これまで企業システムの中枢的な役割を担ってきた、オンプレミスの Active Directory(オンプレAD)。しかし、昨今のクラウド活用やリモートワークの広がりにより課題が目立ち始め、従来の環境を見直す企業も少なくありません。そこで本コラムでは、オンプレミスの Active Directory によくある課題、クラウド移行のメリット、移行プロセスの基本を紹介します。
オンプレAD運用、このままで大丈夫? よくある5つの課題
多くの企業システムで重要な役割を担ってきたオンプレミスの Active Directory。システムの中枢を管理するその役割は、企業の「IT資産の名簿」や「通行証の発行所」にも例えられてきました。
しかし、クラウドサービス利用の増加、企業の合併や買収による組織再編、ハイブリッドワークの普及などにより、従来の運用形態のままでは課題が生じ始めています。まずは、オンプレミスの Active Directory 環境でよくある5つの課題を挙げます。
自社にも当てはまる点がないか、チェックしてみましょう。
課題1:SaaSやリモートワーク普及による「管理負荷の増大」
オンプレミスの Active Directory は、もともと社内ネットワークに接続されたPCやサーバの管理を前提としています。しかし、リモートワークやSaaSの普及により次のような課題が生じてはいないでしょうか。
- (1)社外利用端末が増加
- オンプレミスの Active Directory では、社外PCやスマートフォンなどの管理がしにくい。
- (2)クラウドサービス管理
- クラウドサービスにアクセスする際のID管理や認証管理が複雑になりやすい。
課題2:Active Directory を狙うサイバー攻撃など「セキュリティリスク」の高まり
ランサムウェアなどのサイバー攻撃は、多くの企業にとって脅威です。オンプレミスの Active Directory においても、次のようなリスクが考えられ、対策が急務となっています。
- (1)Active Directory を狙う攻撃が増加
- 社内に侵入してActive Directory を乗っ取るランサムウェア被害が多発しています。Active Directory の権限を奪い、他のサーバやクライアントPCに侵入する手口が増加しています。
- (2)知識・人員不足
- 高度化・巧妙化する最新のサイバー攻撃への対策を続けるには、専門的な知識やセキュリティ対策の担当者などが不足しがちです。
課題3:購入・運用・保守などの「コスト」
オンプレミスの Active Directory 環境では、サーバを物理的に構築・運用・リプレイスする必要があり、管理者の手間や費用がかかります。
代表的な3つの課題を挙げます。
- (1)初期投資のコスト
- 新規構築時や拠点増設時など、物理サーバの構築費用が発生します。
- (2)予算の柔軟性
- サーバの容量を導入後に拡張しにくく、余裕を持って購入する必要があります。
- (3)維持コスト・間接コスト
- 物理サーバには保守契約など維持費が必要でリプレイスも不可欠です。設置場所、消費電力、冷却設備などの費用も発生します。
課題4:災害や障害発生を見据え、「可用性」を考慮した運用が不可欠
オンプレミス環境の運用で避けられないのが、障害が発生した際もビジネスを継続できる仕組みづくりです。可用性の観点から、特に課題となる3つのポイントを挙げます。
- (1)災害復旧
- 災害発生時のサーバ等の障害復旧は、基本的にすべて自社責任です。自然災害には電気などのインフラも破損している場合が多く、復旧まで時間がかかることもあります。
- (2)冗長化のコスト
- 遠隔地に冗長性を担保するためのシステムを構築し、サービスを継続できるように設計するには多額の費用が必要です。
- (3)運用体制
- 障害発生時の連絡体制や保守体制を維持し続けるためのコストが必要です。
課題5:リモートワーク、クラウド活用への対応が困難
リモートワークを推進し、クラウドサービスの利用を拡大したいものの、オンプレミスと連携できず活用の幅が広がりにくい場合があります。具体的には、下記のような課題が挙げられます。
- (1)リモートワーク対応
- 社外PCから社内システムやファイルサーバへアクセスするにはVPN接続の利用が一般的ですが、通信負荷・運用管理・セキュリティ対策の負担が増えます。端末管理やアクセス制御も複雑になりやすいです。
