情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト

【イベントレポート】Azure AD が中小企業を救う訳

情報システム部門
イベントレポート

本記事は、2021年10月19日から10月29日にかけて開催された「情シスサミット 2021 ONLINE」のセッションのレポートです。

Azure AD を活用することで、インフラ環境はどう進化するのか? ユーザー環境をスムーズにクラウド移行するには何が必要なのか?――株式会社ソフトクリエイト 事業戦略本部 マイクロソフト技術部 村松 真 技師長がお答えします。

この記事の内容
1. これまでのキャリアとサービス開発の目的
2. Azure AD がなぜ中小企業を救えるのか
3. クラウド移行に横たわる壁
4. 3つのパターンで Azure AD への移行をサポート

1. これまでのキャリアとサービス開発の目的

これまで私は、オンプレの Active Directory 構築や統合、運用等の案件に多く携わってきました。まずは、過去に関わってきた案件をもとにこれまでのソリューション事例を紹介します。

1つ目の事例の顧客は、急速な事業の発展により全国85拠点で1,000台のPCを運用するイベントサービス企業です。同企業では、当初はワークグループでPCを運用していましたが、拠点とPCの増加にともない、管理負荷の軽減とセキュリティ対策の強化を目的に、Active Directory による管理の統合を希望されていました。しかし、ユーザーのデスクトップに保存されたデータや、すでにインストールされたアプリケーションを再設定すると、その移行作業による業務停止の影響が非常に大きい、という課題がありました。そこで、PCのドメイン参加とワークグループのプロファイルからドメインプロファイルへの変更を、ワンクリックで実行するカスタムスクリプトを作成し、活用しました。これによりお客様の負荷を最小限にしながらスムーズに移行を完了することができました。

これまでのキャリアとサービス開発の目的

2つ目の事例は、大手販売企業のドメイン統合する案件です。この会社では、全国340拠点で6,000台のPCが、16のドメインに分かれて管理されていました。そのままではドメイン間のユーザー移動もままならず、管理工数が膨大になることから統合のご依頼をいただきました。そこで、私はワンクリックで、PCとユーザープロファイルのドメイン移行が可能なカスタムスクリプトを作成し、トラブルを最小限に抑えつつ、短期間での統合を実現しました。

これまでのキャリアとサービス開発の目的

現在私たちは、モダンワーク実現のために、クラウドを活用したシステムの構築や展開、および運用支援サービスを開発しています。

2. Azure AD がなぜ中小企業を救えるのか

下記の図をご覧ください。

Azure ADがなぜ中小企業を救えるのか

以前は、ほとんどの業務が社内ネットワーク内で処理されていました。しかし、インターネットの浸透に伴い、システムを使う業務が会社を飛び出し、自宅や客先からスマートフォンなどを使い、外からシステムを使う社員が大幅に増えました。さらに、COVID-19はこの変化を大幅に加速させました。あまりにも急激にテレワークへとシフトしてしまったため、システムのインフラやコミュニケーションルールが追いつかないという課題が浮き彫りになりました。

この課題を解決するためには、組織としての一体感を維持しつつ、時間や場所にとらわれない働き方を実現しなければなりません。しかし、社内の既存インフラだけでは限界があります。クラウドを活用し、最新の技術とセキュリティを利用することで、初めて場所にとらわれない働き方が可能になります。その結果、時間や場所の自由度が上がり、働く人のモチベーションも向上し、組織の生産性向上に結びつきます。
その一方で、クラウドサービスの利用にも課題があります。そのポイントを4点あげました。

  • 利用しているクラウドサービスが増えてIDの管理が大変
  • リモートワークでのデバイスセキュリティの強化が必要
  • リモートワークのための認証の強化が必要
  • ランサムウェアへの対策をしたい

これらの課題について、具体的な対策を解説していきます。

まず、クラウドサービスのID管理では、サービスごとにIDやパスワードが乱立して、ユーザーが管理しきれなくなる懸念があります。こうした問題に対して、Azure AD を活用することで、連携するサービスもそのまま利用できる「シングルサインオン」が実現できます。

Azure ADがなぜ中小企業を救えるのか

シングルサインオンが実現すれば、覚えるパスワードも少なくなり、強力な認証を1つ実現すれば、ほかのサービスもそのまま使えるためセキュアな利用が可能になります。

次に、社外に持ち出す機会が増えたPCやスマートフォンなどのデバイスに対しては、Azure AD と Intune を組み合わせたクラウドベースのエンドポイント管理により、インターネットを介してこれらのデバイスも社内にあるデバイスと一括で管理できるようになります。

Azure ADがなぜ中小企業を救えるのか

続いて Azure AD の動的認証について解説します。

Azure ADがなぜ中小企業を救えるのか

リモートワークでの認証は、インターネットを経由した認証となるため、繊細なリスク管理が求められます。Azure AD の認証では、生体認証など複数の認証を使った多要素認証により、確実に本人を認証します。加えて、アクセスした日時や場所を判定します。

例えば、ついさっき日本からアクセスしたのに、次の瞬間にアメリカからアクセスがあれば、“それはおかしい”といった判断を行います。さらに、アクセスしているデバイスも判定します。使われているデバイスが、会社に認証された基準をクリアしているかどうかもチェックできます。こうしたリスクの判定後に、アクセス先のアプリケーションと比較して、リスクに見合うと判断されて初めて許可が下ります。

