マイクロソフト Business Ready Security 戦略におけるID管理の位置づけと役割について解説しています。ID管理の全体像を把握できると思います。

1. 本日は、「進化するITシステムを支える次世代ID管理」というタイトルで、
複雑化するITシステムの未来の姿を思い描いていただければと思いま
す。どうぞよろしくお願いいたします。
次世代…ということで、新しいお話ばかりをさせていただきますのでご了
承ください。
1

2. さて、本日の大きなテーマは何か、といいますと、「ホワイトナイトは誰だ？」 というこ
とです。
両者とは何か？オラクルとマイクロソフトか？
＜クリック＞
両者とはユーザーと管理者です。言い換えれば、柔軟性と管理性。
ITの利用者が求めるもの、それは当然柔軟性です。自宅で仕事がしたい。出張先で
社外秘文書を読みたい。いろいろなニーズがあります。
一方管理者はと言えば、管理の効率化と安全性を求めます。
「アレ禁止」「これ禁止」「あれするなら稟議出して」「パスワードは32文字以上にし
て」
などなど、とにかく In Control な状態にしておきたいと考えます。当然です。下手す
れば自分のせいで秘密漏えい事件が発生する可能性があるわけです。
このように、明らかに両者の主張はぶつかるわけですが、はたして両者は理解し合
うことができるのでしょうか？
できるとすれば、何に仲介を求めればよいのでしょうか？
そんなお話を進めていきます。
2

3. 本日のアジェンダです。
まずはじめに、CoreIO戦略というお話をさせていただきます。Core Infrastructure
Optimization の略なのですが、要は、「中核となるインフラの最適化」を意味します。
これによって、ITはコストセンターから戦略的資産へと変貌させることができますよ…
というお話。
2つ目に、Business Ready Security …つまり「.ビジネスで使えるセキュリティ」とは何
か？というお話。
セキュリティというのは、とかく、ビジネスを停滞させる要素、を含んでいると思われ
がちですが、いや、実はそうではないんです。
会社は、最前線で売り上げを上げてくる社員に、もっと売り上げを挙げてもらいたい
と考える一方で、あれはダメ、これはダメと活動を制限してしまう。
これはジレンマですよね。じゃ、そのジレンマを解消できるセキュリティというのはあ
り得るのか？
はい、ありえるんです。そんなお話をします。
そして3つ目に、IDとアクセスの管理。実はお話の中心はここになります。
実は、セキュリティの徹底が非効率的だと思われたとしたら、ユーザーIDがきちんと
管理されていないことが原因なのかもしれません。
だったら、IDを管理しましょうよ！そんなお話です。
3

4. まず1つ目のお話です。
ITを戦略的資産にするための基本的な考え方である、CoreIO、について少し触れた
いと思います。
4

5. コアインフラ、つまり核となるインフラを最適化するためには3つの視点が需要です。
まずはデスクトップの最適化。デスクトップとは何か？つまり利用者のPC環境およびPCの利用環境の最適化で
す。
これによって、利用者には機動力 を与えることができます。
会社と自宅でバージョンの異なるOfficeを使わなければならなかったり、出張先で使用するモバイルデバイスか
ら、見られないドキュメントがあったり、
そして、おそらく多くの企業様でもそうだと思いますが、自分のPCを社内LANに接続して使用できない！そういう
状況下では、
たちまち機動力は損なわれてしまいます。機動力の低下というのは、利用者のモチベーションを下げやすいんで
すね。モチベーション低下は売り上げ低下に直結します。
そして、データセンターの最適化。データセンターとは、サービスを提供するアプリケーションサーバー群だとお
考えください。
各種の業務アプリケーション、すなわち社内サービス を使用するために不便を強いている状態を想像してくだ
さい。
・たとえば、自宅からは旅費精算ができない！・社内ネットワークに接続するために、社内IDとは全く別のID と、
ものすごく長いパスワードを使わなければならない！
・ドキュメントにアクセスしたいけど、アクセス権が無い！申請すると1週間かかる！
・契約社員のIDを作りたいけど、本部長承認印が必要なのに本部長が海外出張でいない！困ったぁ！じゃ、副
本部長印でいいや！
こうした「不便」がなぜ発生するかといえば、データセンター、つまりアプリケーションサーバー群が最適化されて
いないからです。
言い換えれば、サービスに柔軟性が無いんですね。柔軟性といっても、「なんでもできる」という意味ではありま
せん。
サービス、ネットワーク、コンピューター、そして情報が、つながりたいときに適切に繋がることができる状態を言
っています。
そして3つ目、Business Ready Security。本日のメインテーマです。ビジネスは、セキュリティに支えられたもので
なければならないという 考え方です。
経営層から見ればセキュリティはビジネスを「守るもの」だと考えがちです。一方、利用者からはセキュリティはビ
ジネスを「停滞」させるものと考えることもあります。
でも、そうではありません。セキュリティは本来、ビジネスを加速させるものなのです。ビジネスの目指す方向とテ
クノロジーの目指す方向を一致させることは、
ITを戦略的資産と化するうえで重要です。そして、それを根底からささえるのがＢｕｓｉｎｅｓｓ Ready Security、つまり
ビジネスで本当に使えるセキュリティなのです。
これら3つのコンセプトにより、コアとなるインフラの効率を高めITの価値をビジネスにとって最大のものとできる
のです。
5

