ディレクトリー・サービスとは

ログイン認証情報を入力する女性

ディレクトリー・サービスとは

ディレクトリサービスとは、ネットワーク上のユーザーやデバイスに関する情報を保管・管理する一元化されたデータベースである。ディレクトリサービスは、企業ITシステムの中核機能である最新のIDおよびアクセス管理(IAM)の基盤を形成しています。

ディレクトリー・サービスとIAMを組み合わせることで、組織はユーザー・アカウント、認証、アクセス制御、権限、およびネットワーク・セキュリティーのその他の重要な側面を制御できます。

インターネット、クラウド・コンピューティングリモート・ワークの台頭により、ディレクトリ・サービスは、組織が分散コンピューティング・アーキテクチャを活用してコア・ビジネス・プロセスを強化する方法にとって極めて重要になっています。ディレクトリ・サービスは、ネットワークリソースの電話帳のように機能し、ユーザー、デバイス、その他のリソースに関する情報を保管することで、迅速かつ安全に接続できるようにします。

情報を行と列に編成する従来のリレーショナル・データベースとは異なり、ディレクトリー・サービスは階層的に設計されています。ネットワーク・リソースを簡単に識別できるように分類する方法である名前空間を使用するディレクトリー・サービスの階層構造により、何百万ものユーザーとデバイスがネットワーク上で情報を交換できます。

The DX Leaders

AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。登録の際はIBMプライバシー・ステートメントをご覧ください。

ご登録いただきありがとうございます。

ニュースレターは日本語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。

ディレクトリー・サービスの仕組み

ディレクトリー・サービスは、クライアント/サーバー・モデルを中心に設計されています。つまり、一方のプログラムが「クライアント」で、もう一方のプログラムが「サーバー」である標準的なネットワーク設定です。ディレクトリサービスデータベースでは、クライアントは通常、ユーザー、デバイス、またはアプリケーションです。

クライアントは、ディレクトリー・サービス・データベースに含まれるリソースを検索します。一方、データベースは、リソースへのアクセスに必要な権限があるかどうかを確認する認証プロセスを実施します。このプロセスは「認証」と呼ばれます。

認証プロセス

認証プロセスは、ユーザーまたはデバイスが要求されたリソースにアクセスできるかどうかを確立するため、ディレクトリー・サービス機能の中核をなしています。認証は、資格情報、検証、権限の3つのステップで行われます。

  1. 資格情報:ユーザーまたはデバイスは、要求されたリソースにアクセスするための認証情報を送信します。認証情報の一般的な例には、ユーザー名、パスワード、ユーザーの身元を確立するために使用できる生体認証データなどがあります。
  2. 検証:ディレクトリー・サーバーは、いくつかの共通プロトコルを使用して、ユーザーが誰であるか、またはユーザーが本人であることを検証します。ユーザーのIDが確立されると、ディレクトリー・サーバーは、そのユーザーが遭遇する他のアプリケーションに提示できる認証チケットまたはトークンを提供します。
  3. 権限:ユーザーのIDと認証情報が検証された後、ディレクトリー・サービス・データベースは、提供された情報を内部アクセス制御リスト(ACL)と照合して、ユーザーがアクセス可能なリソースを決定します。

一般的なディレクトリー・サービス・プロトコル

ディレクトリー・サーバーは、認証プロセスに加えて、ユーザーのIDを確認し、ユーザーがアクセスできるリソースを確立するために、他の一般的なプロトコルに依存する場合もあります。

  • Lightweight Directory Access Protocol(LDAP):ディレクトリ・データを管理する基本的なプロトコルであるLDAPは、アプリケーションがインターネットのような伝送制御プロトコル/インターネット・プロトコル(TCP/IP)ネットワーク経由で、ディレクトリ・サービス・データベースにクエリを実行し、ユーザーIDを管理することを可能にします。
  • Kerberos:Kerberosは、時間制限のチケットまたはトークンを発行するチケット・ベースの認証プロトコルです。アプリケーションは、パスワードの再入力を必要とするのではなく、ユーザーのIDを確認するためにこれらのチケットとトークンを再利用できます。Kerberosは、Microsoft Active Directory(Azure Active Directory)、Red Hat® Enterprise Linux®、AWS、Google Cloud、macOSなど、世界最大級のディレクトリー・サービスやクラウド・プロバイダーで広く使用されています。
  • Security Assertion Markup Language(SAML):SAMLは、シングル・サインオン(SSO)を可能にするXMLベースのプロトコルです。SSOとは、ユーザーが1つの認証情報のセットを使って複数のアプリケーションにログインできるようにする認証システムのことです。
  • ドメインネームシステム(DNS):ドメインネームシステム(DNS)は、google.comfacebook.comのような人間が把握しやすいドメイン名を、コンピュータがネットワーク上で互いを識別するために必要なInternet Protocol(IP)アドレスに変換するプロトコルです。DNSは、人間が判読できる名前とネットワークリソースを照合するためにディレクトリー・サービスに導入されることが多く、名前をより簡単に識別できるようにします。
AI Academy