- (2)クラウドサービスとの連携
- オンプレミスとクラウドサービス間では、認証やデータ連携が困難な場合が多いです。
- (3)AI活用への課題
- 社内データと連携した生成AIを利用する場合、社外から安全に利用する方法が課題となります。
関連ページ: Active Directoryのお困りごと相談はこちら
オンプレADからクラウドに移行すると何が変わるのか? クラウド移行のメリットとは
前項で取り上げた、オンプレミスの Active Directory が抱える課題を解決する選択肢の1つが、Microsoft Azure(以下、Azure)や Microsoft Entra ID(以下、Entra ID)などのクラウド環境への移行です。
ただし、「オンプレミス環境をすぐに廃止し、すべてを Entra ID に置き換える」「Azure に移行する」という意味ではありません。
オンプレミスの Active Directory を残しながら Entra ID と連携するハイブリッド運用や、ドメインコントローラ/サーバを Azure VM に移行する方法など、企業の環境に応じて複数の選択肢があります。
ここでは、クラウド活用によってオンプレミスの Active Directory の課題がどのように変わるのか、主なメリットを整理していきましょう。
メリット1:社外PCやスマートフォンを含めて一元管理で効率化
クラウドに移行して管理することで、端末やサーバをクラウド上で集約しやすくなり、情シスの運用負荷を軽減する効果が期待できます。
具体的には、次のようなメリットが得られます。
(1)社外に持ち出したPCを管理できる
(2)エージェントを入れることでスマートフォンの管理も可能に
(3)オンプレミスの物理サーバの管理が不要になる
メリット2:ゼロトラストを意識したセキュリティ対策
従来のオンプレミス環境は、社内ネットワークとインターネットの間にファイアウォールなどを設け、社内を「信頼エリア」として守る境界型防御が基本でした。
クラウド活用やリモートワークが普及した現在では、「誰が」「どの端末から」「どのサービスへ」アクセスしているのかを常に確認する、ゼロトラストの考え方が重要です。
Entra ID を例に挙げると、下記のようにゼロトラストへの対応がしやすくなります。
(1)認証・権限管理を強化できる
(2)多要素認証や条件付きアクセスにより、不正ログインや特権の悪用防止にも効果がある
(3)端末・場所・リスクに応じたアクセス制御ができる
(4)各アクセスをチェックし、内部不正・不審な動きを検知できる
メリット3:初期投資や保守費用を抑え、コストを最適化しやすくなる
クラウドを活用することで、ハードウェアを自社で導入・運用管理する負担を減らせるため、利用状況に応じてコストを調整しやすくなります。ただし、クラウドは使った分だけ費用が発生するため、継続的なコスト管理が必要です。
(1)物理サーバの購入や導入に関する作業が不要で、初期投資を抑えやすい
(2)必要に応じてCPUやメモリ、ストレージ容量など、リソースを柔軟に調整できる
(3)保守費用、間接コスト(設置スペース、電力、冷却設備などにかかる費用)を軽減できる
メリット4:可用性を高め、災害や障害に備えやすくなる
可用性の面でも、クラウド活用には大きなメリットがあります。自社で災害時の復旧体制を整備しなくても、クラウドサービス側が提供する冗長化の仕組みを利用できる場合が多くあります。
主なメリットを整理します。
(1)災害による被害や停電などの対策を自社で行わなくてもよい
(2)複数リージョンの利用や冗長構成を、比較的容易に構成できる
(3)24時間・365日体制での保守体制を利用できる
メリット5:クラウド活用により、働き方や業務改善の幅が広がる
利用者側のメリットとしては、クラウド化により社外や外出先からでも必要なファイルや業務システムにアクセスしやすくなる点が挙げられます。
例えば、社内データを活用したAI利用にも取り組みやすくなります。主なメリットは次のとおりです。
(1)社外からでも業務システムや社内のデータを利用しやすくなる
(2)社内データをAIと連携し、検索・要約・分析などに活用しやすくなる
(3)クラウドサービスが提供するローコード/ノーコードの仕組みを活用し、定型業務を自動化できる
(4)キャッシュや配信機能により、データアクセスを高速化しやすくなる
