正しい利用者が適切なリソースへアクセスできるようにするには、アクセス制御が必要だ。
OUごとにアクセス権を管理
まずはADのアクセス制御の流れを確認しよう。ADはリソースへのアクセス権をセキュリティーグループ単位で設定する。
セキュリティーグループ「人事」に所属するユーザーアカウントは、リソースにアクセスする前にドメインコントローラーへアクセスし、チケットを要求する(図5-1(1))。ドメインコントローラーはユーザーアカウントを認証すると、リソースにアクセス可能なチケットを払い出す(同(2))。利用者はこのチケットを提示して、セキュリティーグループ「人事」がアクセスを許可されたリソースへアクセスできる(同(3))。
次にクラウドサービスへのアクセスを制御する仕組みを見てみよう。その一例としてIDaaSとIAPを組み合わせる方法がある。
次のようにアクセスを制御する。利用者がリソースにアクセスする際、最初にIAPへアクセスする(図5-2(1))。IAPはIDaaSに利用者の認証状態とロール▼(役割)を問い合わせる(同(2))。IAPは認証状態とロールを受け取り(同(3))、利用者に適切なリソースへのアクセスを認可する。
動的な情報を基にアクセス制御
ロールに基づく制御は静的な情報▼に基づく。これに対しアクセス元の端末の状態に応じてリソースへのアクセスの可否を決める制御方式もある。「動的アクセス制御」だ。
動的アクセス制御の一例を説明する。端末の状態を取得するためにIDaaSをEDR▼やMDM▼と連携させておく。例えば利用者の端末にはEDRのエージェントをインストールし、端末のセキュリティー状態をEDRで把握できる状態にしておく。
アクセスの際は次のような流れとなる。まずEDRエージェントが各端末のセキュリティー状況をEDRサーバーへ通知する(図5-3(1)と(2))。EDRサーバーは端末のセキュリティー状態を分析してIDaaSへ伝達する(同(3))。MDMも各端末がきちんとMDMに管理されているかをIDaaSへ伝達する(同(4))。IDaaSはEDRとMDMから伝達された情報を鑑み、安全な端末だけリソースへのアクセスを許可する。
