ディレクトリー・サービスとは

ディレクトリー・サービスとIAMを組み合わせることで、組織はユーザー・アカウント、認証、アクセス制御、権限、およびネットワーク・セキュリティーのその他の重要な側面を制御できます。

インターネット、クラウド・コンピューティング、リモート・ワークの台頭により、ディレクトリ・サービスは、組織が分散コンピューティング・アーキテクチャを活用してコア・ビジネス・プロセスを強化する方法にとって極めて重要になっています。ディレクトリ・サービスは、ネットワークリソースの電話帳のように機能し、ユーザー、デバイス、その他のリソースに関する情報を保管することで、迅速かつ安全に接続できるようにします。

情報を行と列に編成する従来のリレーショナル・データベースとは異なり、ディレクトリー・サービスは階層的に設計されています。ネットワーク・リソースを簡単に識別できるように分類する方法である名前空間を使用するディレクトリー・サービスの階層構造により、何百万ものユーザーとデバイスがネットワーク上で情報を交換できます。

ディレクトリー・サービスは、クライアント/サーバー・モデルを中心に設計されています。つまり、一方のプログラムが「クライアント」で、もう一方のプログラムが「サーバー」である標準的なネットワーク設定です。ディレクトリサービスデータベースでは、クライアントは通常、ユーザー、デバイス、またはアプリケーションです。

クライアントは、ディレクトリー・サービス・データベースに含まれるリソースを検索します。一方、データベースは、リソースへのアクセスに必要な権限があるかどうかを確認する認証プロセスを実施します。このプロセスは「認証」と呼ばれます。

認証プロセスは、ユーザーまたはデバイスが要求されたリソースにアクセスできるかどうかを確立するため、ディレクトリー・サービス機能の中核をなしています。認証は、資格情報、検証、権限の3つのステップで行われます。

1. 資格情報：ユーザーまたはデバイスは、要求されたリソースにアクセスするための認証情報を送信します。認証情報の一般的な例には、ユーザー名、パスワード、ユーザーの身元を確立するために使用できる生体認証データなどがあります。
2. 検証：ディレクトリー・サーバーは、いくつかの共通プロトコルを使用して、ユーザーが誰であるか、またはユーザーが本人であることを検証します。ユーザーのIDが確立されると、ディレクトリー・サーバーは、そのユーザーが遭遇する他のアプリケーションに提示できる認証チケットまたはトークンを提供します。
3. 権限：ユーザーのIDと認証情報が検証された後、ディレクトリー・サービス・データベースは、提供された情報を内部アクセス制御リスト（ACL）と照合して、ユーザーがアクセス可能なリソースを決定します。

ディレクトリー・サーバーは、認証プロセスに加えて、ユーザーのIDを確認し、ユーザーがアクセスできるリソースを確立するために、他の一般的なプロトコルに依存する場合もあります。

• Lightweight Directory Access Protocol（LDAP）：ディレクトリ・データを管理する基本的なプロトコルであるLDAPは、アプリケーションがインターネットのような伝送制御プロトコル/インターネット・プロトコル（TCP/IP）ネットワーク経由で、ディレクトリ・サービス・データベースにクエリを実行し、ユーザーIDを管理することを可能にします。

• Kerberos：Kerberosは、時間制限のチケットまたはトークンを発行するチケット・ベースの認証プロトコルです。アプリケーションは、パスワードの再入力を必要とするのではなく、ユーザーのIDを確認するためにこれらのチケットとトークンを再利用できます。Kerberosは、Microsoft Active Directory（Azure Active Directory）、Red Hat® Enterprise Linux®、AWS、Google Cloud、macOSなど、世界最大級のディレクトリー・サービスやクラウド・プロバイダーで広く使用されています。

• Security Assertion Markup Language（SAML）：SAMLは、シングル・サインオン（SSO）を可能にするXMLベースのプロトコルです。SSOとは、ユーザーが1つの認証情報のセットを使って複数のアプリケーションにログインできるようにする認証システムのことです。

• ドメインネームシステム（DNS）：ドメインネームシステム（DNS）は、google.comやfacebook.comのような人間が把握しやすいドメイン名を、コンピュータがネットワーク上で互いを識別するために必要なInternet Protocol（IP）アドレスに変換するプロトコルです。DNSは、人間が判読できる名前とネットワークリソースを照合するためにディレクトリー・サービスに導入されることが多く、名前をより簡単に識別できるようにします。

ディレクトリー・サービスの機能には、許可されたユーザー、デバイス、アプリケーションによるディレクトリー情報へのアクセスを可能にするディレクトリー・サービスの機能が不可欠です。ここでは、各コンポーネントについて詳しく見ていきます。