6. ではインフラストラクチャが真に最適化された状態というのは、どういう状態なのか？ということですが、ここにはインフラの4 つ
の 成熟度レベルを示しています。
「基本」からはじまり、「標準化」「合理化」そして最終段階の「動的」な状態へと成熟度は進化しています。
・「基本」的な状態とは、「手動」でＩＴサービスが提供されている状態です。
例えば、3つの 社内アプリがあれば、3つそれぞれにＩＤを作ったり、パスワードを変更したりといった状態です。少人数のシス
テムであれば、これでも運用に耐えることができます。
やっかいなのは、実装する「人」によってセキュリティポリシーやコンプライアンスに対する意識が異なることです。
たとえば、あるサービスの管理者はパスワードを忘れたら目の前でリセットしてくれるけど、別のサービス管理者は上長承認
が無いとダメなんてことはよくあります。
また、突然配属されたＩＴ部門の部長が、突然面倒なことを言い出して現場の運営が混乱したり…なんこともありますね。
そして運用管理のナレッジ共有や蓄積が行われていないので、担当がいなくなると、いっきにサービスレベルが低下してしまう。
OSのバージョンアップやアプリのパッチを充てるときには、IT部門が徹夜で対忚する必要があるため、とかくウィルスに攻撃さ
れやすくなっている。
このように、数えきれないくらいの問題があるにもかかわらず、意外とこういう状態のシステムって多いんですよね。それはな
ぜか？
管理者さえ苦労すれば、管理者さえ徹夜すればなんとかなってしまうからなんですねぇ。
でもなんとかなるのは人数が少なくて、サービスが小さいうちに限ります。
会社が成長し、規模が大きくなってくると当然人手が足りなくなりますから、多少効率化を考えざるを得なくなります。
それが標準化と呼ばれる状態です。この状態では、社内の標準プロセスというものが生まれます。
例えば、ユーザーIDはActive Directory に 登録しましょうとか、ファイルサーバーを使ってデータを一元管理しましょうとかです
ね。
ただ、その範囲が限定的であり、徹底されていない。徹底されていないからITの効果が見えずらい。だからITは、あいかわらず
コストセンター扱いになると。
この状態の特徴は、保守的であるともいえます。例えば社外からのアクセスはあぶないから禁止。USBメモリの使用も、あぶな
いから禁止。
当然、飲み会のときにはPC持ち出し禁止。
一方で、社外秘ファイルをメールで添付して送るなんてことは平気で出来てしまうという矛盾もはらんでいます。
利用者のモラル教育はもちろん必要です。
でもITは「モラルのある人」が使っているかどうかはわからないんですね。ITには、ひとまず現在の技術ではモラルという考え方
を取り込むことができません。
じゃあ IT には何が必要なのか..モラルに代わるものは何か？
それは間違いなく自動化です。
自動化されたシステムとは何か？
もちろん手動を自動にする ということを意味するわけですが、目指しているのは、自動化によって、IT が「ビジネスの進化」を
手助けする状態になることです。
具体的には、利用者に機敏性を与え、データセンターに柔軟性を与え、そしてセキュリティによって支えられたビジネス環境を
作ることです。
この状態をマイクロソフトでは「動的」な状態と呼んでいます。
そして、ITシステムを動的な状態に移行させるためのプロセスや考え方を、Dynamic IT 戦略 と呼んでいます。
6

