Active Directory(AD)を使った認証は、多くの組織で今も中核にあります。一方で、セキュリティ強化の流れの中で「MFAを適用したい」というニーズは年々高まっています。
ところが現場では、クラウドサービスやWebアプリにはMFAを導入できても、AD認証が関与する領域だけが“例外”として残ってしまうケースが少なくありません。特権アカウント、リモートアクセス、レガシーな業務システムなど、まさに攻撃者に狙われやすいポイントほど、対策が後回しになりがちです。
こうしたAD認証への包括的なMFA適用を、既存環境を大きく変えずに実現する手段として、弊社ではSilverfortをご提案しています。
本ブログでは、Silverfortを活用してAD認証へのMFA適用をどのように実現できるのか、その考え方と概要を紹介します。
AD認証へのMFA適用はなぜ難しい?どう実現する?
具体的なSilverfortの紹介に入る前に、背景を少しだけ整理します。
「既存のAD基盤に手を入れずに、AD認証へMFAを適用するのは難しい」と感じている方は多いのではないでしょうか。背景には、AD認証で広く使われるNTLM/Kerberosでは、認証フローの途中にMFAのような“追加ステップ”を差し込むことが前提になっていない、という事情があります。
そのため、AD認証にMFAを適用する方法は、現実的には大きく次の3つに分かれます。
- AD中心の認証から脱却し、クラウド前提のID基盤へ移行する
方向性としては理想ですが、業務システム側の更改や移行が絡みやすく、長期プロジェクトになりがちです。 - 業務システム側で追加認証を実装する
システム改修が必要で、対象が増えるほど負担が増えます。加えて、RDPやSSHのようにアプリを介さないアクセスでは“抜け”が残りやすい点も悩みどころです。 - AD認証を置き換えず、認証のタイミングに介入して追加の判定(必要に応じてMFA)を行う
短期間で着手しやすく、既存環境への影影響を抑えやすいことから、現実解として検討されることが増えています。
AD認証に対してSilverfortがどのようにMFAを適用するのか
Silverfortは、「認証に介入する」アプローチを実現するソリューションです。ポイントは、Active Directoryを置き換えるのではなく、AD認証が発生したタイミングでSilverfortが介入し、条件に応じてMFAを要求できることにあります。
導入イメージはシンプルです。組織内に仮想アプライアンスとして管理コンポーネントを配置し、AD(ドメインコントローラー)側には軽量な専用コンポーネントを導入します。ADが認証可否を判断する流れはそのままに、Silverfort側がポリシーに基づいて「MFAを要求するか」「そのまま許可するか」「遮断するか」を追加で判断します。
重要なのは、ADが拒否した認証がSilverfort側の判断だけで通ってしまう、といったことは起きない点です。あくまでAD認証に“追加の判定”を重ねる形で、両方の条件を満たした場合にのみアクセスが成立します。また、既存のMFA基盤を活かした連携も選びやすく、現場の運用に合わせて段階的に適用範囲を広げやすいのも特徴です。
まとめ
AD認証にMFAを適用したいのに、例外が残って前に進まない――この悩みは珍しくありません。しかも、例外として残りやすいのは特権アカウントやリモートアクセスなど、影響の大きい領域であることが多く、「どこかで手を付けたい」と感じている方も多いはずです。
Silverfortは、既存環境や業務システムを大きく変えずに、AD認証に対してMFAを追加適用するための現実的なアプローチを提供します。加えて、統合アイデンティティセキュリティソリューションとして、アイデンティティや認証の可視化・分析・制御といった機能も備えています。そのため、すでに課題になっているAD認証へのMFA適用を進めるだけでなく、「どこでAD認証が使われているか」「どこが例外として残っているか」を整理し、優先順位を付けて段階的に強化していく取り組みにもつなげやすくなります。
サイバー攻撃の被害報告が絶えない中、認証まわりの対策強化を検討している方は、AD認証の“例外”をどのように埋めるべきか、今こそ整理を始めませんか。まずは現状の認証構成や運用状況を簡単にヒアリングし、どこから着手すべきかを一緒に整理するところから進められます。
Silverfortを活用した進め方も含めて、AD認証へのMFA適用でお悩みの方はぜひお気軽にご相談ください。
なお、本ブログの内容をより丁寧に詳しくまとめているホワイトペーパーもございます。AD認証に MFA を適用するための具体的な3つのアプローチ方法をご紹介しているのでこちらもぜひ参照ください。
