中小を含め企業では、Chrome Enterprise か Windows 10 Pro/Enterprise を絶対に使うべき理由

シンプルな理由です。

この2つのOSは(2021年1月24日)今日時点において、クラウドの認証基盤を利用できるOSだから。

PCの認証基盤を、ローカルのPCやイントラネットにに配置するというのは前世紀的感です。クラウド上の認証基盤を標準にしましょう。その場合の選択肢は以下の2つしかありません。

世の中には、シングルサインオンをうたうサービス・製品は数多くありますが、クライアントOSの認証と統合できるのは、(現時点では)この2つだけです。

クライアントOSの認証と統合しない限り、認証基盤は、ローカルPC上の認証基盤とクラウドの認証基盤の2つが存在するわけで、ローカルPCとクラウドの2箇所で認証するということは、その時点で、シングルサインオンは破綻しています。

(現時点で)でシングルサインオンをうたっているサービスのほとんどは、ウェブという限られた中でのシングルサインオンは実現しますが、クライアント環境まで考慮した時点でシングルサインオンは実現していないと言い切れます。ウェブの世界でシングルサインオンを実現していても、少なくと、PCへのログインとウェブへのログインの2回、つまりは、本当の意味でのシングルサインオンは実現していません。

では、なぜ、AADとGCIは、本当のシングルサインオンを実現しているのでしょうか?答えは簡単、AAD・GCIを認証基盤として利用できるクライアントOSが存在するからです。それは

認証基盤OS
Azure Active DirectoryWindows 10 Professional / Enterprise
Google Cloud IdentityChrome(Book) Enterprise

この2択しかありません。企業におけるセキュリティを考慮した場合、本当のシングルサインオンが、本当はシングルではないシングルサインオンと比較した場合、当然、セキュリティ度は高いはずなので、クライアントOS導入としての結論としては、Windows 10 か Chrome Enterpriseの2択に成るわけです。


え?!MacOSはどうなのかって?残念ながら、MacOSで企業向けのシングルサインオンを実現しようとすると、現実的に、イントラネットでの Active Directory(AD)が必須であると言えます。Macを利用するなら、AD + AADがシングルサインオンの現実的な「解」と言えます。ですが、ADの管理って結構大変なんですよね。大企業であれば、AD管理も必要なコストとしてとらえられると思いますが、中小企業では、AD管理は管理費用の面で費用対効果が良くないので、クラウドにID基盤を配置するべきで、その場合はAAD・GCIの2択という結論になるわけです。

警察庁だってVPNを突破されて気がつかない。大事なのは認証基盤。

警察庁の端末1台に外部から不正アクセス46回 情報流出は確認されず

https://mainichi.jp/articles/20201127/k00/00m/040/405000c

VPN使ったら安全ということではないのですよ。残念ながら、境界防御でなんとかなっていたのは20世紀まで。

VPNゲートウェイの認証情報が漏れてしまえば、境界なんて無いのも一緒。

結局は、認証基盤を強固にするのが大事。

それには、認証基盤に、多要素認証の導入が必要。逆にいえば、多要素認証し、その認証情報を使って、アプリケーションやリソースへのアクセスを適切に制御していれば、情報漏洩に対して、もっとも費用対効果の高い対策を実施していると言い切って良いと思う。

難しいのはVPNは外部からのアクセスになるわけで、VPNへの認証認証基盤は、外部、つまりは、インターネット側に存在しなければならない。

となると、独自の実装というよりも、企業向け ID as a service の利用が現実的。そうなると、やはり、Google Cloud Identity、もしくは、Microsoft Azure Active Directory の2択。独立したサービスも多数存在するけれど、結局、Google WorkspaceかMicrosoft 365(Office 365)が必要になるわけで、GoogleもしくはMicrosoftからの選択になるはず。