Office365をはじめ、クラウドを利用したシステムでは一般的に、認証機能を誰でもアクセスできるインターネット上に確保します。

Office365では、認証部分を外部にゆだねるフェデレーションに対応しており、例えば社内に設置したオンプレサーバーからのみアクセス可能な状態を作り出すことが可能です。

これは、クラウドにあってもその入り口を社内に置くことで、オンプレ製品を利用しているのと変わらないセキュリティを供給できるということに他ならないのですが、その浸透具合や最近のマイクロソフトのスタンスを見ているとよりクラウドネイティブへ舵を切っているケースが多くなったのかと思うのです。

パススルー認証や、パスワードハッシュ同期といったAzure AD Connectが機能を提供するシングルサインオンの仕組みが、導入の簡単さから重宝されるきらいがあるように感じ、フェデレーションを止めて上記手法に切り替えるケースが散見されますが、フェデレーションの本質としては認証の仕組みを手元においておけることなのだと思うのです。

（ADFSなどのフェデレーションを、シングルサインオン用途として利用していることが多いということなのでしょうね。もう一歩踏み込んだ利用を意識されれば状況が変わるのかもしれません。）

フェデレーションで利用するSTSを社内から限定アクセスできるよう構成すると、クラウドであっても社外からアクセスが行えない様にすることができるので、かなり強固な制限となるのではないかと思うのです。

Office365では重要アカウントをMFA認証として、パスワードアタックなどで乗っ取られるのを防ごうとしているかと思います。これと同じ考え方で、アクセス可能な場所を制限することで、アタックされる回数を減らすことができるということですね。

本来は、どこからでもアクセスできる仕組みとしてクラウドを有用視するのが一般的なのかもしれませんが、金融業などセキュリティに厳しい業界でもクラウドを利用するようになった今、今一度セキュリティ関連は検討できる時期になったのかと勝手ながら想像しています。

音楽：現世夢幻