 |
では、「アクティブディレクトリ※1」とは、一体何者なのでしょうか? なぜそれを使うと、様々な問題が解決できるのでしょうか? まずは根本的な「そもそも」の部分から。
- 渡邉 -
「ひと言で言ってしまうと、アカウント情報などを一元管理することを目的に作られた検索システムです。読み込みに特化したデータベースと言ってもいいでしょう。「ディレクトリ」とはよく「電話帳」と訳されますが、ユーザーIDやパスワード、アクセス権などのユーザー情報や、ネットワークにつながっているプリンターなどの周辺機器の情報がすべてひとまとめに格納されています。必要な時にその電話帳を参照すれば、必要な情報がわかる…という仕組みですね」
このようなシステムを一般的には「ディレクトリサービス」と呼びます。 アクティブディレクトリもそのひとつ。マイクロソフトが開発したディレクトリサービスの名称です。他にもノベル、サン・マイクロシステムズなどが開発したディレクトリサービスもありますが、Windowsサーバーやクライアントとの親和性の高さから、今、アクティブディレクトリにひときわ高い注目が集まっているのです。
- 渡邉 -
「企業のメールシステムでよく使われているマイクロソフトのExchange サーバーも、アクティブディレクトリがないと動かすことができません。アクティブディレクトリはマイクロソフトプロダクトの中心的な位置づけであり、最もコアな技術となります」
なるほど。Windowsユーザーが多い日本の企業において、注目度が高いのも納得ですね。ちなみに、アクティブディレクトリはLDAP(Lightweight Directory Access Protocol)標準プロトコルに準拠しており、他社製品との連携もスムーズに行うことが可能です。
※1 アクティブディレクトリ(Active Directory)
Windows 2000 Server以降に搭載されているディレクトリサービス。ネットワーク上に存在するサーバー、クライアント、プリンターなどのハードウエア資源や、それらを使用するユーザーの属性、アクセス権などの情報を一元管理することができる。これまでWindows NT Serverは、これらの資源の管理を「ドメイン」と呼ばれる単位で行なってきたが、複数のドメインを相互運用する場合には、お互いに信頼関係を結ばなければならず、また、管理できるオブジェクト数の限界があるなど、大規模なネットワークの管理には向かなかった。アクティブディレクトリを利用すれば、ドメインや資源に階層構造を設けて管理することができるため、ネットワークの規模が大きくなっても容易に管理できる。(IT用語辞典より)
なるほど。ユーザーやハードウエアなど、ネットワークに参加しているすべての情報を一元管理するための仕組みが、アクティブディレクトリなのですね。では、これを構築すると、どのようなことができるようになるのでしょうか?
- 渡邉 -
「わかりやすいところで言うと、スクリーンセーバーなどのデスクトップ環境や、USBメモリーなどのコントロールは簡単にできます。たとえば、「パソコンを10分間放置したら、自動的にスクリーンセーバーが起動するように設定する」とか、「USB接続した外部記憶装置から、読み込みはできるけれど、書き込みはダメ」というように、機能を制限することもできます。すべてサーバー側で設定するだけで良いので、ネットワーク管理者の負荷も軽減できるのです」
それはありがたい機能ですね。アクティブディレクトリがなかったら、管理者がクライアントマシン一台一台に設定しなければいけない作業です。実際、ちょっと前までは、泣きながら設定していた管理者たちが大勢いたという話もよく耳にしました。それがすべてサーバー側からコントロールできるなら、労力の軽減はもとより、人件費を見ても、かなり削減できるのではないでしょうか。
- 渡邉 -
「Windows 2008アクティブディレクトリとVistaの組み合わせなら、3,000種類以上のグループポリシーが用意されています。これだけあれば、Windows OSの標準の機能だけで、たいていのことが出来るのではないでしょうか」
