クラウドストライク2026年版グローバル脅威レポートエグゼクティブサマリー:AI時代に必読の脅威インテリジェンスレポート
ダウンロード

Active Directoryフェデレーションサービス (AD FS) とは

Active Directoryフェデレーションサービス (AD FS) は、Microsoftによって開発されたSSO(シングルサインオン) 機能であり、組織のActive Directory (AD) 内のあらゆるドメイン、デバイス、Webアプリケーション、またはシステム、さらに承認されたサードパーティのシステムへの安全で認証されたアクセスを提供します。

AD FSはフェデレーション型であり、ユーザーのアイデンティティを一元化します。これにより、各ユーザーは既存のAD認証情報を使用して、企業ネットワーク内のアプリケーションにアクセスでき、クラウドネットワーク、SaaSアプリケーション、他社のエクストラネットなど、組織外の信頼できるソースによってアプリケーションにアクセスできます。AD FSはまた、ユーザーがクラウド経由でリモートワーク中にも、ADと統合されたアプリケーションにアクセスできるようにします。

AD FSの目的は、操作性を簡素化しつつ、組織が強力なセキュリティポリシーを維持できるようにすることです。AD FSを利用すると、ユーザーは1つのオンライン認証情報を作成して覚えておくだけで、多数のアプリケーション、システム、アセットにアクセスできます。

アイデンティティ保護戦略策定の完全ガイド

レジリエンスの高いアイデンティティセキュリティポスチャに向けた第一歩を踏み出し、アイデンティティ保護戦略策定の完全ガイドをダウンロードして、組織のデジタルアイデンティティ環境を今すぐ保護しましょう。

 今すぐダウンロード

AD FSの仕組み

AD FSは一般的なSSOと非常によく似た仕組みで動作し、ユーザーのアイデンティティを認証し、そのアクセス特権を確認します。

ユーザーのアイデンティティの確認

AD FSのSSOは、ユーザーのアイデンティティを確認するために、会社のデータリポジトリにある情報を活用します。これには、氏名、従業員番号、電話番号、従業員ID、Eメールアドレスなどの2つ以上の情報が使用されます。

ユーザーの要求の管理

AD FSは、要求ベースの認証モデルに従っています。これは、各ユーザーに関連するアクセス権(要求)を含むセキュアなトークンをシステムが生成することを意味します。ユーザーがシステムにアクセスしようとすると、AD FSはその要求をADまたはAzure AD(現在はEntra IDと呼ばれています)内でユーザーが利用を許可されているシステムやアプリケーションの一覧と照合します。このチェックには、組織の内部アセットだけでなく、サードパーティのシステムも含まれます。

フェデレーション型トラスト

AD FSによるサードパーティシステムの認証は、Active Directoryと外部アプリケーションが使用するプロキシサービスを通じて行われ、ユーザーのアイデンティティと要求ルールの両方を組み合わせます。この機能は「フェデレーション型トラスト」または「パーティトラスト」として知られており、ユーザーはアプリケーションごとに直接アイデンティティの認証を行う必要を回避できます。

詳細

Falcon OverWatchは、お客様のチームの一員として機能する脅威検知の専門家集団です。クラウドストライクがどのようにして隠れた攻撃を高い効果と効率で検知して阻止できるのかをご覧ください。

詳細を見る:プロアクティブなマネージド脅威ハンティング

AD FSの認証プロセス

AD FSの認証プロセスは、基本的に次の5つのステップで構成されています。

  1. ユーザーがAD FSサービスに関連付けられたリンクにアクセスし、自分のユーザー認証情報を入力します。
  2. AD FSサービスがユーザーのアイデンティティを認証します。
  3. AD FSツールが、ユーザーに対してパーソナライズされた認証要求を生成し、ユーザーが利用を許可されているアセットを一覧表示します。
  4. ユーザーが他のアプリケーションへアクセスしようとした際には、AD FSサービスがこの要求をそれらのアプリケーションに転送します。
  5. 対象のアプリケーションは、要求に記載された条件に基づいて、アクションを許可または拒否します。

