【Part 2：前編】マイクロソフト（MSFT）クラウド事業の強み：Azure ADとは？同社のサイバーセキュリティ戦略と将来性に迫る！

マイクロソフト（MSFT）のActive DirectoryとAzure ADとは？

Part 2では、マイクロソフト（MSFT）のオンプレミス型Active Directory（AD：ユーザーやデバイス、リソースの管理を行うための仕組み）の重要性と、それがクラウド向けにAzure AD（マイクロソフトが提供するクラウドベースのアイデンティティおよびアクセス管理サービス）としてどのように進化したかを掘り下げていきます。

このイノベーションは、同社のサイバーセキュリティ戦略において非常に重要な役割を果たしてきました。

Azure ADの詳細に入る前に、同社がサイバーセキュリティ分野で果たしている役割を、ネットワークセキュリティ、エンドポイントセキュリティ（PCやスマートフォンなどの端末「エンドポイント」を、ウイルスや不正アクセスから守るためのセキュリティ対策）、クラウドセキュリティ、アイデンティティ管理（ユーザーやデバイスなどのデジタルアイデンティティである「身元情報」を管理し、アクセス権限を制御する仕組み）の4つの柱に分けて理解しておくことが役立ちます。

これらの4つの柱は、サイバーセキュリティ業界の進化そのものを表しています。

1990年代にはネットワークセキュリティが最も重視され、ファイアウォール（外部のネットワークと内部のネットワークの間でデータのやり取りを監視し、不正なアクセスをブロックするためのセキュリティシステム）が主な防御策でした。

2000年代に入ると、ウイルス対策ソフトの普及によりエンドポイントセキュリティが重要になりました。

2010年代半ばには、クラウドコンピューティングの広がりとともにクラウドセキュリティが優先事項となり、近年では、特にパンデミック以降、アイデンティティ管理が分散型IT環境における重要な要素となりました。

アイデンティティは、今や安全なアクセスを支える基盤となり、マイクロソフトの大きな強みのひとつです。

同社のサイバーセキュリティの取り組みは、オンプレミスのADから始まったアイデンティティ管理を基盤に、その後、他の3つの柱へと拡大していきました。

アイデンティティ管理はサイバーセキュリティ分野の中でも最も重要な要素となり、「アイデンティティは新たな境界である」といったトレンドを推進し、ゼロトラスト（すべてのユーザーやデバイスを信頼せず、アクセスするたびに検証を行うセキュリティモデル）、アダプティブ認証（ユーザーの行動やリスクレベルに応じて認証方法を動的に変更するセキュリティ手法）、ワークロードアイデンティティ（クラウド上で動作するアプリケーションやサービス自体にアイデンティティを付与し、これらのワークロード「作業負荷」に対するアクセス管理を行う仕組み）といった技術の発展を支えています。

現在、MSFTは以下の4つの柱すべてにおいて競争しています：

・アイデンティティ管理：Active DirectoryとAzure AD（Microsoft Entraスイートに再ブランド化）。

主な競合企業：オクタ（OKTA）、フォージロック（FORG）、SailPoint。

・エンドポイントセキュリティ：Defender（主にサイバー脅威からデバイスやネットワーク、クラウド環境を保護するためのツール群）。XDR（複数のセキュリティツールやデータソースを統合し、脅威の検知、調査、対応を一元的に行うセキュリティソリューション）へと進化。

主な競合企業：クラウドストライク（CRWD）、センチネルワン（S）。

・クラウドセキュリティ：Defender for Cloud、クラウドワークロード保護（CWP：クラウド上で動作するアプリケーションやコンテナ、仮想マシンなどの「ワークロード」を保護するためのセキュリティソリューション）、CSPM（クラウドセキュリティポスチャ管理：クラウド環境の設定ミスや脆弱性を監視・管理し、セキュリティリスクを防ぐためのソリューション）、クラウドベースのファイアウォール。