7. ただ、Dynamic IT を進めるには、今日の経済状況を含め、障害が無いわけではありません。
利用者（社員）は、より売り上げを上げるために、業務スピードを高めたい、好きなアプリケ
ーションをインストールしたい、自宅からのアクセスしたい、
そのためには、もっとサービスに柔軟性を持たせたい！と考えています。
一方で、管理者は、集中的な管理と、出来る限りユーザーの柔軟性を縮小することで、管理
性の向上を実現しようとしています。
こうしたシチュエーションが何を生じさせているかといえば、利用者とインフラ管理者の対立
です。
＜クリック＞
この傾向は日本だけではありません。世界中がそうなっています。
こうした現状から、多くのユーザーが、企業システムに対して、なんらかの束縛感を感じてい
ますし、彼らの業務上のニーズと相反していると思っている。
相反していると考えているから、当然反発もありますし、たとえばPCを持ち出してしまうユー
ザーだって発生します。
こういう現状が問題を起こさないはずはないわけです。
同様に、IT部門は複雑なネットワークや、大量のアプリケーション、そして異なるITシステム
の管理に悩まされています。
たとえば、あらゆる資源にアクセスしたいという利用者のニーズを無理に実現しようとすれ
ば、当然ながらIDが増えることになります。
その結果、当然ながら ID とパスワードの、管理の面倒を伴います。
こういう複雑さが、コンプライアンスの維持を難しくしており、それを補うために、ルールがど
んどん複雑化して、さらに悩むという悪循環にはまっています。
では、どうしたらよいのか？
7

8. マイクロソフトは、ID基盤の整備こそが、CoreIO実現への近道であると考えています。
全てのインフラを、IDを中心として最適化することで、ネットワーク、コンピューター、
サービス、情報、これらが互いに連携できるようになります。
いま、ある社外秘情報を、特定のユーザーに公開したいとしましょう。
でも、その実現の具体的なイメージが見えないとしたら、それは情報とIDを結びつけ
る合理的な仕組みが存在していないということです。
合理的な仕組みとは何か？単にユーザーIDにアクセス権を与えるという単純な仕組
みではありません。
ユーザーIDにアクセス権を与えてもよいかどうかを、誰が判断して承認できるのか、
権限は恒久的なのか、どこまでの権限を与えるのか（印刷もできるのか、持ち出しも
できるのか）、
ユーザーの部署や役職が変わったらどうするのか？
そうしたことを総合的に、かつ瞬時に判断し、適用できる仕組みを指しています。
ID基盤が整理されていると、そうしたセキュリティプロセスは比較的容易に実現でき
ますし、それによってビジネスはスピードを得ることができます。
8

9. では、ID基盤がビジネスを支えるのだ というBusiness Ready Securityの考え方を、ち
ょっとだけご紹介します。
9

10. Business Ready Security とは、ビジネスの拡大にはセキュリティの管理が不可欠であるという考え方です。
セキュリティが管理されたITというのは、利用者の自由を抑えるものではありません。逆に、利用者に対して自由度をあたることができます。つまり、利用環境が向上するわけですね。
逆の言い方をすれば、セキュリティによって自由を抑制する方向に向かっているとしたら、そのセキュリティは正しくないと考えるべきです。
セキュリティによって安全になったからといって、仕事がやりずらくなっては意味がないわけです。
＜クリック＞
我々は、セキュリティは「保護」「アクセス」「管理」という3つの要素から成るととらえています。
＜クリック＞
これらはユーザーIDを中心として構成することで、統合性が高く、安全で、相互運用可能なプラットフォームを構築することができます。
では、このIDと、密接に統合された３つの要素により何が実現できるのか？
＜クリック＞
1つは、全社レベルでのセキュリティポリシーの統合と、末端までの浸透です。一部のシステムでセキュリティレベルが高くても意味がありません。末端まで浸透させてこそセキュリテ
ィのメリットを享受できます。
＜クリック＞
2つ目が、「全てを保護して、どこからでもアクセスができる」。 そのためには、複数のレイヤーをまたがって保護することができなければなりません。
複数のレイヤーとはすなわち、「ネットワーク」「コンピューター」「情報」「アプリケーション」です。保護に例外を設けてはいけません。一切のレイヤーが保護されていることで、
はじめて、
自由なアクセスを許可できるようになります。
＜クリック＞
3つ目に「セキュリティとコンプライアンスの管理がシンプル」になります。操作が複雑であったり、手作業が多いと、それは絶対に守られませんし、例外も発生しやすくなります。
シンプルであることが、確実な管理の大前提であると認識する必要があります。
10