ハイブリッドクラウドでAI対応を実現

IBMのエキスパートが主催するこのカリキュラムは、ビジネス・リーダーが成長を促進するAI投資に優先順位を付けるために必要な知識を習得できます。

ディレクトリー・サービス・コンポーネント

ディレクトリー・サービスの機能には、許可されたユーザー、デバイス、アプリケーションによるディレクトリー情報へのアクセスを可能にするディレクトリー・サービスの機能が不可欠です。ここでは、各コンポーネントについて詳しく見ていきます。

  • ディレクトリー・サーバー:ディレクトリー・サーバーは、データを保管する物理サーバーまたは仮想サーバーであり、ディレクトリー・サービスでのアクセスや管理が可能です。ディレクトリー・サーバーは、LDAP、LDAPS、DNSなどの一般的なプロトコルを利用して、許可されたユーザー、デバイス、アプリケーションが簡単にアクセスできる階層構造のネットワーク・リソースに関する情報を管理します。
  • ディレクトリクライアント:ディレクトリクライアントは、ユーザー認証やID管理などのオペレーションをディレクトリサーバー上で実行できるようにするアプリケーションです。ディレクトリー・サーバーと同様、ディレクトリー・クライアントはその機能において共通のディレクトリー・サービス・プロトコルに依存しています。
  • ディレクトリ情報ツリー(DIT):DITは、ディレクトリ・サービス内の情報の階層組織です。これらは、ユーザー、グループ、アプリケーション、デバイスを表す個々のエントリーで構成されています。強力なDIT構造により、承認されたユーザーがディレクトリ・データに迅速かつ安全にアクセスできるようになります。これは、ディレクトリ・サービスの中核機能です。
  • スキーマ:ディレクトリー・スキーマは、ディレクトリー・サービス・データベース内の情報を定義する別の方法です。DITは階層型ですが、スキーマは個々のディレクトリー・オブジェクトがディレクトリー・サービスにどのように保管されるか、およびその一意のプロパティーを定義し、データベース全体にわたって一貫した方法でデータが定義されるようにします。
  • 複製ツール:複製ツールは、レプリケーション・サーバー・インスタンスとも呼ばれ、ディレクトリー情報の複製を可能にするソフトウェア・プロセスです。ディレクトリ情報の複製は、フォールトトレランスや災害復旧(DR)など、ディレクトリサービスのいくつかの重要な機能を提供します。

ディレクトリー・サービスのメリット

現代の企業は、幅広い機能を実現するためにディレクトリー・サービスに依存しています。セキュリティーやコンプライアンスの強化から高可用性の実現まで、ここではディレクトリー・サービスのエンタープライズ上の最大のメリットを見ていきます。

簡素化された認証手順

ディレクトリー・サービスは、ユーザーがデータベースのさまざまな部分を移動するときに複数回認証を必要とする代わりに、異なるアプローチに焦点を当てています。これにより、ユーザーは一度認証するだけで、その後はトークンまたはチケットを使用してIDを確立することができます。

このアプローチにより、複数のパスワードを作成して保存する必要性が減り、データベース全体に同じ認証ポリシーを適用できるようになります。

自動アクセス制御

ディレクトリー・サービスを使用すると、管理者は権限とロールへのアプローチを一元化し、自動化できます。例えば、ユーザーやアプリケーションをグループに追加し、そのグループ内の他のユーザーと同じリソースへのアクセスを許可するプロセスを自動化できます。

このアプローチにより、管理タスクが簡素化および合理化され、手動プロセスにおける人為的ミスの可能性が減少します。

強力な暗号化とコンプライアンス

最新のディレクトリサービスには、最も強力な暗号化ツールが装備されており、通信とリソース共有の安全性を確保し、データ漏洩の可能性を低減します。

また、ディレクトリー・サービスが依存する多くの一般的なプロトコル(TLS、SSL、MFA、SAMLなど)は、HIPAAやSOC 2などのデータ・セキュリティーに関する最も厳格な基準にすでに準拠しています。