主な競合企業：パロアルトネットワークス（PANW）、Wiz。

・ネットワークセキュリティ：Entra Private AccessやInternet Access。

主な競合企業：ゼットスケーラー（ZS）、Netskope。

マイクロソフトはこれらすべての分野で競争力のある製品を提供しており、必ずしも最高峰とは言えない場合もありますが、非常に強力なサービスを提供しています。

また、バンドル価格やE3/E5ライセンス（Microsoft 365の法人向けライセンスプランで、主にセキュリティや管理機能、アプリケーションの利用範囲が異なる）の提供により、強力な競争力を発揮しています。

Part 3では、競合との比較をさらに詳しく見ていきます。

Active Directoryを活用してマイクロソフト（MSFT）がオンプレミスからクラウドへの支配力を移行した方法

Part 1では、マイクロソフト（MSFT）がAzureをクラウド業界のリーダーに押し上げた優位性について触れましたが、今回は同社のサイバーセキュリティ事業に焦点を当てます。

Azure ADは、同社のクラウドセキュリティの基盤であり、Azure全体にわたって安全なアクセスを提供しています。

Azure ADはAzureに深く統合されており、デフォルトのIDおよびアクセス管理（IAM）サービスとして機能します。

これにより、仮想マシン（VM）やコンテナ、PaaS（Platform as a Service：アプリケーションの開発や運用に必要なプラットフォームをクラウド上で提供するサービス）などのインフラストラクチャに対する安全なアクセスが実現され、GitHubやAzure DevOpsなどの開発プラットフォームにもその機能が拡張されています。

また、多くの企業は、同社のSaaSアプリやセールスフォース（CRM）などのサードパーティのプラットフォームに安全にアクセスするためにAzure ADを利用しています。

そして、中央集約型のシングルサインオン（SSO：ユーザーが一度のログインで、複数のアプリケーションやサービスにアクセスできる仕組み）、多要素認証（MFA：ユーザーがログインする際に、パスワードに加えて、指紋認証等の追加の認証方法を組み合わせて本人確認を行う仕組み）、条件付きアクセスによって、セキュリティが強化され、アクセス管理が容易になっています。

Azure ADの影響力は非常に大きく、オクタ（OKTA）やフォージロック（FORG）といったIAMの競合他社ですら、Azure上でサービスを提供する際にはAzure ADとの連携が不可欠です。

マイクロソフトがオンプレミスのActive Directoryの支配力をクラウドに移行できた背景には、Active DirectoryをOpenID（ユーザーが1つのIDを使って複数のサイトやサービスにログインできる認証プロトコル）やOAuth 2.0（アプリケーションがユーザーの認証情報を直接扱わずに、Google等の他のサービスのユーザーデータにアクセスできるようにするための認可フレームワーク）、SAML（Security Assertion Markup Language：ユーザー認証とアクセス権限の情報を、異なるドメイン間で安全に交換するためのXMLベースの標準プロトコル）といった最新のプロトコルに対応させ、クラウド時代のニーズに合わせて再構築したことが大きな要因となっています。

Active Directoryの成功は1990年代に遡ります。

当時、多くの企業がスケーラブルなIAMソリューションを必要としており、マイクロソフトおよびサードパーティの環境でユーザーやデバイスを管理するために、Active Directoryは欠かせない存在となりました。

同社がクラウドにおいてもその優位性を保つためには、オンプレミス（企業や組織が自社の設備内でサーバーやシステムを設置・運用する形態）とクラウドの両環境でシームレスに動作することが不可欠だったのです。

Azure AD Connectは、オンプレミスのActive DirectoryとAzure ADを同期させ、ユーザーが一つのIDでオンプレミスとクラウドの両方にアクセスできるようにすることで、マイクロソフトのハイブリッドアイデンティティ戦略の要となりました。

このソリューションにより、企業はクラウドへの移行をスムーズに進めることができました。

また、マイクロソフトはオンプレミスとクラウドのアプリケーション間でシングルサインオン（SSO）を実現するためにADFS（Active Directory Federation Services：マイクロソフトが提供するシングルサインオン機能を実現するためのフェデレーションサービス）を導入し、企業のクラウド採用を後押ししています。

同社は、Azure AD Connect、Azure Hybrid、Azure Stackといったサービスを提供することで、企業が既存のインフラを活用しつつ、自分たちのペースでクラウドに移行できる環境を整え、スムーズな移行を支援しています。