11. このBusiness Ready Security を実現するために、マイクロソフトは6つ中心的なソリューションを提供しています。
・1つは情報の保護。これは、コンピュータに保存されている機密情報が故意にしろ過失にしろ、漏えいしないよう
にするソリューションです。
「漏えいしない」というのは、社内に留めておけばよいのか？いえいえ、それだけでは不十分なんです。
社外に持ち出されても「読めない」「印刷できない」、ここまで行えないといけません。このソリューションの面白い
ところは、
大量のデータにうずもれた機密情報を、自動的に発見するといったソリューションも含まれています。
例えば、個人情報が知らずに書かれているドキュメントを発見するなんてことが可能です。
・2つ目がメッセージの保護。電子メールというのは、情報漏えい手段の筆頭です。社外秘を添付して、簡単に外
部に送ることができてしまいます。もちろん、故意だけでなく過失の場合もありますから、システムでしっかり監視
し、漏えいするまえにフィルターする必要があるわけです。万が一漏えいしてしまったとしても、「情報の保護」ソ
リューションのように、読めないような仕組みが必要です。
・3つ目が安全なコラボレーション。コラボレーションとは、社外パートナー企業との協業のことです。
社外のユーザーを社内システムにアクセスさせるのはとても面倒ですし、気を使います。おそらく、大くの企業で
は実現していないはずです。
このソリューションでは、Federationという技術を活用することで、社外ユーザーのユーザーIDを自身の企業で管
理することなく、安全にアクセス権を与えることができます。
クレーム認証という認証方式を使用しています。
・4つ目がクライアント保護。真っ先に思いつくのがウィルスチェックやWindows Updateですね。ただ、それをクラ
イアント単体で実装しているだけでは不十分なのです。
企業全体のセキュリティポリシーに合致しているかどうかをチェックし、万が一チェックしていないPCがあったとし
たら、
即座にネットワークから切り離して検疫するといったことが可能でなければなりません。ほかにも、ハードディスク
が暗号化されているか、使ってはいけない危険なアプリケーションを使っていないか、アクセスしてはいけない
WEBサイトにアクセスしていないか、想定される一切の危険からクライアントを保護できる必要があります。USBメ
モリーを使わせない、USBメモリーを強制的に暗号化させるといったソリューションも用意されています。
・5つめが統合セキュリティ。ここまでの4つのソリューションを個別のアプリケーションで管理していたのでは、管
理者に大きな負荷がかかってしまいます。
また、セキュリティポリシーというのは個々のレイヤーで個別に管理するのではなく、すべてのレイヤーで統一さ
れている必要があります。
それができなければ、たとえば、クライアントがウィルスに感染したからといって、クライアントをネットワークから
切り離すことはできないですし、
クライアントの感染が他に影響を与えていないかどうかを調査することも難しくなります。
＜クリック＞
これら5つのソリューションの土台となるのが、6つ目の、IDとアクセスを管理するためのソリューションです。
確固たるID基盤が構築されていると、ここまでお話した5つのソリューションを実現することができるわけです。
11

12. では、Business Ready Securityの基盤となる、IDとアクセスの管理について具体的に
見ていきたいと思います。
12

13. まずは現状、ITシステムにはどのような脅威が存在するのか、ID基盤が管理されていないと
どんな不便が発生するのかを見てみましょう。
システムの利用者は、さまざまな場所から社内のデータにアクセスしたいと考えているわけ
ですね。
さらにそれをさまざまな人と共有し、外に持ち出したいとかんがえている。もちろん、悪意で
はなく、仕事の効率のためにです。
でも、多くの場合、利用者には自宅のPCから社内に入り込んで、社内データにアクセスする
ことは許可されていません。もしアクセスできたとしても、非常に限られたアクセス権しか持
っていない。それはなぜか？
＜クリック＞
社内の管理ポリシーが自宅のPCにまで届かないからです。例えばつまりウィルスチェッカー
がインストールされていない端末を介して社内にウィルスが入り込む可能性があるわけです。
＜クリック＞
もちろん、脅威というのは自宅PCだけではありません。インターネット上のさまざまなサーバ
ーからの悪意を持ったアタックによって、
トロイを送り込まれて社内情報が漏洩してしまう可能性があります。
その原因として考えられるのが、たとえば、管理の煩雑さです。複数のサーバーが個別の
保護ソフトを使用していたとすると、その管理は煩雑になりますし、メンテナンスも後手に回
ってしまいがちです。
＜クリック＞＜クリック＞
そして、脅威は社外だけとは限りません。企業内にも脅威は存在しています。
管理の手薄なPCがウィルスに感染してしまったり、データを暗号化しなさい！と告知している
のに暗号化されていなかったり、
社外秘情報をメールの添付やUSBメモリに保存して持ち出したり、といったことが頻繁に発
生しています。
こうしたことがあると、当然、「社外からのアクセス禁止令」「USBメモリ使用禁止令」「PC持ち
出し禁止令」が発令されるのも無理からぬことです。
13