関連ページ: Active Directoryのクラウド移行に関する相談はこちら
オンプレADをクラウド化する主な移行パターン
クラウド移行にはいくつかの選択肢があり、企業の環境や業務システムの利用状況に応じて段階的に進めることが重要です。 この項では、主な移行パターンとその考え方を紹介します。移行にあたっては、まず現状のシステムを調査し、その後に移行方法や方針を定めます。
まずは、「認証・クライアント移行」から見ていきましょう。
(1)認証・クライアントを移行する…「直接移行」と「ハイブリッド移行」
認証・クライアント移行の方法は「直接移行」と「ハイブリッド移行」の2つに大別されます。それぞれの方式を解説します。
●直接移行
オンプレミスの Active Directory から Entra ID へ、シンプルに認証を切り替える方法です。
この方法では、社内のオンプレミスサーバへのアクセス方法が変わる可能性があるため、事前の確認が必要です。オンプレミスのサーバや業務システムへの依存が少なく、クラウドサービス中心に業務を行っている企業で検討しやすい移行方式です。
ただし、ユーザやグループのメンテナンスをオンプレミス側とクラウド側で二重に行う必要があるため、維持に手間がかかる点が難点です。
●ハイブリッド移行
オンプレミスの Active Directory のユーザ情報・グループ情報・パスワードなどを Entra ID に連携する方法です。
クライアント保護や社外に持ち出したPC管理も、クラウドから一括して行えるようになります。アカウント管理は原則としてオンプレミスの Active Directory 側で行うため、二重管理の手間を軽減できます。
この方法は、オンプレミスの環境が複雑で、短期間でクラウド移行が難しく、段階的にクラウド移行を行いたい企業に有効です。
(2)Azure Migrate ツールを利用したサーバ移行…Hyper-V仮想環境移行
現状調査や移行作業の支援をする Azure Migrate ツールを利用することで、作業負荷やコストを抑えながらクラウドに移行できます。
例えば、オンプレミスで Hyper-V の仮想環境を利用している場合は、Azure Migrate ツールを使ってOSイメージとデータをAzure 環境に直接移行することも可能です。同じ Microsoft が提供する仮想化プラットフォームであることから、物理サーバを移行する場合より比較的容易に進められます。
ただし、すべて自動的に移行するツールではないので、不安がある場合には経験の豊富なベンダーに依頼することをお勧めします。
(3)ファイルサーバ移行
移行の中でも、データ容量が多く難易度が高いと考えられるのがファイルサーバの移行です。フォルダごとに権限が設定されていたり、管理ルールがバラバラでファイルが雑多に保存されていたりするため、移行前にはまず調査・分析を行う必要があります。そのうえで、ファイルの特性に合わせて移行先を使い分けることが推奨されます。
例えば、SharePoint Online は主にオフィスファイルの管理に向いており、バージョン管理や共同作業にも適しています。OneDrive for Business は個人ファイル管理に特化したストレージですが、社外とのファイルのやり取りや個人間でのファイル交換にも使えます。
また、クラウドサービスは従量課金のため、利用頻度の低い古いファイルはコストの低いストレージへ分けて格納するなど、ファイルの特性に合った移行先を選ぶことが重要です。
関連ページ: Active Directoryのクラウド移行に関する相談はこちら
クラウド移行のプロセスと、移行後の運用について
次に、オンプレミスのシステムをクラウドへ移行する際のプロセスについて整理してみましょう。スムーズに移行を進めるためのプロセスは、大きく「検討」「移行作業」「運用」の3段階に分けられます。
それぞれについて見てみましょう。
●検討フェーズ
このフェーズでは、まず現状調査を行い、オンプレミスの Active Directory を含むITインフラや関連システムを可視化することが必要です。調査結果を踏まえて、移行方法の選定、移行範囲やスケジュールの策定、運用の基本設計などを行います。なお、この段階で運用の基本設計を行うのは、運用と移行方法が密接に関わるためです。
●移行作業フェーズ