3,000種類ですか! それはすごい。かなり柔軟なネットワークの管理が可能になりますね。「一元管理」できるということは、今の社会的背景から見ても、とても大きなメリットがありますね。通称J-SOX法の内部統制や個人情報保護法など、企業の法令遵守の問題がクローズアップされる中、「うちはきちんと管理しています」とアピールできるのは、素晴らしいことだと思います。
- 渡邉 -
「実際、法令遵守が叫ばれるようになってから、相談件数も増えています。大企業においては、企業内システムの整備が進んでいますが、そういった大企業と取引する中小企業にも、同等のセキュリティー意識が要求されているのです。たとえば、社内のネットワークはドメイン管理しているか、パスワードは定期的に変えているかといったセキュリティポリシー上のチェック項目があって、それらをクリアしていないと、取り引きすらしてくれない…ということもあるわけです。セキュリティーに対する高い意識がないと、「キチンとした会社」と見てもらえない時代になっているのですね。中小企業にとって、取り引きがなくなることになったら、それこそ死活問題ですから、相手も真剣です。そういう事情もあって、最近ではネットワークポリシーの設定やアクセス権などの設定などのお手伝いをすることが多くなりました」
大企業も大変ですが、その大企業と取引する中小企業は、もっと大変な状況に置かれているのですね。中小企業の場合、情報システム部門も兼任の場合が多く、メンバーも数名程度。そのメンバーも、ITに詳しい人だけで構成されているわけではありません。
- 渡邉 -
「だからこそ、アクティブディレクトリが必要になってくるのです。逆に言うと、企業がアクティブディレクトリを導入していないこと自体がもう大きな問題だと思っています。もはやあって当然のもの。会社の規模の問題ではなく、少人数の会社であっても、情報漏洩防止や犯罪抑止にもアクティブディレクトリは有効です。実際に社員数十人程のソフトウエア開発会社から相談を受けたことがありましたが、ユーザー管理という意味合いよりは、むしろセキュリティー面のニーズから、アクティブディレクトリの導入をオススメしました」
なるほど。ユーザーIDとパスワードの管理だけでなく、アクティブディレクトリは、誰がどのフォルダーに、どこまでアクセスできるかといった細かなアクセスコントロールができるので、セキュリティー面での強化が図れるのですね。
- 渡邉 -
「アクティブディレクトリの環境がないと、アクセス権の制御が容易にできませんからね。このサーバーのこのフォルダーに誰がアクセスしているか、誰がデータを持って帰ったかわかりません。良くないのが共通アカウントを使っているケースです。東京支社全員が ”tokyo”というIDでアクセスできる環境だったら、誰がいつ悪さをしたのか、特定することは不可能に近いでしょう」
アクセスログを見ても、全部 ”tokyo”というIDだった…なんていうのでは、分析のしようがありませんね。これではログを取る意味すらありません。
- 渡邉 -
「ID管理の要は、個人を特定できることだと思います。このIDを個と1対1で紐付けすることで、セキュリティーを高めていくべきものです。ですから、共通アカウントの使用で個人を特定できないことのリスクの大きさを、もっと実感して欲しいですね」
うまく動いているときはいいけれど、何か問題が起こったときに、いかに原因を追及し、どう責任を取るのかは、企業に課せられた大きな義務です。フタを開けてみたら、原因追及の手段すら持っていなかった、なんていうのでは、お話にもなりません。
- 渡邉 -
「だからこそ、アクティブディレクトリなのです。企業にとっても、アクティブディレクトリ導入のメリットは大きいと思います。もっと我々が具体的にアピールし導入する必要性をお客さまに訴え、理解して頂く必要があると思っています」 |
企業のコンプライアンスや、情報漏洩対策等セキュリティーに対する高い意識が求められる現在、「アクティブディレクトリ(Active Directory)」というコア技術に、かなりの注目が集まっています。それはなんぞや? 一体何ができて、どんなことが便利になるのか? ユニアデックス ソフトウエアサービス事業グループ システムサービス統括部 オープンサーバサービス1部 グループマネージャー 渡邉時雄が解説します。