14. 次にメッセージングが抱えている問題点を見てみましょう。
＜クリック＞
まずは単純なところで、ウィルス感染したファイルのメール送信という問題がありま
す。
＜クリック＞
それから、これはちょっと趣が違いますが、リモートからのメールサーバーへのアク
セスでも問題があります。何かと言えば、複数IDの管理です。
社内のメールサーバーにアクセスするために、メールサーバーのIDとは別のIDを使
用して、リモートアクセスゲートウェイを潜り抜ける必要があります。
複数のID/パスワード管理というのは、利用者にとって大きなストレスなんですね。し
かもリモートアクセスゲートウェイを潜り抜けるためには、おそらく
とてつもなく長いパスワードを使用する必要があるでしょう。
その場合、人情としてはパスワードを紙に書いておきたくなります。当然、これによ
るパスワード漏えいの可能性が一気に高まります。
＜クリック＞そして、社内から社外へのメールを介した機密情報を漏洩問題があり
ます。
場合によってはチェック用のゲートウェイを設置してチェックしている場合もあります
が、
完全なスタンドアロンサーバーで管理が独立している場合には、やはりメンテナンス
の労力が大きくなり、管理が手薄になる可能性があります。
＜クリック＞
SMTPサーバーも同様です。管理が独立してしまうと、管理の手間が分散されてしま
うため、やはり手薄になるという問題を抱えてしまいます。
14

15. 次にメッセージングにも絡んできますが、コラボレーションの問題です。
多くの企業様では、情報の柔軟な流通に苦労していると思います。
先にもお話ししたように、機密情報というのは、社内のサーバー、メール、PC、USBメ
モリなど、さまざまな場所に保存されていますが、
ユーザーはそれらの情報に、あらゆる場所からアクセス「したい」と考えています。
＜クリック＞
でも、通常は、漏えいのリスクを減らため、結果的にリモートからのアクセスができな
いようにしているはずですし、社外からマルウェアが入り込めないように外部からの
アクセスを制限しているでしょう。
では、リモートからアクセスさせないことで完全に漏えいは防げるのでしょうか？ご
存じのとおりNOです。
＜クリック＞
たとえば、ある社員が顧客先での打ち合わせのために、社内にあるドキュメントを使
用したいとします。時間が無いから印刷するのも面倒です。
でも、一旦社外に出てしまうと、外部からアクセスできないことは知っていますし、
USBメモリの利用やPCの持ち出しも厳しく制限されています。
じゃ、どうするか。
＜クリック＞
簡単です。
打ち合わせの前に、お客様にファイルをメールで送っておいて、到着したら見せても
らう…なんてことをしてしまうかもしれません。
様々なセキュリティ対策を講じているにも関わらず、メール1通で情報漏えいを許し
てしまうという典型的な例です。
15

16. 最後にセキュリティの管理が抱えている問題点についてみてみましょう。
いま、社内のクライアントが、社外の悪質なサイトにアクセスしたために、ウィルスに
感染してしまったとします。
＜クリック＞
エッジサーバーはマルウェアを検出する機能があるので、
＜クリック＞
どうやら社内にマルウェアが入り込んだ可能性があるということをログから推測でき
たとします。
ログからは、「悪意のあるWEBサーバーにアクセスしたのはこのIPアドレスだな」とい
うところまでわかりました。
それからどうするか？
＜クリック＞
今度はPCの管理者に連絡して、「かくかくしかじか」と伝えるわけですね。
＜クリック＞PC管理者は、いま聞いたIPアドレスからコンピューター名を調査し、
＜クリック＞そのPCに対して手動でウィルスチェックを実施し、
＜クリック＞イベントログなんかも参照して問題が出ていないかを調べ、必要であれ
ば周辺への影響を考えてネットワークから切り離す。
といったことをしなければなりません。
ここまでの作業が5秒で行えればよいのですが、通常はとても無理ですね。
個々に含まれている問題は何か？
緊急性を要する作業に手作業が含まれていることです。
16