これにより、アクセスごとにリスクを判定し、アクセス先のアプリケーションの重要度とともに動的に認証を許可するのが Azure AD です。

そして、4つ目の課題となるランサムウェア対策ですが、ランサムウェアは図のようにメール等を経由してウィルスは直接社内に入り込みます。

Azure ADがなぜ中小企業を救えるのか

そのため、認証サーバーや個々のサーバー防御、バックアップ対策やシステム監視など、多岐にわたるランサムウェア対策をオンプレのシステムだけで対応するのは、非常に難しくなります。そこで、Azure AD による最新のセキュリティ技術を使うことが効果的です。

3. クラウド移行に横たわる壁

クラウド移行の概要を下図のように振り返ってみます。

クラウド移行に横たわる壁

サーバー移行とは、一般にオンプレのサーバーアプリケーションをクラウド上のIaaSや、クラウドサービスに切り替えることを指しています。
クライアントインフラ移行とは、クライアントPCの管理やクライアント認証、ファイルやデータなど、ユーザー環境をクラウドベースに移行することを指します。クラウド移行とは、単にクラウドサービスを使い始める、ということではなく、クライアントインフラ環境も含めた検討が重要です。
また、サーバーだけセキュリティレベルが高くても、ユーザーが使っているクライアントのセキュリティや認証がゆるくては、セキュリティを守れません。たとえば、コンプライアンスの観点からも、クライアントPCに対して、アプリケーション管理もライセンス管理もしない、という対応はできないでしょう。
では、クライアントインフラ移行の中身を見てみましょう。クライアントインフラ移行には次のような数々の壁が存在します。

クラウド移行に横たわる壁

まず、オンプレからクラウドに移行するためには、クラウド認証やデバイス管理、ドキュメント移行といった壁があります。こうした課題を解決するためには、具体的には、さらに多数の壁が立ちはだかります。現場のユーザーにとっては、新たに分厚い手順書を読まなければならないとか、利用するアプリケーションの再設定が必要になるとか、移行に時間がかかる、といった問題が生じます。さらに、情報システム管理者も、移行後の運用がわからなかったり、これまでオンプレでできていたことができなくなる、利用者からの問い合わせが殺到する、といった心配もあります。

私たちはこれまで、実際に顧客の広い工場で3台のPCを更新するために工場中を走り回ったり、膨大な手順書を前に途方に暮れるユーザーを見たり、クラウド移行後の運用に困惑しているシステム管理者などを見てきました。そうした経験を通して、この壁の高さをリアルに感じてきました。そうした私たちだからこそ、できることがきっとあるに違いないと考えました。

4. 3つのパターンで AzureAD への移行をサポート

クライアントの Azure AD 移行について、オンプレミスからクラウドへ移行するための3つのパターンを示します。

3つのパターンでAzureADへの移行をサポート

これら3つのパターンの中で、一気に Azure AD へ移行したいのであれば、ユーザー作業は増えますが、①の Azure AD 再参加という選択肢があります。逆に、当面のユーザー作業を最小限にしたいと思えば、②のハイブリッド移行という方法が可能です。 そして、移行に時間をかけてもいいということであれば、③のPCリプレースに合わせて順次移行するという方法もあります。

しかし、いずれの移行方法においても、単独のツールなどでは対応できません。顧客の現在の状況や、移行後の運用イメージ、そして移行にかけられる時間など、様々な要因によって、最適な方法は異なります。
多くの課題を解決し、スムーズな移行を実現するためには、異なる専門エンジニアが、移行の検討からクラウド運用に至るまでのすべてのフェーズに関わることが有効です。

3つのパターンでAzureADへの移行をサポート

たとえば、既存の現場を知るオンプレSE、最新技術に通じたクラウドSE、運用・保守に携わるSEが知恵を出し合うことで、顧客の状況に応じた最適な移行が提案できると考えます。
さらに、具体的な移行作業では、図のようにフェーズが分かれます。

3つのパターンでAzureADへの移行をサポート

そこで私たちは、フェーズごとに最適化された『Azure AD移行支援サービス』を提供することとしました。

3つのパターンでAzureADへの移行をサポート

また、本サービスに合わせて、お客様の運用の疑問に答えるQ&Aサービスや、Microsoft 365 ご利用ユーザー同士のコミュニティである365クラブなども運用しています。
Azure AD 移行はゴールではありません。

3つのパターンでAzureADへの移行をサポート

Azure AD 移行により、真のモダンワークを実現し、多様な働き方を共有しながら、組織のコミュニケーションを維持、効率化し、生産性を向上させていく。そうして、初めて Azure AD 移行の価値が出てくるのです。未来を想像してください。ホロレンズのような仮想拡張現実は、現場にいる人がバックオフィスのメンバーと共同で作業できる方法を提供しました。また、全国に散らばった人たちとチームスを通じてディスカッションを行い、直接会わなくても成果を出すような働き方もできるようになりました。ソフトクリエイトは、お客様に寄り添い、お客様と共に、お客様のビジネスを支援してまいります。

<< 関連リンクはこちら >>

【イベントレポート】情シスサミット 2021 ONLINE〜DX時代のコミュニケーション&セキュリティ

>>今後の セミナー開催情報

関連キーワード