高可用性

ディレクトリー・サービスは、性能に影響を与えることなく、何百万もの認証リクエストを同時に処理するように設計されており、可用性の高いシステムとなっています。

ユーザーがアクセスしているディレクトリー・データのレプリカを幅広く分散することで、通常よりも重いワークロードを管理しながら、ダウンタイムを一貫して回避できます。

最新のクラウド環境との柔軟性

ディレクトリー・サービスは、物理リソースと仮想リソースの両方を活用し、シームレスにブレンドすることで、オンプレミスおよびクラウドベースの環境に簡単に統合できます。

アプリケーション・プログラミング・インターフェース(API)は、人事データベース、顧客関係管理(CRM)システム、広く使用されているWebアプリケーションなどの一般的なシステムとディレクトリサービスを簡単に統合するのに役立ちます。

ディレクトリー・サービスの課題

他の最新の複雑な分散システムと同様に、ディレクトリサービスも人工知能(AI)モノのインターネット(IoT)のような新技術によってもたらされるネットワークデータの膨大な増加への対応に苦慮しています。

以前よりも多くのアプリケーション、ユーザー、デバイスが情報にアクセスして共有するため、最も洗練されたディレクトリ・サービスでさえ新たな課題に直面しています。

データ一貫性

データの一貫性(つまり、すべてのコピーまたはインスタンスが同じデータの状態)を維持することは、ディレクトリー・サービスにおいて常に課題となっています。

新しいテクノロジーのニーズを満たすためにデータベースが大規模で複雑になるにつれて、データレプリカを最新の状態に保つことが困難になり、システムの性能に影響を与える可能性があります。

中断のないアクセス

サポートを必要とする全ての多様なユーザーおよびアプリケーションにディレクトリサービスへの中断のないアクセスを提供することは、複雑でリソースを大量に消費するタスクです。

フォールト・トレランス(コンポーネントやシステムに障害が発生した場合でも、運用を維持する能力)には、強力な手順テストと冗長性が必要であり、そうでなければシステムが障害を起こし、ダウンタイムが発生することになります。

サイバー脅威

ディレクトリサービスは、悪質な行為者やサイバー脅威にとって魅力的な標的です。なぜなら、ディレクトリサービスには、サポートする組織の中核的なビジネスプロセスにとって重要な、貴重な情報が含まれているからです。

攻撃者は、ランサムウェアや個人情報窃盗を含む幅広い標的型攻撃をデプロイし、ディレクトリデータに不正にアクセスし、それを利用して企業に損害を与えます。

主なディレクトリー・サービスのユースケース

ディレクトリー・サービスはエンタープライズ・レベルで広く使用されており、幅広いユースケースをサポートしています。最も一般的なものをいくつかご紹介します。

IDおよびアクセス管理(IAM)

ディレクトリサービスは、シームレスな認証プロセス(シングルサインオン(SSO)など)、自動化されたコンプライアンス機能、デジタルIDを管理するための一元的なアプローチを通じて、IDおよびアクセス管理(IAM)をサポートします。IAMは、チームがクラウドアプリケーションを使用して効率的かつ安全に共同作業できるようにするサイバーセキュリティープロセスです。

最近のレポートによると、世界のIAM市場の規模は、2023年に約180億米ドルに達しました。さらに、2032年までに610億米ドル以上成長し、年平均成長率(CAGR)は15.3%になると予測されています。1

多要素認証(MFA)

多要素認証(MFA)は、パスワードや生体認証情報など複数の証明手段を通じてユーザーの身元を検証する方法です。

ディレクトリー・サービスはMFAを使用して、ユーザーがパーソナル・コンピューター、タブレット、スマートフォンなどの複数のデバイスでリモートで作業している場合に、組織にさらなる保護層を提供します。ディレクトリー・ベースのMFAは、機密性の高いワークロードと情報を悪意のある攻撃者から保護し、ディレクトリー・ポリシーのコンプライアンスを確保するのに役立ちます。

Linuxおよびオープンソース環境

ディレクトリサービスにより、組織はオープンソースのコンピュート環境、つまり基礎となるソフトウェアが無償で提供され、誰でも利用し構築することができるコンピュートエコシステムを構成することができます。

たとえば、OpenLDAPはオープンソースのディレクトリー・サーバーであり、FreeIPAはオープンソースのIAMツールです。両者は、世界で最も人気のあるオープンソースのオペレーティングシステム(OS)であるLinuxを実行する組織向けのオープンソースディレクトリサービスを可能にします。

ハイブリッドクラウドとマルチクラウドの同期

ほとんどの現代企業は、デジタル・トランスフォーメーションの一環としてクラウドを活用しており、デジタル技術を組織のあらゆる領域に統合するための継続的な取り組みを行っています。ディレクトリサービスは、ハイブリッドクラウド環境とマルチクラウド環境の両方をサポートし、ITインフラストラクチャを最適化するために異なるタイプのクラウドを組み合わせたITアーキテクチャを実現します。