クラウド上にオンプレミスの Active Directory の移行先となる環境を構築し、移行作業を行います。移行作業は、認証システム、クライアント、サーバなどについて、個別に定められたスケジュールに沿って段階的に進めます。
●運用フェーズ
クラウドに移行後は、検討フェーズで定めた運用の基本設定をもとに、段階的に自動化やプロセス変更を行いながら運用を改善していきます。その過程で、OJTやドキュメント整備も行います。
また、オンプレミスからクラウドに移行することで、「その後の運用はどうなるのか?」と不安に感じる方に向けて、クラウド環境の運用ポイントを紹介します。
(1)IDライフサイクル管理
クラウド環境では、ゼロトラストの考え方に基づき、すべてのアクセスを認証・認可の仕組みでチェックすることでセキュリティを担保します。この認証・認可を担うのがEntra ID です。認証・認可を正しく行うには、その元となるユーザ情報や権限情報などを正確に管理する必要があります。適切にユーザ情報を登録し、不適切な権限を削除するなど、IDライフサイクルを正しく管理することが重要です。
(2)多要素認証と条件付きアクセス
なりすましを防ぐため、多くのクラウドサービスが多要素認証(MFA)を推奨しています。AzureやEntra IDでも、多要素認証を経由しないと利用できなくなっています。
併せて有効なのが条件付きアクセスです。不正なアクセスではないかを、場所や時間などを含めてチェックする方式です。
例えば、社内からアクセスした数分後に他国からアクセスがあった場合、それは不正なアクセスの可能性があるとしてチェック対象になります。
(3)脅威検出・防御、管理とレポート、修復・対応
サイバー攻撃などへの対策として、具体的には次のようなものが挙げられます。
・脅威検出:一般的なOSやアプリの動作に対して不自然な動きを脅威と見なして検出する機能
・脅威防御機能:検知した脅威を排除・防御する機能
・自動修復機能:検知した後に何らかの破損や置き換えがあった場合に元に戻す機能
・インシデント対応機能:インシデントの際にネットワークの遮断などを行う機能
・管理とレポート:各種設定の管理やレポート作成
なお、これらは Microsoft Defender for Business を活用することで実現できる機能でもあります。必要に応じて活用を検討してみてはいかがでしょうか。
(4)サーバセキュリティ
Azure 上でサーバを運用する場合は、セキュリティ設計も重要です。サーバセキュリティ対策は、下記のような観点で考える必要があります。
●ネットワークを守る
ファイアウォールだけでなく、サブネット間の通信制御や踏み台環境などを活用し、不要なアクセスを制限する。
●アクセスを守る
サーバ管理では特権管理が重要になるため、必要最小限の権限に絞り、管理者アクセスを細かく制御する。
●異常を監視する
Azure Monitor や Log Analytics、Microsoft Sentinel などを活用し、性能・ログ・障害・セキュリティイベントを継続的に監視する。
関連ページ:
ソフトクリエイトの Microsoft Azure サービス
Microsoft Entra ID 移行支援サービス
まとめ
現在、クラウド化や働き方の変化などにより、オンプレミス環境は多くの課題を抱えています。
オンプレミスの Active Directory をクラウド化することで、さまざまな課題の解決につながる可能性があります。
一方で、移行は現状を見極めたうえで段階的に進める必要があります。現在の Active Directory 環境、業務システム、ファイルサーバ、端末管理、セキュリティ要件を整理したうえで、自社に合った移行方式を選ぶことが重要です。オンプレミスの Active Directory を残しながら Entra ID と連携するハイブリッド構成や、サーバ単位での Azure 移行など、選択肢は複数あります。まずは現状調査を行い、段階的な移行計画を立てることから始めましょう。
また、現状調査や移行計画の策定、移行作業などを自社だけで進めるのが難しいという場合があるかもしれません。そのような場合は、Active Directory に関する豊富な実績や知見を持つ、信頼できるパートナーに相談してはいかがでしょうか。
- 【オンプレミスの Active Directory から Entra ID への移行を検討している】
- 【オンプレミスの Active Directory からクラウド化すべきか悩んでいる】