今回のジョーシス ラーニングのテーマは「パスワードレスなAzure ADの運用事例」です。

Web制作会社にてプログラマーとしてのキャリアを培われ、その後も複数の企業で社内SEや情シス第一線で活躍されてきた、鈴木直文さん（株式会社ペイジェント 情報システムグループ グループリーダー）に、Azure ADを用いたパスワードレスの運用方法について自社の事例を交えて解説していただきました。

前編では、株式会社ペイジェントにおけるパスワードレスの導入から運用方法について、前任担当者から引き継いだ当時の課題感も含めてリアルな内容を解説いただきました。そして後編では、読者からいただいたQ&Aを中心にさらに踏み込んだ内容をお届けします。

＜スピーカー＞
鈴木 直文｜株式会社ペイジェント 情報システムグループ グループリーダー

パスワードレス化は、どこから着手するのが良いか？

――　パスワードレス化に興味があるものの、どこから着手すれば良いかわからないと悩みを抱える企業も多いかと思います。例えば、全社プロジェクトとして一気に進めるのが良いのか、まずは一部の部署だけで進めて徐々に広げていくのが良いのか、そのあたりのご意見があれば聞かせてください。

鈴木さん：「パスワードレス化」という言葉自体が、今や情シス部門のキーワードとなっており、言葉だけが一人歩きしている印象です。一言でパスワードレスといっても範囲が広いので、まずは対象を限定することをおすすめします。

例えば、すでにAzure ADを導入している企業であれば、他のツールに対してはSAML（サムル）でシングルサインオンを導入することもできると思います。それも、ある種のパスワードレス化になると考えますね。

ただしSAMLが使えない場合や、社内ツールの場合はわざわざシステムを開発しなければいけなくなります。そういった場合は、1PasswordやMicrosoft Authenticatorなどの「パスワードマネージャーツール」を導入していくのがやりやすい方法だと思います。

もし、Azure ADを使ってパスワードレス化を進めたい場合は、社内の一部の部署や情シス内でテストグループを作るのがおすすめです。そこでテスト環境を通じて、従業員から想定される質問や、従業員のITリテラシー的に問題なく対応できるかどうかを検討したり、マニュアルの内容などを検証していく必要があります。

IDとアカウントの違い、管理のポイントについては、そもそもアイデンティティとは？でわかりやすく解説していますので、ご参考になさってください。

読者からのQAセッション

今回のジョーシス ラーニングでは、読者の方からも積極的に質問をいただきました。パスワードレス化に興味がありながらも、実際にどのように進めれば良いかわからない方にとっても参考になりそうです。

――　ペイジェントさんがパスワードレス化を導入された際に、社内で混乱が起きたり、問題が発生したりすることはありましたか？

鈴木さん：当社では、まったくなかったですね。というのも、パスワードレス化を行ったのは、当社が事業譲渡をしたタイミングでしたので、Azure ADの導入からパソコンの購入、キッティングまで一気に行ったんです。そのため、自分たちがやりやすいように切り替えることができたのが良かったですね。

――　オンプレADやオンプレのファイルサーバーなどは利用されていなかったのでしょうか？

鈴木さん：事業譲渡前の話になりますが、オンプレのNASはありましたね。ただし、先程もお伝えしたとおり、事業譲渡によってゼロから作り上げられるタイミングでしたので、オンプレ環境からフルクラウドに移行することができました。

世の中にはオンプレADを使っている企業もまだまだ多いと思いますが、オンプレADを使ったパスワードレス化は結構苦労されるのではないかと感じています。もし、オンプレADを残すのであれば、別の認証基盤を新たに構築した方が良いのではないかとも考えます。

――　パスワードレス化にあたって、スマートフォンのMFA（多要素認証）が必須だと思いますが、スマートフォンは会社から貸与していますか。私物デバイスの使用も許可していますか。

鈴木さん：はい、当社では私物スマートフォンの利用がマストです。会社からのデバイス貸与は一部の社員にしか行っていません。そもそも、情シス的には会社貸与であっても、私物デバイスであっても、どちらでも問題ないんですよ。

というのも、そもそもスマートフォンのMFA（多要素認証）にAzure ADの情報や情報資産が入っているかといえば、入っていません。ですから会社でデバイスを貸与する必要性がそもそもないんですよね。

加えて、仮に会社貸与のスマートフォンと私物のスマートフォンのどちらを他人に渡すか？と考えたら、「私物のスマートフォンを渡したくない」と答える人の方が多いのは想像に難くないですよね。

それであれば、はじめから私物スマートフォンを利用してもらった方が良いのではないかという結論に至ったんです。ただし、過去に一人だけスマートフォンを所有していない方がいたので、そのときは社用スマートフォンを貸与しましたね（笑）

――　私物スマートフォンの使用を許可した場合、デバイス本体にパスワード設定を強制しないと、盗難や紛失した際に社内サービスに不正ログインされるリスクが高まると思いますが、私物スマートフォンの使用ルールなどはありますか？

鈴木さん：現在当社の運用では、私物スマートフォンでもMDM（モバイルデバイス管理）に入れてもらい、一元管理しています。よくあるのが、私物スマートフォンでも社内GmailやSlackを見たいというものですが、そうした要望がある場合はMDMを設定させてもらっていますね。