例えば、高度なディレクトリ・サービス・ソリューションは、プライベート・クラウドパブリック・クラウドの両方のインスタンスを保護し、ユーザーとアプリケーションの高速で一貫性のある認証を可能にします。

ネットワーク・リソースの最適化

ディレクトリー・サービスは、DNSやその他のネットワーク・システムとの統合を通じて、企業がユーザー・グループ、プリンター、ファイル・サーバーなどのクリティカルなネットワーク・リソースを最適化するのに役立ちます。

IT管理者は、複雑さやユーザー数に関係なく、最小限の労力でネットワーク上にリソースを構成してデプロイするためにディレクトリー・サービスを利用します。ディレクトリー・サービスは、ネットワーク・リソースを管理するための一元化されたハブを提供し、管理を簡素化し、SSOやその他の形式の認証を通じて、ユーザーが必要なリソースに即座にアクセスできるようにします。

AIとディレクトリー・サービスの未来

AI、特に生成AI(gen AI)の台頭は、以前は手入力が必要だったプロセスの自動化につながっているだけでなく、ディレクトリー・サービスの側面も根本的に変わりました。たとえば、ハイブリッドクラウド・アーキテクチャーだけでも、IBM Institute of Business Value(IBV)の報告によると、ユーザーの68%が生成AIの使用に関するポリシーまたはアプローチを既に正式に締結しています。

以前は静的データベースと考えられていたものの、AI搭載機能を備えた最新のディレクトリー・サービスは、よりスマートになり、適応性があり、さらには自律的になりつつあります。ここでは、ディレクトリー・サービスを変革するAI搭載の機能の3つの例を紹介します。

Directory-as-a-serviceソリューション

クラウドでは、機械学習(ML)ツールをデータに適用し、大量のデータをほぼリアルタイムで分析できる、拡張性の高い仮想インフラ・ツールをAIが活用します。

この機能により、ディレクトリー・サービスの側面を自動化するIAMソリューションであるDirectory-as-a-service(DaaS)テクノロジーの出現が可能になりました。DaaSソリューションは、ユーザーのオンボーディングを簡素化し、新しいアカウントをプロビジョニングするために、複雑なハイブリッドクラウドやマルチクラウド環境で人気が高まっています。

AIを活用した洞察

AI機能は、企業がディレクトリ・サービス・ソリューションにおけるユーザー行動に関する洞察を得る方法を大幅に強化しています。これらの機能は、ログイン時間、物理的な場所、リソース選択など、さまざまなデータポイントにわたるデータ分析を自動化するのに役立ちます。

AI分析はユーザーの行動パターンを検出できるため、データ侵害につながる前に脅威を検知できます。

自動化されたライフサイクル管理

AIツールは、データベースへの入力から、その使用、最終的な破棄に至るまでのデータを管理するアプローチであるデータライフサイクル管理(DLM)の側面を自動化するために使用されています。

AIツールは、新規ユーザーに最小権限の権限を自動的にプロビジョニングできます。権限の付与とは、タスクや役割の実行に必要な最小限の権限を新しいアカウントに付与するセキュリティー原則です。最小特権アクセスを自動化すると、手作業と人為的ミスの可能性が減ります。

関連ソリューション
IBM Cloud Infrastructure Center 

IBM Cloud Infrastructure Centerは、IBM zSystemsおよびIBM LinuxONE上のプライベートクラウドのインフラストラクチャーを管理するためのOpenStack互換ソフトウェア・プラットフォームです。

Cloud Infrastructure Centerの詳細はこちら
ITインフラストラクチャー・ソリューション

企業のハイブリッドクラウドとAI戦略のために設計された、サーバー、ストレージ、ソフトウェアを紹介します。

ITインフラストラクチャー・ソリューションはこちら
クラウド・ソリューション

安全性と柔軟性を備えたクラウドで、ビジネスの成長に合わせてリソースを無理なく拡張できます。

クラウド・ソリューション
詳細情報はこちら

IBMのハイブリッドクラウドとAI対応ソリューションで、企業インフラを変革しましょう。ビジネスを保護、拡張、モダナイズするために設計されたサーバー、ストレージ、ソフトウェアを発見したり、専門家のインサイトにアクセスして生成AIストラテジーを強化したりできます。

ITインフラストラクチャー・ソリューションはこちら 電子書籍を読む
脚注

1. IAM market size、Fortune Business Insights、2025年10月