• ディレクトリー・サーバー：ディレクトリー・サーバーは、データを保管する物理サーバーまたは仮想サーバーであり、ディレクトリー・サービスでのアクセスや管理が可能です。ディレクトリー・サーバーは、LDAP、LDAPS、DNSなどの一般的なプロトコルを利用して、許可されたユーザー、デバイス、アプリケーションが簡単にアクセスできる階層構造のネットワーク・リソースに関する情報を管理します。

• ディレクトリクライアント：ディレクトリクライアントは、ユーザー認証やID管理などのオペレーションをディレクトリサーバー上で実行できるようにするアプリケーションです。ディレクトリー・サーバーと同様、ディレクトリー・クライアントはその機能において共通のディレクトリー・サービス・プロトコルに依存しています。

• ディレクトリ情報ツリー（DIT）：DITは、ディレクトリ・サービス内の情報の階層組織です。これらは、ユーザー、グループ、アプリケーション、デバイスを表す個々のエントリーで構成されています。強力なDIT構造により、承認されたユーザーがディレクトリ・データに迅速かつ安全にアクセスできるようになります。これは、ディレクトリ・サービスの中核機能です。

• スキーマ：ディレクトリー・スキーマは、ディレクトリー・サービス・データベース内の情報を定義する別の方法です。DITは階層型ですが、スキーマは個々のディレクトリー・オブジェクトがディレクトリー・サービスにどのように保管されるか、およびその一意のプロパティーを定義し、データベース全体にわたって一貫した方法でデータが定義されるようにします。

• 複製ツール：複製ツールは、レプリケーション・サーバー・インスタンスとも呼ばれ、ディレクトリー情報の複製を可能にするソフトウェア・プロセスです。ディレクトリ情報の複製は、フォールトトレランスや災害復旧（DR）など、ディレクトリサービスのいくつかの重要な機能を提供します。

現代の企業は、幅広い機能を実現するためにディレクトリー・サービスに依存しています。セキュリティーやコンプライアンスの強化から高可用性の実現まで、ここではディレクトリー・サービスのエンタープライズ上の最大のメリットを見ていきます。

ディレクトリー・サービスは、ユーザーがデータベースのさまざまな部分を移動するときに複数回認証を必要とする代わりに、異なるアプローチに焦点を当てています。これにより、ユーザーは一度認証するだけで、その後はトークンまたはチケットを使用してIDを確立することができます。

このアプローチにより、複数のパスワードを作成して保存する必要性が減り、データベース全体に同じ認証ポリシーを適用できるようになります。

ディレクトリー・サービスを使用すると、管理者は権限とロールへのアプローチを一元化し、自動化できます。例えば、ユーザーやアプリケーションをグループに追加し、そのグループ内の他のユーザーと同じリソースへのアクセスを許可するプロセスを自動化できます。

このアプローチにより、管理タスクが簡素化および合理化され、手動プロセスにおける人為的ミスの可能性が減少します。

最新のディレクトリサービスには、最も強力な暗号化ツールが装備されており、通信とリソース共有の安全性を確保し、データ漏洩の可能性を低減します。

また、ディレクトリー・サービスが依存する多くの一般的なプロトコル（TLS、SSL、MFA、SAMLなど）は、HIPAAやSOC 2などのデータ・セキュリティーに関する最も厳格な基準にすでに準拠しています。

ディレクトリー・サービスは、性能に影響を与えることなく、何百万もの認証リクエストを同時に処理するように設計されており、可用性の高いシステムとなっています。

ユーザーがアクセスしているディレクトリー・データのレプリカを幅広く分散することで、通常よりも重いワークロードを管理しながら、ダウンタイムを一貫して回避できます。

ディレクトリー・サービスは、物理リソースと仮想リソースの両方を活用し、シームレスにブレンドすることで、オンプレミスおよびクラウドベースの環境に簡単に統合できます。

アプリケーション・プログラミング・インターフェース（API）は、人事データベース、顧客関係管理（CRM）システム、広く使用されているWebアプリケーションなどの一般的なシステムとディレクトリサービスを簡単に統合するのに役立ちます。

他の最新の複雑な分散システムと同様に、ディレクトリサービスも人工知能（AI）やモノのインターネット（IoT）のような新技術によってもたらされるネットワークデータの膨大な増加への対応に苦慮しています。

以前よりも多くのアプリケーション、ユーザー、デバイスが情報にアクセスして共有するため、最も洗練されたディレクトリ・サービスでさえ新たな課題に直面しています。

データの一貫性（つまり、すべてのコピーまたはインスタンスが同じデータの状態）を維持することは、ディレクトリー・サービスにおいて常に課題となっています。

新しいテクノロジーのニーズを満たすためにデータベースが大規模で複雑になるにつれて、データレプリカを最新の状態に保つことが困難になり、システムの性能に影響を与える可能性があります。

