Zoho Directory 2.0: ID 管理を変革する 8 つの新しいセキュリティ機能

Zoho ディレクトリ 2.0 の新機能

Zoho は、Workforce Identity 管理プラットフォームのメジャー アップグレードである Directory 2.0 をリリースしました。数十の組織に ID ソリューションを実装してきた Zoho コンサルタントとして、私はこれらのアップデートに特に興奮しています。なぜなら、これらのアップデートは私が毎日現場で目にする本当の問題点に対処しているからです。

このアップデートでは、セキュリティを強化しながら ID 管理を簡素化する 8 つの主要な機能が提供されます。私が最も印象に残っているのは、Zoho が次の点に焦点を当てていることです。 インフラストラクチャの依存関係を削除する - RADIUS サーバーや LDAP インスタンスを維持する必要がなくなりました。すべてがクラウドネイティブになりました。

1. クラウド RADIUS: ハードウェアを使用しない WiFi セキュリティ

Cloud RADIUS はこれを完全に排除します。 ネットワーク アクセスを Zoho ディレクトリ内のユーザー ID に直接リンクし、以下を提供します。

• ID ベースの認証: Wi-Fi アクセスは共有パスワードではなく従業員アカウントに関連付けられています
• インフラストラクチャゼロ: サーバーの保守、パッチ適用、バックアップが不要
• 即時アクセス取り消し: ユーザーアカウントを無効にすると、すぐに WiFi アクセスが失われます
• 証明書の自動化: ユーザー証明書の自動発行・自動更新

2. スマート グループ: 設定すればあとは忘れる ユーザー管理

私がよく目にするシナリオは次のとおりです。人事部がロンドン オフィスの誰かをセールス マネージャーとして雇用します。 IT 部門はこれらを手動で次の場所に追加します。

• ロンドンオフィスグループ
• 営業チームグループ
• GMT タイムゾーン グループ
• マネージャー権限グループ

スマート グループはこれを完全に自動化します。 条件を一度設定すると、属性に基づいてユーザーが自動的に追加/削除されます。

私がクライアントに使用する条件の例

• メールドメイン: 自動グループの請負業者 (@contractor.company.com) と従業員の比較
• 場所: 地域のアクセス ポリシー (EU ユーザーは異なるアプリ アクセスを取得します)
• 部門: 営業は CRM にアクセスし、財務は書籍にアクセスできる
• 役職: マネージャーは承認権限を自動的に取得します

3. 条件付きアクセス ポリシー: コンテキスト認識型セキュリティ

Zoho Directory 2.0 がエンタープライズ セキュリティにおいて真価を発揮するのはここです。条件付きアクセスは、すべてのログイン試行を以下に基づいて評価します。 コンテキスト資格情報だけではありません。

実際のポリシーの例

金融サービスのクライアントの場合、次のように構成しました。

これにより、侵害から 2 時間以内に侵害されたアカウントが捕捉されました。攻撃者は東部標準時午前 3 時に東ヨーロッパからログインしました。システムはアクセスをブロックし、セキュリティ チームに自動的に警告しました。

4. ルーティング ポリシー: 認証方法の義務化

チームが異なれば、必要な認証アプローチも異なります。ルーティング ポリシーを使用すると、ユーザー グループまたはアプリに基づいて特定のログイン方法を適用できます。

一般的なルーティング パターン

• 幹部: パスワードレスのみ（生体認証またはハードウェアキー）
• 開発者: TOTP による SSO + 2FA
• 一般社員： パスワード + SMS 2FA
• 請負業者: アプリへのアクセスが制限されたソーシャル ログイン (Google/Microsoft)

5. Bring Your Own Key (BYOK): 究極のデータ制御

規制された業界 (医療、金融、政府) にとって、データ暗号化キーは重要です。 BYOK とは 暗号化キーを管理するのはあなたです Zoho ディレクトリ内のデータを保護します。

