ゼロトラストの初手

ゼロトラストを実現しようとすると、認証管理＝Identity and Access Management(IAM)がインターネット上に必要。

オンプレ環境にあるActiveDirectoryと連携するソリューションは多いが、一番、親和性が高そうで、コスパの良いAzure ADが最有力候補になる。

Azure AD Connect

qiita.com

こんな記事もあるように、ActiveDirectoryとAzure ADとの連携自体はすんなりできる。

ただ、いろいろと考慮事項は多い。

サインオン方式の選択が悩む。

こちらの資料の助けを借りて、明確に認証方式が選択できました。

www.slideshare.net

クラウドにパスワードを保管することへの不安についても、しっかりと答えてくれています。

既にAzureADにアカウントが存在するケース

AzureADでは、MS365を使うため、アカウントがメールアドレスになっていた。

一方で、ActiveDirectoryでは、社員番号がアカウントとして割り振られている。この場合、ActiveDirectoryのパスワードをAzure ADに同期できるのか？

結論としては、出来た。

こちらを参考にさせていただきました。

jpazureid.github.io

電子メールをユーザープリンシパル名と一致させておけばよい。

タダより怖いものはない？

現状、Azure ADは、無料の範囲で使用しているが、他のクラウドサービスに対してSAML認証を提供できるので、シングルサインオンが実現できてしまう。

PCへのログインも、AzureADで認証とかIntuneという機能を使うとPCの管理もクラウド上で出来てしまう。当然、追加費用が発生します。

いろんなものがクラウドに出ていくと、そのセキュリティを管理するサービスもクラウド上で提供されていて、クラウドセキュリティポスチャーマネジメント（CSPM)、と呼ばれる。

クラウドでの設定が適切か、システム的にチェックして、意図しない情報の公開などを防止できたりするようです。確かに、日々進化していくクラウドサービスで、設定項目も増えていくなかで、ミスの発見は困難なので必要になる。

セキュリティの費用対効果、というものが益々、難しくなってきます。