組織がAD FSを使用する理由

従業員は日常的に数百のアプリケーションにアクセスして仕事を行っています。これにより、アプリケーションごとに個別にサインオンを認証する必要をなくし、セキュリティを保護する認証またはアイデンティティ管理ツールへのニーズが強まります。AD FSのようなSSOサービスは、エンドユーザーと組織の両方に多くの利点を提供します。

エンドユーザーにとってのAD FSの利点

  • シンプル。AD FSを使用すると、エンドユーザーは内部および外部の複数のアプリケーションやシステムで1つの認証情報を使用でき、複数の認証情報を作成して覚える手間を省くことができます。
  • 操作性の向上。一度AD FSによってアイデンティティが認証されると、ユーザーは内部および外部のアプリケーション間をシームレスに移動することができます。このアイデンティティ管理ツールにより、パスワードの入力などで作業の流れを中断する必要がなくなります。
  • 効率性の向上。AD FSは、あらゆる数のWebアプリケーション、システム、デバイス間でシームレスなアクセスを提供します。エンドユーザーにとっては、これにより1つの作業から次の作業へスムーズに移行できることを意味します。

AD FSを使用する理由:組織にとってのAD FSの利点

  • ITサポートの削減。最も一般的なヘルプデスクの要求の1つは、忘れたパスワード、紛失したパスワード、または期限切れのパスワードのリセットです。AD FSを使用することで、IT部門は定期的なパスワード関連の問題にかかる時間を削減し、より価値の高い業務に集中できます。また、新しいアカウントの認証情報の設定にかかる時間も短縮されます。
  • 簡素化された非アクティブ化。従業員が退職した場合、AD FSは関連するすべてのサービスやアセットのシンプルで効率的な非アクティブ化プロセスを提供します。各アカウントを個別に認証解除する手間やミスを避けるために、IT部門はAD FS内でユーザーと関連する要求を一括で非アクティブ化することができます。
  • 組織の効率性。従業員が仕事をより効率的にこなすと、組織の効率も向上します。AD FSにより操作性の煩わしさが解消され、従業員の生産性が向上します。
  • セキュリティの向上。AD FSを使用することで、エンドユーザーが古いパスワードを再利用したり、アプリケーション間で同じパスワードを使い回したり、パスワードをメモしたりする必要が自然に減少します。これにより、デジタル攻撃者が解読したパスワードを使って、関連する複数のアカウントにアクセスする可能性が低くなります。

詳細

クラウドストライクは、アイデンティティ、振る舞い、リスクの分析を使用して、リアルタイムの脅威防御とITポリシーの適用を行い、シームレスなゼロトラストセキュリティを実現します。

詳細を見る:CrowdStrike Falcon® Next-Gen Identity Security

AD FSの制限と欠点

AD FSには、組織がビジネス戦略の一環として考慮すべきいくつかの重要な制限や欠点があります。

インフラストラクチャのコスト。AD FSはWindows Serverで無料の機能として利用できますが、動作させるにはWindows Serverのライセンスと専用のサーバーが必要です。

運用とメンテナンスのコスト。ライセンスやサーバーといったインフラストラクチャ投資に加えて、AD FSの運用とメンテナンスには組織に追加のコストがかかります。特に、ADドメインと外部アプリケーションとの間の当事者の信頼を維持するには、深い技術的専門知識とIT部門からのサポートが必要です。これは、Azure環境ではさらに複雑になることがあります。AD FSは、インフラストラクチャのアップグレード、フェデレーション管理、セキュアソケットレイヤー (SSL) 証明書コストなどのセキュリティ投資に関連する高い運用コストとメンテナンスコストも発生させます。

複雑さ。AD FSは操作性を簡素化しますが、特にクラウドやMicrosoft Azureでの設定、展開、運用は非常に複雑です。ターゲットアプリケーションをサービスに追加するには、かなりの技術的スキルが必要です。皮肉なことに、AD FSの操作性は直感的ではなく、特別な訓練を受けたIT専門家が管理する必要があります。

