2016年03月19日

Active Directory祭りに参加!

規模に関わらず多くの組織の認証基盤として利用されているActive Directory、リリースから15年(16年?)になる。
そのActive Directoryだけのイベントが3/18(金)に日本マイクロソフト本社で開催されたので参加。5年前の「10周年イベント」には参加しなくて、ずーっと後悔していたので、今回は迷わず参加。
たぶん参加者は300人(!)くらい。満員御礼。SGT(MSが入ってるビルね)受付は長蛇の行列(休憩時間はトイレも行列)、スゴイ。平日開催、Active Directoryは昔からエンタープライズ利用が多い、ということもあって参加者のスーツ率が高い(年齢層も高い)。
イベントは3トラック、計12セッションで構成。MS社員さん、MVPさん、ユーザーさん、など多数の方々が登壇。全部お話聞きたかったぁ〜

NHKのプロフェッショナルの流儀にも出られた超有名人・及川さんや、Active Directory界隈の重鎮の方々(うむ、あれほど「重鎮」という言葉が似合う方々は他にいない!)によるActive Directory懐かしトーク(パネルディスカッション)では、「うん、うん、昔はそうだった!」と一時間ずっとうなずきっぱなしだったんで首がもげるかと思った。

今年後半にリリースされると思うWindows Server 2016のActive Directoryの新機能紹介では、AD DSの「必要な時だけ必要な権限を与えることができる、ってのはニーズ高いけどMIMのサブセット(?)でやるみたいだから少し敷居が高いのかなぁ」とか「AD FSが超絶強化されるからクラウド連携はこれしかないな」とかいろいろ思ったり。

自分的に一番インパクトがあったのは、セキュリティ系のセッションで、パッチが当たってない、セキュリティが無防備な環境ではいかに簡単にアカウント情報、認証情報、そして肝心の機密情報が盗まれるのか、のデモだった(プレゼンそのものもとても勉強になった。あんなトークができるようになりたい)。
多重的にいろんな対策を取らないと、こりゃホントにまずいな、と。自分自身への備忘録としてまとめると次のような対策なのかな。

  • PC ドメインコントローラーも、きっちりセキュリティ更新プログラムを当てる
  • 例えばクライアントOSであればWindows 10など、よりセキュアなものを使う
  • PCのローカル管理者のパスワードは異なるものにする(MSのあのツール使ったり)
  • 普段使っているアカウントにドメインの管理者権限割り当てない、ドメインコントローラーにアクセスするための専用PCを用意する
  • ドメインのAdministratorでなんでもかんでもやらない
  • イベントログはAzureとか別の場所にも保管する
  • Azure RMSみたいな仕組みで機密情報は暗号化する、仮に漏洩、盗まれても後追いで開けなくする
  • などなど
毎月毎月100台くらいのWindowsサーバーに更新プログラム適用作業をやり続けてるけど、これはずっと続けないとな、でももっと多重的な対策をしないとな、とか考えたり。

セッション終了後はSGT19Fで懇親会。業界有名人多数、久しぶりにお会いする方も多数。楽しかった(たぶん、お外でお酒飲むのは今年に入ってからは初めてだった)。今もサポートのケースが複数進行中だけど、その中の1ケースのご担当ともご挨拶したり(書籍にサインさせられるのかと焦ったり)。

その後は数人で二次会(これが一番濃い話ができたのかもしんない)。その後は朝までカラオケ。。。は、さすがに自粛。みんなオトナになったなぁ。

そんなこんなで、とっても充実した、楽しい、素晴らしい1日だった。

5年後、「20周年」のとき、Active Directoryはどうなってるのかなぁ。
「え!?、まだオンプレミスにドメインコントローラーがあるんですか!?」とか言ってるのだろうか(たぶんそれはない)。
SQL ServerのLinux版が出てくるくらいだから、MS謹製のLinux版Active Directoryが出てたりするのだろうか(たぶんそれもない)。
2020年にWS2008系のサポートが終了するから、WS2012系/2016系への移行でみんなヘトヘトなんだろうか(これはありえる)。

(帰りの飛行機の中で暇つぶしにスマホで書いてみましたー)


itdesign at 08:11│ IT関連・Microsoft全般 | IT関連・セキュリティ全般