Windows 8ではHotmailやWindows Liveのアカウントでログオンできるようになったが、これによって何が実現するのか。クラウドベース認証の可能性を検証するとともに、内在する危険性を明らかにする。
クラウドベースのサービスを導入している企業なら、ユーザー認証の複雑さを実感しているはずだ。クラウドサービスごとに違うユーザーネームとパスワードの組み合わせが要求され、トークンや証明書といった2段階認証のオプションも複数ある。この複雑さは別のセキュリティリスクを呼び込みかねない。ユーザーはディスプレーの上やキーボードの下に付せんを貼るといった、ありがちな対抗策を取るからだ。
クラウドサービス認証方法の簡易化を目指し、セキュリティ技術も進化している。クラウドベースのアプリケーション向けにシングルサインオンを提供する仕様の筆頭にはSecurity Assertion Markup Language(SAML)、OAuth、OpenIDなどがある。Google、Facebook、Microsoftはいずれもこうしたオープン規格のAPIを提供し、例えば自社のアカウントを利用したサードパーティーのWebサイトへの認証を認めている。こうしたシステムは、Webベースのアプリケーションとサービスの認証を簡易化し、ユーザーがコントロールできるようにするという点で大きな成功を収めてきた。しかしコンシューマーサービスに比べると、企業における採用ははるかに遅れている。
Microsoftはこれまで、GoogleやFacebookのアカウントがクラウドサービスの認証に利用されるのを羨望のまなざしで見てきた。しかし、同社が2012年2月29日にリリースした次期OS「Windows 8」のConsumer Previewには、ユーザーをMicrosoftのサービスに呼び戻すことを狙った興味深い認証機能が組み込まれている。Windows 8に関するニュースの大半は新しいユーザーインタフェース(UI)の「Metro」に集中している。このため、Windowsの認証にWebベースのMicrosoft IDが利用できる機能が加わったという事実は見過ごされがちだ。しかし、HotmailアカウントでWindows 8にログオンできるということは、脚光を浴びているMetro UIと同じくらい画期的だ。
Webベースサービスのアカウントを使って端末にログインするというアイデアに目新しさはない。GoogleはChromebookを発売したときからこの認証方法を使っているし、Appleは最近、iCloudアカウントをMac OS X Lionに統合し、ローカルのMacアカウントのパスワードまでリセットできるようにした。だが、Windowsのような巨大エコシステムには相互運用上の必要条件が付きまとうという点で、MicrosoftのアプローチはAppleやGoogleよりさらに大胆だ。
MicrosoftはWindows 2000以来、Active Directoryベースの認証を企業向けに売り込んできた。Microsoftはこうした企業のプライベートクラウドにおける市場シェアを維持しながら、ハイブリッド型および商用クラウド市場にも進出する意向だと言って差し支えないだろう。Windows 8の成功は、MicrosoftがActive Directoryのレガシーモデルと新しいクラウドベース認証モデルとのバランスをどれだけうまく取れるかに大きく左右される。新しいWindows 8の認証機能の仕組みと、企業が考慮すべきリスクについて以下に解説する。
この新しい認証モデルの構築においてMicrosoftがどれだけ進歩したかを評価する最善の方法は、Windows 8を実際に使ってみることだ。今回の評価はWindows 8 Consumer Preview Build 8250をベースとしている。従って、正式リリース前に変更される可能性もある。Windows 8の試験用PCは、Active Directoryとの相互運用を評価するためWindows Server 2008 R2のドメインに追加した。
Windows 8ではセットアップの段階でユーザーを特定するため、最初に起動する際にMicrosoft IDの入力を求められる。このアカウントは@hotmailでも@liveでも、あるいはそれ以外のMicrosoft製品やサービスのものでも構わない。Microsoftはこれまでローカルユーザーアカウントと呼んでいたものに、@hotmailアカウントを加えることによってこれを実現した。同アカウントはローカル管理者グループに自動的に追加され、ここからマシンのハードウェアとソフトウェアの両方のフルコントロールが可能になる。この種のユーザーアカウントは、経験豊富なWindowsデスクトップ技術者ならなじみがあるだろう。この時点で、Microsoftが新旧の認証モデルの間で保つ必要のあるセキュリティと使い勝手のバランスは達成できそうに見える。
テストの次の段階では、Windows Server 2008 R2のドメインにこのPCを追加し、2つの異なるセキュリティ領域がそれぞれ互いに切り離された状態をどう保つかを検証した。これは企業がぜひとも知っておきたいリスクだ。HotmailのアカウントはActive Directoryドメイン上にある会社のリソースにアクセスできるのか。答えは明白だった。これらMicrosoft IDは、標準的なWindowsローカルユーザーアカウントと同様に扱われる。ローカルアカウントではActive Directoryのリソースにはアクセスできず、従ってネットワークベースの会社の資産は安全だ。