これを必要とする人: コンプライアンス担当者から「暗号化キーはどこに保存されていますか?」と尋ねられた場合は、 - BYOK が必要です。

6. クラウド LDAP: サーバーを使用しないディレクトリ サービス

Cloud RADIUS と同様に、Cloud LDAP は従来の LDAP 認証をクラウドに移行します。これは、LDAP を必要とするが、Active Directory サーバーや OpenLDAP サーバーを維持したくないレガシー アプリケーションを使用する組織にとって、非常に大きなメリットとなります。

私が導入したユースケース

• VPN認証: OpenVPN/WireGuard が Zoho ディレクトリに対して認証されました
• ネットワーク機器： 管理アクセスに LDAP を使用するスイッチ、ルーター、ファイアウォール
• 従来のアプリケーション: LDAP 認証のみをサポートする古い Java アプリ
• Linuxサーバー: オンプレミスのディレクトリを維持しない LDAP 経由の SSH 認証

7 & 8. 監査ログ + 異常検出

これら 2 つの機能が連携して、次のことを実現します。 完全な可視性と自動脅威検出.

監査ログ

すべての管理操作は次のように記録されます。

• 誰がアクションを実行したか
• 変更内容 (変更前/変更後の値)
• いつ起こったか (タイムゾーン付き)
• どの IP アドレスから

これはコンプライアンス監査には不可欠です。コンプライアンス チームが「ユーザー X が Z 日にシステム Y にアクセスしたことを証明してください」と何度尋ねたかわかりません。監査ログを使用すると、これが 3 日間の調査ではなく 30 秒のクエリで済みます。

異常検出

機械学習はユーザーの行動パターンを分析し、異常なアクティビティにフラグを立てます。

• 奇数時間に新しいデバイスからログインする
• ファイルのダウンロードが突然急増する
• これまで使用したことのないアプリへのアクセス
• 地理的に不可能な旅行（東京→ニューヨークを2時間）

実装に関する推奨事項

20 以上の組織に Zoho ディレクトリを実装した後、私が推奨するロールアウト アプローチは次のとおりです。

フェーズ 1: 基礎 (1 ～ 2 週目)

1. 監査ログをすぐに有効にする (履歴データが必要な場合)
2. 基本的な組織構造にスマート グループを設定する
3. 保守的なしきい値を使用して異常検出を構成する

フェーズ 2: アクセス制御 (第 3 ～ 4 週)

1. 最初に高リスクのアプリに条件付きアクセスを実装します (財務、人事システム)
2. パイロット グループ (IT チームまたは幹部) によるルーティング ポリシーのテスト
3. ポリシーの例外と承認ワークフローを文書化する

フェーズ 3: インフラストラクチャの交換 (第 5 ～ 8 週)

1. Cloud RADIUS を展開してネットワーク (会議室 WiFi) をテストします
2. LDAP に依存するアプリを一度に 1 つずつ Cloud LDAP に移行する
3. 古いインフラストラクチャを廃止する前に 2 週間並列システムを実行する

フェーズ 4: 高度なセキュリティ (9 週目以降)

1. コンプライアンスのために必要な場合は BYOK を実装する
2. 実際のデータに基づいて異常検出のしきい値を微調整する
3. 条件付きアクセスをすべてのアプリケーションに拡張する
4. 監査ログを使用したインシデント対応についてチームをトレーニングする

結論

Zoho Directory 2.0 は単なる増分アップデートではなく、「アイデンティティ管理にはインフラストラクチャが必要」から「アイデンティティ管理は純粋にクラウドネイティブ」への根本的な変化です。 8 つの新機能は、ほぼすべてのクライアントとの関わりにおいて私が遭遇する本当の問題点に対処します。

• クラウド RADIUS は WiFi セキュリティの問題を解消します
• スマート グループにより管理者の作業負荷が 60 ～ 80% 削減されます
• 条件付きアクセスは従来の MFA が見逃す脅威を捕らえます
• BYOK は最も偏執的なコンプライアンス担当者も満足させます
• 監査ログ + 異常検出によりエンタープライズ レベルの可視性が実現

現在、Active Directory、RADIUS サーバー、または LDAP インフラストラクチャを管理している場合、Zoho Directory 2.0 は真剣に評価する価値があります。移行の取り組みは現実的ですが、長期的な運用コストの節約とセキュリティの向上により、ほとんどの組織にとって価値があります。