17. 代表的な4つのシチュエーションをお話ししましたが、感想を一言でいえば、「めんど
くさー」です。
そんなに面倒だったら、いっそのことITシステムなんて捨てたら？とさえ言いたくなっ
てしまうかもしれません。
では、なぜそんなに面倒なのでしょうか？
17

18. 「面倒くさい」を生じさせる諸悪の根源、それはIDとアクセスが統制がされていないことです。
IDが統制されていないとさまざまな不便が発生し、その結果セキュリティの脅威にさらされる
ことになります。
＜クリック＞
・アプリケーションごとに、異なるIDを使用しているから、利用者がパスワードを覚えられない
・セキュリティソフトとIDが結びついていないから、どこで問題が発生しているのかを即座に
把握できないし、対策も打てない
・機密情報とIDが結びついていないので、情報の流出を抑止することができない
＜クリック＞
・異なるIDを使用するシチュエーションが多いと、パスワード忘却が発生しやすくなり、ヘル
プデスクの負荷が高くなる。
へたすれば、即座にパスワードリセットをすることが不可能なため、ビジネスが停滞してし
まう。
＜クリック＞
先ほどと同様ですが、社内とは異なるID/パスワード、しかも複雑なパスワードを使用してい
るため、パスワード忘却や漏えいが発生しやすい
また、自宅PCを社内セキュリティで保護することができないため、ウィルスの危険性が高まっ
てしまうという問題点もあります。
＜クリック＞そして
パートナー企業とのコラボレーションを実現するために、お互いに相手のIDを管理している。
これによって、不要になったIDを削除したり無効化する手間が増えてしまう。
下手をすれば、想定したパートナー側ユーザー以外のユーザーが、そのIDを使いまわして
いる。
＜クリック＞
クラウドに公開されたアプリケーションでも、同様に異なるIDを使用しているため、ID管理の
負荷が増えてしまう。
IDが統制されていない環境というのは、常にこうした問題を気に掛ける必要があります。そ
の結果、どうしてもITがビジネスの発展とは別の方向に向かって行ってしまいます。
18

19. 繰り返しになりますが、セキュリティによって支えられたビジネス環境というのは、
・すべてのレイヤーが保護されているので、どこからでも情報にアクセスすることが
できます。よって、ビジネスに停滞を生みません。
そして、
・セキュリティが全社レベルで統一され、かつ末端まで浸透しているので、抜け穴が
ありません
さいごに、
・セキュリティポリシーの管理手法は統合されているので、少数の管理者が最小限
のプロセスで全社のコンプライアンスを管理でる
というメリットがあります。
19

20. そのためには、ITインフラの複数のレイヤ、すなわち、ネットワーク、情報、ホスト、ア
プリケーション を、
IDとアクセスでしっかり結び付けてあげる必要があります。
20

21. IDとアクセスの基盤を支えている最新の製品群がこちらです。
まず、デスクトップ環境として、Windows7
そして、データセンターの基盤OSとなるのが、Windows Server 2008 R2です。これが
持つ、AD、ADFS、NAP、GP、DirectAccessなどの技術が互いに連携することで、
ネットワーク、情報、コンピューター、アプリケーションサービスが互いに結びつきま
す。
そして、インターネットから社内アプリケーションサーバーへの安全なアクセスを提
供する Forefront Unified Access Gateway。
これは、Windows 7からサポートされたDirect Accessのゲートウェイとしても機能しま
す。
そして、Forefront Identity Manager。これは、複数のディレクトリサーバーをメタディ
レクトリで統合するための製品です。
俗にいうユーザーのプロビジョニング機能を提供します。
これらのOSやサーバー製品がベースとなって、安全で効率的な、それでもって自由
度の高いID基盤を構築することができます。
では、これらを使用すると、どのようなことが実現できるのか、具体的に見てみましょ
う。
21