ローカルマシンでローカルのアカウントが管理者として設定されている場合のリスクを考慮することも重要だ。デフォルトは依然としてこの設定になっている。これにより、Microsoft IDではマシン上の他のユーザーのディレクトリに存在するファイルにアクセスでき、マシン上にキャッシュされたActive Directoryアカウントのオフラインハッシュにもアクセスできる。このレベルのアクセス権があれば、Microsoft IDを使って各種のパスワードクラッキングツールをこれらアカウントに対して実行することも可能だ。ローカル管理者は以前からずっとこの権限を持っており、これは新たに生じたリスクではない。ただMicrosoft IDによって、企業がWindows 8の導入時に考慮すべき重要な可変要素が1つ加わったといえる。
企業がWindows 8の導入に当たって考慮すべきもう1つの重要なリスクは、設定がMicrosoft IDアカウントとの間でどのように同期されるかだ。Active DirectoryはMicrosoft IDと関連付けることができ、これによって特定の設定は、ユーザーがログオンしているPCを問わずに同期される。設定に含まれるのはデスクトップのカスタマイズ、ブラウザの設定といったプリファレンスのみだが、ブラウザのお気に入りといったメタデータの同期を通じ、社外秘情報が流出するリスクはある。Microsoft Live IDではMicrosoft SkyDriveにもアクセスできる。ポリシーを通じて適切に設定しておかなければ、従業員が会社の情報を流出させてしまうかもしれない。
Windows 8では他のクラウドベースサービスへのログイン情報を集約してセキュリティ強化を助けてくれる新機能「Credential Manager」も加わった。この機能はコントロールパネルにあり、ユーザーは外部サービスのユーザー名やアカウント情報を保存できる。これには複数のWindowsベースのログオン情報や証明書も含まれる。これはAppleのMac OS XのKeychainに似た機能であり、多くの組織が付せんで対処している現状に比べて格段の進歩だ。Credential Managerのおかげで、Windows 8はクラウドベースアプリケーションを利用するためのOSとして優位に立つかもしれない。
MicrosoftがWindows認証のレガシーモデルをクラウドベース認証モデルと共存させようとしていることには不利な面もある。両方のシステムの設定とメンテナンスが極めて複雑になるのだ。Windows 8には、両方の認証モデルの設定オプションが重複する箇所が複数ある。この複雑さが設定ミスを誘発し、ユーザーや端末のセキュリティレベルに狂いが生じかねない。GoogleやAppleが使っている比較的新しい認証モデルと比べると、Windows 8の複雑性は特に際立つ。
Windows 8の検証から、認証の未来がクラウドベースにあることははっきりした。Microsoftは主力OSにクラウドベース認証を取り入れることにより、競合各社を追い抜こうとしている。それでもまだ、企業がクラウドベース認証を全面採用するためには、さらに多くのコントロールツールや管理ツール作成の必要がある。Microsoftはそうしたツールを提供できる特異な立場にあり、そうなれば企業は新しいモデルを全面的に取り入れられるだろう。それはまた、ユーザーがWindows AzureやOffice 365といったMicrosoftのクラウドベースサービスに簡単に移行できる手段を提供することにもなる。
Windows 8のリリースは2012年10月とうわさされており、開発サイクルはまだ初期段階にある。Microsoftがクラウドベース認証における主導権を握れるかどうかは、いずれ見えてくるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
世界中で広く利用されているChromeブラウザは、業務における重要なエンドポイントとなっているため、強固なセキュリティが必要となる。そこでChromeブラウザを起点に、企業が安全にWebへのアクセスポイントを確立する方法を紹介する。
Google Chromeの拡張機能は生産性の向上に不可欠な機能であり、ユーザーが独自にインストールできる一方、IT管理者を悩ませている。ユーザーデータを保護するためにも、効率的な運用・監視が求められるが、どのように実現すればよいのか。
データ活用が企業の命運を握る今日にあって、絶対に避けなければならないのがデータの損失だ。本資料では、ビジネスクリティカルな状況下でデータの保全・保護・復旧を可能にするバックアップソリューションを紹介する。
データのバックアップに求める機能は、企業によってさまざまだ。必要な機能だけを選択して導入することで、無駄なく効率的なデータ保護が可能になる。そこで注目されているのが欲しい機能だけを搭載できるバックアップ/リカバリー製品だ。
データバックアップは、安定した経営を維持し、災害やサイバー攻撃のリスクから業務を守るために不可欠である。とはいえ、自社に最適なバックアップ手法の確立は簡単なことではない。豊富な機能を備えているソリューションに注目したい。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