AD FSのその他の制限事項

  • AD FSは、ユーザーまたはグループ間でのファイルの共有をサポートしていません。
  • AD FSはプリントサーバーをサポートしていません。
  • AD FSはほとんどのリモートデスクトップ接続をサポートしていません。
  • AD FSはActive Directoryリソースにアクセスできません。

AD FSのコンポーネントと設計要素

AD FSのコンポーネント:

Entra ID (Azure AD):Microsoftの独自のディレクトリサービスで、ネットワーク管理者がすべてのネットワークリソースに対してアカウントの特権を割り当てて管理できるようにします。

AD FSサーバー:セキュリティトークンやCookieなどの認証アセットを維持および保存する専用のサーバーです。

Azure AD Connect:Active DirectoryとAzure ADを接続するモジュールで、ハイブリッド展開で一般的に使用されます。

フェデレーションサーバー:ホストのADに基づいた共通のセキュリティトークンを使用して、異なる企業間で複数のシステムへの認証およびアクセスサービスを提供するSSOツールです。

フェデレーションサーバープロキシ:ADと外部ターゲット間のゲートウェイで、フェデレーションサーバーとアクセス要求を調整します。

AD FSとクラウドアイデンティティの比較

AD FSは、現在市場に出回っているSSOやフェデレーションツールの中で唯一の選択肢というわけではありません。一部の組織では、サードパーティのクラウドアイデンティティサービスやクラウドベースのアイデンティティ管理ツールを利用することで、同様の機能をより低コストで実現できる場合もあります。

クラウドアイデンティティ認証は、クラウドに関連する運用コストが低いため、コスト効率が高い傾向があります。このツールは、数百ものアプリケーションとのシームレスな統合も提供しています。

組織は、サイバーセキュリティパートナーと協力して自社に最適な認証ツールを選定する必要があります。

AD FSとサイバーセキュリティ

リモートワークへの移行やクラウドへの依存が進む中、企業はユーザー認証やアクセス特権の付与方法を見直す必要があります。AD FSはシームレスかつ効率的なアクセスを提供しますが、重大なセキュリティリスクを伴う可能性もあります。

AD FSが継続的に監視され、パッチが適用されていること、そしてその他のセキュリティリスクもサイバーセキュリティ戦略の中で対処されていることを確実にするためには、サイバーセキュリティパートナーと協力する必要があります。

クラウドストライクは、AD FSを安全に活用する組織向けに、次の3つのベストプラクティスを提供しています。

  1. オンプレミスとMicrosoft Azureの両方におけるADフォレストの可視性を統合する。認証ポリシー、ユーザーロール、アクセス特権、人間のアカウントおよびサービスアカウントにおけるセキュリティギャップや、オンプレミス環境とMicrosoft Entra ID全体にわたるアクセスの逸脱を特定します。
  2. 条件付きアクセスによってADセキュリティを強化する。エンドポイント、サーバー、アプリケーション、場所、ユーザーロールやグループといったエンティティに関連付けられたユーザーの振る舞いに基づいて、リスクを継続的に評価するサイバーセキュリティツールを活用します。このツールは、異常が検出された際にも条件付きアクセスを強制できる必要があります。これにより、高リスクなアクセスを防ぎ、信頼できるアクセスにはスムーズな利用体験を提供できます。
  3. インシデントの調査と対応を一元化する。サイバーセキュリティソリューションが、タイムスタンプ、アクティビティ、送信元および送信先を含む、疑わしいまたは異常なアクティビティの詳細なレポートを生成するようにします。

ナレンドランは、CrowdStrikeのID保護およびゼロトラストの製品マーケティングディレクターです。同氏は、サイバーセキュリティのスタートアップ、およびHPやSolarWindsなどの大企業で製品マーケティングとGTM戦略の推進業務を17年以上努めてきました。以前は、CrowdStrikeが買収したPreempt Securityで製品マーケティングディレクターを務めていました。ナレンドランは、ドイツのキール大学でコンピューターサイエンスの修士号を取得しています。