入事例
・ 教育機関
・ サービス業
コラム
・ 「認証」の課題
・ 認証方式いろいろ
・ 固定パスワードは脆弱?
・ 指紋認証解説
・ Windows 7 移行への課題
・ Windows 7 BitLocker
・ シンクライアントと認証
・ Active Directoryのススメ

Englishサイトマップセキュリティポリシーお問合せ