Azure AD: マイクロソフト（MSFT）サイバーセキュリティエコシステムの基盤

Azure ADは、マイクロソフト（MSFT）のサイバーセキュリティプラットフォームを拡大する上で重要な役割を果たしています。

2011年にクラウドベースのエンドポイント管理プラットフォームとして導入されたIntune（PCやスマートフォン、タブレットなどのデバイスを一元的に管理し、アプリケーションの配布、セキュリティポリシーの適用、データ保護などを行う）は、Azure ADによって最初に強化されたソリューションの一つです。

Azure ADとIntuneの連携

Azure ADは、Intuneへのデバイス登録を簡単にします。

ユーザーがAzure ADの資格情報でサインインすると、そのデバイスは自動的にIntuneに登録され、即座にセキュリティポリシーが適用されます。

この自動化により、従業員は迅速に業務を開始できる一方で、デバイスが組織のセキュリティ基準に準拠していることが保証されます。

さらに、Azure ADのIAM機能はIntuneのデバイスコンプライアンスチェックと連携しています。

例えば、Azure ADの条件付きアクセスポリシーでは、セキュリティ基準を満たしたデバイスのみがアクセスできるようになっており、組織全体で一貫したセキュリティが確保されます。

Azure ADとDefenderの連携

Azure ADとIntuneが導入されている環境では、Microsoft Defender for Endpointの導入がよりスムーズになります。

Azure AD JoinとIntuneで管理されているデバイスには、Defenderが自動的にインストールされるため、手動での設定を必要とせず、統一された保護が提供されます。

これに対して、クラウドストライク（CRWD）やセンチネルワン（S）といったサードパーティのEPPソリューションを導入する場合は、追加の設定や互換性の問題が発生し、管理負担が増える可能性があります。

Defenderのテレメトリ機能（ソフトウェアやシステムが、動作状況やパフォーマンス、エラーデータなどの情報を自動的に収集し、管理者や開発者に送信する仕組み）は、Azure ADの条件付きアクセスを強化し、リスクの高いデバイスを特定して、問題が解決するまでアクセスを制限します。

IT管理者はIntuneを通じてアラートを受信し、セキュリティポリシーの管理や脅威への対応を一元管理できるため、作業効率も向上します。

Defenderブランドの拡大

Azure AD、Intune、Defender、そして新たなSSEソリューション（Secure Service Edgeソリューション：クラウドやネットワーク上で、セキュアなアクセスとセキュリティ機能を提供する一連のサービスのこと）を統合したマイクロソフトのスイートは、複数のベンダーを管理する複雑さを軽減するため、中小企業にとって魅力的な選択肢となっています。

さらに、Windows OSとの密接な連携により、脆弱性管理やエネルギー効率の向上においてもマイクロソフトは優位性を持っています。

（出所：Wikipedia）

Defenderは、エンドポイント保護だけでなく、クラウドワークロードの保護、アイデンティティ脅威の防止、脆弱性管理まで対応範囲を広げています。

これらのソリューションがAzure ADやIntuneと強力に連携することで、Defenderの成功がさらに強固な企業向け技術基盤を築き、マイクロソフトのエコシステムに匹敵する競合は少なくなっています。

次章では、マイクロソフトのサイバーセキュリティ業界での地位を揺るぎないものにする上で不可欠な「Microsoft Sentinel」と「Microsoft Entra」、そして、それらのAzure ADとの関係性について詳しく解説していきます。

※続きは「【Part 2：後編】マイクロソフト（MSFT）の将来性：SentinelとEntraとは？また、Azure ADとの関係は？」をご覧ください。

また、その他のマイクロソフト（MSFT）に関するレポートに関心がございましたら、是非、こちらのリンクより、マイクロソフトのページにアクセスしていただければと思います。

アナリスト紹介：コンヴェクィティ

📍テクノロジー担当

コンヴェクィティのその他のテクノロジー関連銘柄のレポートに関心がございましたら、是非、こちらのリンクより、コンヴェクィティのプロフィールページにアクセスしていただければと思います。