こんにちは。ぐるなびの田代です。
今回は、長年にわたり当社のITインフラの心臓部として機能してきたActive Directory (AD) の役割の変遷と、クラウド時代における当社の新たな認証戦略についてお話ししたいと思います。
企業認証の礎 — Active Directoryの功績
2000年に登場したADは、それまでの認証・管理モデルを根本から変革し、企業ITに集中管理の概念を確立した大功労者です。しかし、クラウドサービスの利用が標準となった今、ADが持つオンプレミス特有の課題が、私たちのDX推進におけるボトルネックとなりつつあります。
私たちは、このAD運用から卒業し、Microsoft Entra ID(旧 Azure AD) への完全移行を目指し、具体的な検討と準備を進めています。
1. ADが企業にもたらした「功績」(集中管理と統制)
ADの登場は、ネットワーク内のユーザー、デバイス、リソースの管理を単一のディレクトリサービスに統合することを可能にしました。
ユーザー認証の一元化とSSO
複雑な社内システムへのアクセスを一度の認証(シングルサインオン)で実現し、社員の利便性を大きく向上させました。
強固なセキュリティ統制
グループポリシー機能により、全社のPCやサーバーに対し、一律でセキュリティ設定や操作制限を適用することが可能となり、組織全体のセキュリティ基準を底上げしました。
管理者負担の軽減
アカウント管理やアクセス権限の付与・剥奪を中央で実行できるようになったため、管理者の運用効率が飛躍的に向上しました。
2. AD卒業を考える「課題」(クラウド時代とのギャップ)
ADはオンプレミスの世界で完璧に機能しましたが、現代のハイブリッドワークやSaaS利用が中心の環境では、その運用は以下の点で大きな課題となっています。これが、当社が「脱ADを目指したい」と考える理由です。
課題A:運用維持の専門性と高コスト
ADの安定運用、特に大規模環境における設計やトラブルシューティングなどには、非常に高度な専門知識と経験が不可欠です。属人化しやすく、専門人材の確保と育成が継続的なコストとリスクとなっています。
課題B:バージョンアップのサイクルと影響範囲
オンプレミスサーバーに依存するADは、OSのサポート終了に伴うサーバー移行(マイグレーション)が不可避です。これは数年ごとの大規模プロジェクトとなり、システム全体への影響調査やテストが必要なため、多大なリソースとコストを消費します。
課題C:クラウド連携の複雑性
Microsoft 365などクラウドサービスが認証の主流となった今、オンプレADとの連携(ADFSなど)は追加のコンポーネントやネットワーク設定を必要とし、システム構成を不必要に複雑にしています。
3. Entra IDへの移行:ロードマップと現在進行中のアクション
私たちが「脱AD」戦略を推進し、Entra IDへの完全移行を目指すのは、これらの課題を解消し、よりシンプルでセキュアな認証基盤を確立するためです。
| 私たちが移行を検討する理由 | Microsoft Entra IDが提供する解決策 |
|---|---|
| 運用・専門性のハードル | IaaS/PaaSとしての提供形態。サーバー管理やパッチ適用が不要となり、情シス部門の運用負荷を大幅に削減します。 |
| バージョンアップ負担 | 常に最新のサービスとして提供されるため、サーバー移行や大規模なバージョンアップ作業が大幅に軽減できます。 |
| 集中管理機能の充足 | Microsoft Entra ID(認証)と Microsoft Intune(デバイス管理)の組み合わせで、クラウドネイティブなモダンマネジメントを実現し、ADの集中管理機能の多くを代替できると考えています。 |
| セキュリティ強化 | MFA(多要素認証) や 条件付きアクセス の適用が容易になり、SAMLなどのクラウド標準認証によって、より安全で柔軟なアクセス制御が可能になります。 |
実行フェーズ:移行プロジェクトの具体的な進捗
私たちは「移行したい」という願望に留まらず、すでに以下の具体的なステップを進めています。
すでに完了したこと
- 移行対象リソースの棚卸し:ADのグループポリシーやアカウントに依存している全社システム、特にレガシー認証を利用しているアプリケーションの洗い出しを終えました。
- Entra IDのMFA導入:全社に対して多要素認証(MFA)と条件付きアクセスポリシーを導入し、セキュリティの基本要件をクラウド側で大幅に向上させました。
今まさに実行中のアクション
- GPOのIntune移行:オンプレミスADで適用していたグループポリシーオブジェクト(GPO)の設定を、Intuneのデバイス構成プロファイルへの移行を進め、設定管理のモダン化を加速させています。
- AD廃止に向けたクリーニング:オンプレADへの依存度を下げるため、未使用アカウントや古い設定の整理、レガシー認証からの排除など、廃止に向けた準備作業を鋭意実行中です。
これから着手するロードマップ
- PCへのログインをEntra IDへ切り替える検証:デバイスの認証をオンプレミスADではなくEntra ID(Azure AD Joinなど)に切り替えるための技術検証を開始します。
- Entra IDへの本格移行:検証結果に基づき、全ユーザーおよびグループの認証を Entra ID に完全にシフトする本番移行フェーズを計画しています。
- オンプレミスADの廃止:最終的に、認証・認可の責務がすべてEntra IDへ移行された後、オンプレミスにあるADドメインコントローラーを撤去・廃止する計画です。
結論:未来志向の認証基盤へ
Active Directoryは、当社の成長期において極めて重要な役割を果たしてくれましたが、その歴史的使命はクラウドネイティブなEntra IDに引き継がれるべきだと私たちは考えています。
この完全移行は、単なるサーバーの置き換えではなく、インフラ運用の効率化、セキュリティレベルの向上、そして新しい働き方への柔軟な対応を可能にする、当社のゼロトラスト推進における最重要テーマの一つです。
最後に
いかがでしたでしょうか。
私たちは今、生成AIの台頭に代表されるような、かつての産業革命にも匹敵する技術革新の渦中にいます。この激変する時代において、企業のIT基盤がレガシーなオンプレミス環境に足枷を取られていては、新しい技術を迅速に取り込み、競争力を維持することはできません。
このAD廃止に向けた取り組みは、単にサーバーをクラウド化する作業ではなく、企業認証を「モダンなクラウド基盤」へ昇華させ、スピードとセキュリティを両立させるための不可欠なステップです。私たちは、社員が利用するシステムのセキュリティを強化し、未来の技術革新に対応できる軽快で柔軟なデジタル環境を実現していくつもりです。