22. まず、Business Ready Securityの標語でもある、「すべてを保護し、どこからでもアクセス」の実現につ
いて。
＜クリック＞
オンプレミス、つまり社内ではActive Directoryの保護の元、基本的に制限のないアクセスが可能です。
たとえば、MOSSへのアクセスもActive Directoryの認証機構の配下で許可されます。しかし、一旦クラ
イアントがウィルスに感染したことが検出されると、NAPと呼ばれる機構により、他のPCがウィルスの
影響を受けないよう人手を介することなく、自動的にネットワークから切り離されます。切り離された
PCは、ウィルスの除去後、NAPによって自動的にネットワークに戻されます。
＜クリック＞
リモートアクセス環境ではどうか…従来ですとVPN等を使用して独自の認証を行い、別途特別なトンネ
ルを作成する必要がありましたが、Windows 7からはDirect Accessとよばれる接続方法がサポートさ
れました。これは、社内ドメインに参加しているPCが、特別な設定をすることなく、インターネット上か
ら社内ADのIDを使用して入ってくることができるという技術です。
この技術の面白いところは、社内のActive Directory配下で適用されていたセキュリティポリシーを、イ
ンターネットに居ながらにして適用できるというところです。
言い換えれば、社内ドメインに参加しているPCであれば、場所や時間帯を問わず、どこからでも社内
資源にアクセスすることができるということなんですね。これはシンプルでいいですよね。
もちろん、インターネットから入ってくるときには、すこし敷居を高くしたいと考えますよね。なので、た
とえば、社内ではID/Passでログオンできるけど、Direct Access経由の場合にはスマートカードをさして
いないと認証できないといった制限を設けることも可能です。
＜クリック＞
このほか、Geneva Server と呼ばれる最新のフェデレーションサーバーを使用することで、クラウド上
のアプリケーションを社内ドメインのIDとパスワードで認証する、なんてこともできます。
このように、Active Directoryに登録されている1種類のIDとパスワードにより、さまざまな形態のアク
セスが可能になります。もちろん、どこからアクセスしてもシングルサインオンで資源を利用できるの
で、アプリケーションを切り替えるたびにIDとパスワードを再入力するなんて必要はありません。
22

23. 次に、IDのプロビジョニングの実現についてみてみましょう。
ここで言うプロビジョニングとは、ユーザーIDのライフサイクル（生成／配布／更新／廃棄・失効）を状
況に忚じて自動的に切り換えることを指しています。
この図のシステムでは、Active Directory以外に、業務サーバーやメールサーバー、そしてファイルサ
ーバーが存在しています。
いま利用者は、Active Directoryへのログオンのほか、業務サーバーとメールサーバーに独自にログ
オンしてアクセスすることができるとしましょう。つまりIDが統合されていない状態です。
理想はIDが統合され、一切の認証はActive Directoryで行われるのがよいのですが、実際の運用で
は、そこまでうまく統合できないこともあるはずです。
＜クリック＞
そうした場合には、Forefront Identity Manager 2010を使用し、それぞれのID情報をお互いに同期す
ることができます。
これによって、シングルサインオンは無理にしても、同じIDとパスワードでログオンができますし、管理
者が複数のサーバーにIDを個別に登録するといった手間が無くなります。
そのため、使わなくなったIDを消し忘れてしまったり、職制が変わったのに古い資源にアクセスし続け
られる…といったリスクを回避することができます。
おもしろいのは、FIM2010を使用すると、プロビジョニングにワークフローを簡単に適用することができ
ます。
たとえば、利用者がファイルサーバーの共有フォルダにアクセスしたいと考えているとしましょう。この
とき利用者は何をしなければならないかといえば、
＜クリック＞
ブラウザやOUTLOOKを使用して、アクセス権の申請をするだけでよいわけです。操作にして、クリック
2，3回程度です。じゃ、それはだれが承認するのか。
＜クリック＞＜クリック＞
その資源のオーナーが承認することができます。たとえば上長です。従来だと、こうしたアクセス権の
操作というものは管理者が一手に引き受けていました。
でも、これは大変ですよね。管理者が忙しいと、いつになったらアクセスできるのかもわかりませんし。
じゃ、上長がファイルサーバーのアクセス権を直接操作するのか？ それも怖いですよね。
なので、そういう細かな操作はFIM2010が代行します。
上長は、単にメールで送ら得てきた「承認依頼」に対して「Approve」「承認」をクリックするだけでよい
ということになります。
23

