先日 X で見かけて気になった投稿なのですが、今日はこの話題について話をしていこうかなと思います。(注:あくまで個人としての意見です)
実際のところ、確かに実際に本格的に「オンプレADを廃止したよ」という声ってあまり聞かないですよね。エンタープライズ層の会社での公開事例としてはNTTコミュニケーションズ(現: NTTドコモビジネス)の事例くらいしか見当たりませんでした。
例えば、Exchange Serverとかであれば、ハイブリッドはあくまで短~中期的な「繋ぎ」的な扱いであり、最終的にはクラウドに全て移行してオンプレ側のサーバを廃止するのが良いですよ…、と結構クラウド移行の早い段階からメッセージが出ていたと思いますが、ふと考えるとADに関してはあまり耳にしたことがありません。
この記事では、ID基盤は最終的にこういった将来像があって、それに向けてそれぞれのフェーズではどういったことを気をつけて進んでいくのかということを書こうと思います。
いきなりの出オチで申し訳無いのですが、書こうとして色々と調べていたら、既にMicrosoftからこういった情報がLearnで公開されていることに気がつきました。
これ、実は2年以上前の記事なのですが、この中で変革は次の5つのフェーズに分かれて進んでいき、それぞれのフェーズでは次のフェーズに向けてどういったことをしなければならないのかというのを、[①アプリケーション ②デバイス ③ユーザーとグループ] の中心的な構成要素ごとに整理されて記載されています。
実際の大企業は、現在このうち Step3: Cloud front ~ Step4: AD minimized のフェーズで停滞しているのが多いのではないかなという印象を受けてます。
では、なぜ無くならないのでしょうか…。私は、多くの人がADの廃止に懐疑的で、そもそも無くす必要性を感じていないからというのが根本にあるのかなと思ってます。
(実際、前述の投稿主も後日のYouTube動画でこのハイブリッドの状態が長く続くと予想しています)
上記のLearnの公開情報の中でも、Step4のフェーズの中で
Active Directory を最小限に抑える状態は、特に大きなオンプレミスの技術的負債を抱える大規模組織では、実現がより困難です。
というように、敢えてオンプレミスの技術的負債と称して、この工程が困難であることを示唆しています。
更に掘り下げると、Step2,3までの段階で、
「オンプレミスのアカウントでクラウドにSSOできる」
「ヘルプデスクに頼まずにパスワードをリセットできる」
「毎回パスワードを入れずに生体認証でPCにログインできる」
「リモート環境で同じように業務できる」
「会社にいかなくてもPCの再セットアップができる」
など、ユーザー側が目に見えて享受できるメリット/費用対効果として説明できる内容は既に達成してしまっていて、その後に進むインセンティブが湧かないというのがあると思います。
私はよく攻撃者であるハッカーとの戦いは、防御側が「分が悪い」と表現しています。向こうはAIを使って、色々な企業を何回も攻撃できます。うち1つでも成功すればいいという考えですが、こちらは1度でも誰かがミスを犯してしまうと負けです。攻撃者には金銭的なインセンティブがありますが、防御側は基本ありません。設備や攻撃手法もどんどん洗練された物を作れる側と、何か変更するにも過去の資産の下位互換性を全て担保しなくてはならない側。
次のリストのうち、もし身に当てはまることがあったのであれば、AD基盤の将来像をきちんと作り、そこに向けた中期計画を立てて実行に移していくのが良いと思います。
- Active Directoryのログ、きちんと見れていますか?
- 普段と違う振る舞い(時間や場所、端末、利用アプリケーションなど)があった場合に気がつけますか?
- 最小特権の考えに従っていないような、サービスプリンシパルやシステムアカウントはないですか?
- 全てのリソースはきちんと定期的に棚卸しされていて、不要な物はクリーンアップされていますか?
- 故障以外にも24時間365日トラブルは発生する可能性があります。異常を検知できる監視、動けるエンジニアの体制、技術的支援の依頼先の契約は確保できていますか?(攻撃者は普段は見つからないよう隠れていて、大型連休の前の夜など動き始めるタイミングを狙っています)
- ADというある意味成熟した技術分野に、あなたの会社は投資を続けてくれますか?
まあ、それすら難しいということであれば、一度不正侵入を経験するなど、外的要因によりトリガーが引かれるのを待つというのも現実的な選択肢なのかもしれませんが…。