サポートを必要とする全ての多様なユーザーおよびアプリケーションにディレクトリサービスへの中断のないアクセスを提供することは、複雑でリソースを大量に消費するタスクです。

フォールト・トレランス（コンポーネントやシステムに障害が発生した場合でも、運用を維持する能力）には、強力な手順テストと冗長性が必要であり、そうでなければシステムが障害を起こし、ダウンタイムが発生することになります。

ディレクトリサービスは、悪質な行為者やサイバー脅威にとって魅力的な標的です。なぜなら、ディレクトリサービスには、サポートする組織の中核的なビジネスプロセスにとって重要な、貴重な情報が含まれているからです。

攻撃者は、ランサムウェアや個人情報窃盗を含む幅広い標的型攻撃をデプロイし、ディレクトリデータに不正にアクセスし、それを利用して企業に損害を与えます。

ディレクトリー・サービスはエンタープライズ・レベルで広く使用されており、幅広いユースケースをサポートしています。最も一般的なものをいくつかご紹介します。

ディレクトリサービスは、シームレスな認証プロセス（シングルサインオン（SSO）など）、自動化されたコンプライアンス機能、デジタルIDを管理するための一元的なアプローチを通じて、IDおよびアクセス管理（IAM）をサポートします。IAMは、チームがクラウドアプリケーションを使用して効率的かつ安全に共同作業できるようにするサイバーセキュリティープロセスです。

最近のレポートによると、世界のIAM市場の規模は、2023年に約180億米ドルに達しました。さらに、2032年までに610億米ドル以上成長し、年平均成長率（CAGR）は15.3％になると予測されています。¹

多要素認証（MFA）は、パスワードや生体認証情報など複数の証明手段を通じてユーザーの身元を検証する方法です。

ディレクトリー・サービスはMFAを使用して、ユーザーがパーソナル・コンピューター、タブレット、スマートフォンなどの複数のデバイスでリモートで作業している場合に、組織にさらなる保護層を提供します。ディレクトリー・ベースのMFAは、機密性の高いワークロードと情報を悪意のある攻撃者から保護し、ディレクトリー・ポリシーのコンプライアンスを確保するのに役立ちます。

ディレクトリサービスにより、組織はオープンソースのコンピュート環境、つまり基礎となるソフトウェアが無償で提供され、誰でも利用し構築することができるコンピュートエコシステムを構成することができます。

たとえば、OpenLDAPはオープンソースのディレクトリー・サーバーであり、FreeIPAはオープンソースのIAMツールです。両者は、世界で最も人気のあるオープンソースのオペレーティングシステム（OS）であるLinuxを実行する組織向けのオープンソースディレクトリサービスを可能にします。

ほとんどの現代企業は、デジタル・トランスフォーメーションの一環としてクラウドを活用しており、デジタル技術を組織のあらゆる領域に統合するための継続的な取り組みを行っています。ディレクトリサービスは、ハイブリッドクラウド環境とマルチクラウド環境の両方をサポートし、ITインフラストラクチャを最適化するために異なるタイプのクラウドを組み合わせたITアーキテクチャを実現します。

例えば、高度なディレクトリ・サービス・ソリューションは、プライベート・クラウドとパブリック・クラウドの両方のインスタンスを保護し、ユーザーとアプリケーションの高速で一貫性のある認証を可能にします。

ディレクトリー・サービスは、DNSやその他のネットワーク・システムとの統合を通じて、企業がユーザー・グループ、プリンター、ファイル・サーバーなどのクリティカルなネットワーク・リソースを最適化するのに役立ちます。

IT管理者は、複雑さやユーザー数に関係なく、最小限の労力でネットワーク上にリソースを構成してデプロイするためにディレクトリー・サービスを利用します。ディレクトリー・サービスは、ネットワーク・リソースを管理するための一元化されたハブを提供し、管理を簡素化し、SSOやその他の形式の認証を通じて、ユーザーが必要なリソースに即座にアクセスできるようにします。

AI、特に生成AI（gen AI）の台頭は、以前は手入力が必要だったプロセスの自動化につながっているだけでなく、ディレクトリー・サービスの側面も根本的に変わりました。たとえば、ハイブリッドクラウド・アーキテクチャーだけでも、IBM Institute of Business Value（IBV）の報告によると、ユーザーの68%が生成AIの使用に関するポリシーまたはアプローチを既に正式に締結しています。

以前は静的データベースと考えられていたものの、AI搭載機能を備えた最新のディレクトリー・サービスは、よりスマートになり、適応性があり、さらには自律的になりつつあります。ここでは、ディレクトリー・サービスを変革するAI搭載の機能の3つの例を紹介します。