24. 次に企業間のコラボレーションです。
いま、企業内にActive Directoryでアクセスが管理されているMOSSが立ち上がっているとし
ます。
＜クリック＞
あるプロジェクトを遂行するために、パートナー企業の社員に対しても、このMOSS への アク
セスを許可したい と考えているとしましょう。
どうするか。
従来であれば、パートナー企業の社員アカウントを、自社内のADに作成しなければなりま
せんでした。
そこで、ADFS を使用することで、パートナー企業のActive Directoryに、自社のMOSSへのア
クセス権を許可することができるようになります。
＜クリック＞＜クリック＞＜クリック＞
もちろん、無条件ということではありません。
誰がアクセスできるのか、条件を設定することができます。
これを「クレーム」と呼んでいますが、たとえば、システム部門に所属していること、課長以上
であること…といった条件を付加できます。
じゃ、所属や役職はどこから持ってくるのか？
パートナー企業のActive Directoryに格納されている情報が、クレームの返答として送られて
きます。
これはクレームベースの認証と呼ばれており、きめの細かな認証とアクセス制御の方式とし
て、特にクラウド環境では、広く使われることになるだろうと思われます。
ADFSを使用することで、アカウント管理はパートナー側で行っていただき、自社ではリソース
へのアクセス条件のみを考えればよいということになります。
24

25. 次に情報の保護がどう変わるか。
＜クリック＞
この場合も、社内にはActive Directoryと、その配下にMOSS、
この他に、社外秘情報が格納されているファイルサーバー、そしてExchange Server
があるとします。
＜クリック＞＜クリック＞
利用者が社外のパートナー企業に対して社外秘のファイルをメールに添付して送ろ
うとした場合、
＜クリック＞＜クリック＞
ADRMS、Rights Management Service と Exchange Server によって、それを自動的に
抑止することができます。
＜クリック＞
また、社外秘かどうかを人が判断するのではなく、含まれている文字列パターンか
ら自動認識することも可能です。
この技術を、FCI ：File Classification Infrastructure と呼んでいますが、ファイルサーバ
ー内の大量のドキュメントから社外秘に相当するドキュメントを探し出し、
それをADRMSでアクセス保護し、さらにMOSSに保管する…という一連の動作を自動
的に行うことができます。
25

26. そして最後に、セキュリティ管理の統合です。
これまでご覧いただいた機能を実現するにはいくつかの製品を組み合わせていただく必要
があります。ただ、そうすると操作が煩雑になることが予測されます。
これを解決するのが、Forefront Protection Managerと呼ばれる統合管理コンソールです。
＜クリック＞
管理ツールの操作には、なんら創造性はありませんし、こんなものは極力シンプルニしてお
いたほうが引き継ぎも楽にできますしコストも落とせるわけです。当然操作ミスもなくなりま
すし。
マイクロソフトの統合セキュリティソリューションはさまざまな脅威からシステムを守るだけで
なく、シンプルな管理環境も提供できるソリューションです。
そのシンプルな管理を提供しているのが、Forefront Protection Manager と呼ばれる管理コ
ンソールです。統合されたコンソールという意味で、Unified Consoleとも呼ばれます。
＜クリック＞
ここで、クライアントがインターネットにアクセスして悪意のあるWEBサイトからマルウェアに
感染してしまったとしましょう。
従来は、ウィルス侵入に気づいたネットワークの管理者が、PC管理者に連絡を取って対処
が必要でした。
＜クリック＞
しかし、Forefront Protection Manager を使用していると、エッジから受け取ったアラートを解
析し、感染したクライアントに対して自動的にウィルス除去の命令を出します。
つまり、管理者による手動操作を介することなく、セキュリティを維持することができるわけ
ですね。
ＦＰＭはＡＤやNAP、その他のForefront製品群とも統合されてまして、管理の複雑さを回避し、
すみずみまで気を配ることができるように設計されています。
26

27. 27

28. 以上、IDが統制されると、どのようなことが実現できるのか、簡単にご紹介しました。
では、最後にまとめましょう。
28

29. 29

30. ここまでお話してきたように、ITシステムを最適化するにあたり、「IDとアクセス」を管理することは
とても重要であり、これこそが全ての根本なのです。
その恩恵を受けられるのは一部の管理者であったり、一部のITが大好きなエンドユーザーだけではあり
ません。
システムの意思決定者を含め、ITを利用するすべてのユーザーがメリットを享受できる。
それが、Business Ready Security の考え方なのです。
30

31. 31