ですので、盗難や紛失など何か問題が生じた場合でも、遠隔でデバイスからサービスを停止することが可能です。

――　ユーザーのパソコンを入れ替える際もパスワードレスでキッティングができるのでしょうか。例えば、すでに利用しているパソコンを新しいパソコンに入れ替えるといった場合などです。

鈴木さん：はい、パソコンを入れ替えの場合でも対応可能です。キッティング自体は情シスで行うので、新入社員にパソコンを支給するときと進め方は同じですね。入れ替え前のパソコンにパスワードがないので、パスワードをリセットし再発行してもらいます。

その際の注意点としては、Azure ADのポータルサイトからパスワードをリセットすると、必ずユーザーにメールで通知が飛んでしまい、設定したパスワードが分かってしまうんですね。一方、Microsoft365の管理センターからパスワードをリセットすると、ユーザーにメールが飛ばず、情シス側で自由にパスワードを設定できます。

ただし、パスワードを変更すると、新しいパソコンでパスワードの再入力が求められるケースもあるので、その場合は情シスまでパソコンを持参してもらい、こちらで認証作業を行います。このように、情シスとしては従業員にパスワードを絶対に教えない仕組みを作っています。

また近年ではフルリモート勤務も増えていると思いますが、その場合は入社時のタイミングで1回だけパスワードを使ってもらい、その後は「Microsoft Authentcator」などのアプリを使って、パスワードレス認証を進めていく形がおすすめです。

――　私物のスマートフォンにMDMを入れる場合、従業員への説明や反対意見への対応はどのように対応されましたか？

鈴木さん：MDMを入れたくないといった反対意見の多くは、会社に私物デバイスを管理されたくないということだと思いますが、どのような情報を管理しているかを説明資料の中に記載するなどして理解してもらうようにしています。

それでも嫌だという場合は、「それであれば私物スマートフォンを業務に使わないでください。」とだけ伝えますね。そもそも会社としてはリモートワークも認めているので、普段からパソコンを持ち歩いてるわけです。

基本的に私物スマートフォンで社用ツールを使用する必要性はあまりないのですが、なかには営業職など業務上GmailやSlackのメッセージをすぐに確認したい方もいます。

その気持ち自体は理解しますが、情シスとしては「それであればMDMを入れてください」と丁寧に伝えて、理解いただくしかありません。会社としては、MDMを入れずして私用スマートフォンの業務利用するといった例外を作らないようにしています。

――　MDMに利用しているのは、AndroidもiPhoneもMicrosoft Intune（マイクロソフト・インチューン）でしょうか。

鈴木さん：2019年の時点ではインチューンを使っていましたね。現在はMac、社用iPhoneに関してはJamf（ジャムフ）を使用しています。デバイス管理にコストをかけても良いのであれば、すべてJamfを使いたいですが、インチューンはリーズナブルなんですよね。そこは予算の兼ね合いもあり、使い分けています。

――　パスワードレス移行にかかる期間（準備〜運用まで）はどれくらいでしょうか。もちろん企業規模によっても異なると思いますが、参考までにペイジェントさんの場合はどれくらい期間を要したのでしょうか。

鈴木さん：当社は現在350名ほどの従業員が在籍していますが、事業譲渡のタイミングでは300名弱でした。構成を検討するのに約1ヵ月、テスト運用に約1ヵ月、また他ツールとの比較検討なども行なっていたので、ざっくりですが3ヵ月〜半年程度はかかったと思います。

もちろん企業規模や従業員数、使用するデバイス数によって負担も異なると思いますが、少なくとも3ヵ月はかかると思いますね。

――　そのときのために、ジョーシスのデバイス管理は有効活用できますね！本日は非常に中身の濃い内容をお話いただき大変ありがとうございました。

まとめ

今回の「ジョーシス ラーニング」では、複数の企業でプログラマーや社内SE、情シス部門で活躍されてきた、鈴木直文さんをお招きし、Azure ADを用いたパスワードレス化の進め方について、自社の運用事例を交えて解説いただきました。

鈴木さんからもお話いただいたとおり、スムーズなパスワードレス化を進めるためには、従業員のデバイス管理を徹底し、自社の現状を正確に把握することが第一歩です。

例えば、社内のIT資産（SaaS・デバイス）は、誰が、何を、どのような権限で持っているかを整理することも大切です。そもそも情シス部門の担当者が認知していないデバイスやアカウントが社内に存在している場合、適切な対処は難しくなります。

そこで活用したいのが「ジョーシス」です。100以上のアプリと簡単にAPI連携でき、シャドーITの検知も可能なため、情報漏えい防止にもつながります。IT資産の全数把握ができるため、自社のセキュリティ対策の第一歩にピッタリです。

今回ご紹介した内容を踏まえ、AzureAD、そしてジョーシスの導入を検討してみてはいかがでしょうか。

ジョーシスのブラウザ拡張機能によるシャドーITの検知・管理の実例は、Josys ブラウザ拡張機能によるシャドウ IT の管理で詳細に紹介しています。ぜひ導入のご参考にしてください。