>
>
最終更新日
LDAPという用語は耳にするが、仕組みをきちんと説明できる人は意外と少ない。結論から言えば、LDAPとはディレクトリサービスへアクセスするための標準プロトコルです。本記事では、LDAPとは何かという基礎から、よく混同されるActive Directory(AD)との違い、LDAPサーバーやデータベースとの違いまで、比較表を交えてわかりやすく解説します。
この記事でわかること
LDAPはディレクトリサービス内の情報を検索・更新するための通信規約(プロトコル)である
LDAP(プロトコル)とActive Directory(製品)は全くの別物である
LDAPはツリー構造を用いており、データベース(RDBMS)と比べて読み取り処理に特化している
クラウド時代においても、SaaSとの連携でLDAP認証が求められるケースは依然として多い
通信の暗号化(LDAPS)などのセキュリティ対策が必要である
LDAPとは?ディレクトリサービスへアクセスするためのプロトコル
LDAP(Lightweight Directory Access Protocol)とは、ネットワーク内に存在するユーザー名、パスワード、メールアドレス、部署名などのリソース情報を集中管理する「ディレクトリサービス」に対して、情報の検索や追加、変更を行うための通信規約(プロトコル)です。
ディレクトリサービスは「電話帳」のような役割を果たします。LDAPはこの電話帳を開き、必要な情報を探し出したり、新入社員の情報を追加したりするための「手順や言語」を定めたものです。「Lightweight(軽量)」と名付けられている通り、複雑だった以前のプロトコル(X.500)を簡略化し、TCP/IPネットワーク上で高速に動作するよう設計されています。
LDAPとデータベースの違い
情報の保管場所という意味で「LDAPとデータベース」は同じものと誤解されがちですが、内部の構造と得意とする処理が異なります。一般的なデータベース(RDBMS)が「テーブル構造(表形式)」で複雑な書き込みやトランザクション処理を得意とするのに対し、LDAPは「ツリー構造(階層形式)」を採用しています。
LDAPは、頻繁なデータの書き換えよりも「大量のデータから特定のユーザー情報を瞬時に探し出す」という読み取り(検索)処理に特化しているのが最大の特徴です。そのため、社員の認証処理など、高速なレスポンスが求められる用途に適しています。
LDAPサーバーとは?代表的な種類と役割
LDAPサーバーとは、LDAPプロトコルを用いてディレクトリ情報を提供するサーバーシステムそのものである。
一般的に現場で「LDAP」という言葉が使われる際、プロトコルそのものではなく「LDAPサーバー」を指していることがよくあります。LDAPサーバーとは、ユーザーや端末の情報を保持し、クライアントからのLDAPリクエスト(検索や認証)に応答するサーバーのことです。
LDAPサーバーは、ネットワーク内のあらゆるシステムやアプリケーションに対して、一元化されたユーザー情報を提供します。これにより、ユーザーはシステムごとにアカウントを作成する必要がなくなり、一度のパスワード変更で全てのシステムに反映させることが可能です。
代表的なLDAPサーバー製品には、オープンソースで無償利用できる「OpenLDAP」や、Microsoft社が提供する「Active Directory(AD)」などがあります。これらはすべてLDAPプロトコルを解釈し、通信を行う能力を持っています。
LDAPとActive Directory(AD)の違いと関係性
LDAPは情報をやり取りするための「プロトコル」であり、Active DirectoryはLDAPを利用した「製品・サービス」である。
情シス担当者が最も混同しやすいのが、LDAPとActive Directoryの関係性です。「LDAPとActive Directoryはどちらを導入すべきか」という比較自体が本来は誤りです。LDAPはあくまで通信のための「ルール(プロトコル)」であり、Active Directory(AD)はMicrosoft社がWindowsネットワーク向けに開発した「ディレクトリサービス製品」です。
ADの内部では、ディレクトリ情報のやり取りにLDAPプロトコルが使用されています。つまり、「ADはLDAPという言語を話すことができるソフトウェア」という関係性になります。一部で「ADは大規模に不向き」という誤解がありますが、実際にはADは大規模なエンタープライズ企業で世界標準として広く利用されています。
以下の比較表で、両者の関係性を整理します。
比較項目 | LDAP | Active Directory (AD) |
|---|---|---|
概念・分類 | 通信プロトコル(規約・言語) | 製品・サービス(ソフトウェア) |
提供元 | 標準規格(IETFが策定) | Microsoft社 |
対応OS | OSに依存しない(Linux, macOS等でも利用可) | 主にWindows環境に最適化 |
主な用途 | ディレクトリ情報の検索、認証の通信手段 | PCやユーザーの一元管理、グループポリシー適用 |
大規模対応 | 可能(大規模な読み取り処理に強い) | 可能(大規模なエンタープライズ環境で標準利用) |
▲ LDAPとActive Directory(AD)の違いと関係性
LDAP認証とは?AD認証との違いとアクセス手順
LDAP認証は、入力されたIDとパスワードをLDAPサーバー内の情報と照合し、アクセスの可否を判断する仕組みである。
「LDAP認証」とは、システムやアプリケーションにログインする際、LDAPプロトコルを利用してLDAPサーバーに問い合わせを行い、ユーザーの正当性を確認するプロセスのことです。
具体的なアクセス手順(フロー)は以下の通りです。
要求送信: ユーザーがアプリケーション画面でIDとパスワードを入力し、ログイン要求を送信する。
バインド(接続): アプリケーションがLDAPサーバーに対して接続を要求する。
照合処理: LDAPサーバーがディレクトリ内を検索し、受信したIDとパスワードが登録情報と一致するか検証する。
結果応答: 一致すれば「認証成功」、一致しなければ「認証失敗」の結果をアプリケーションに返す。
AD認証とLDAP認証の違い
AD認証とLDAP認証の違いも、現場でよく混乱が生じるポイントです。AD認証は、Windows環境に最適化された強固な「Kerberos(ケルベロス)認証」をデフォルトで採用しています。一方で、LinuxサーバーやSaaSなどのWindows以外のシステムからAD内のユーザー情報を利用して認証を行いたい場合は、ADがサポートしている「LDAP認証」を利用して連携を図るのが一般的です。
▲ LDAP認証が行われる4つのアクセス手順
LDAPの仕組み:ツリー構造によるデータ管理
LDAPは「ツリー(階層)構造」を用いてデータを整理し、DN(識別名)によって特定のリソースを瞬時に特定する。
LDAPは通常、LDIF(LDAP Data Interchange Format)というテキスト形式でデータを管理します。企業組織図のように「国」「会社」「部署」「社員」というツリー構造で情報を階層化し、以下の要素を組み合わせてデータの住所(アクセス権限のスコープ)を設定します。
DC(Domain Component): ドメイン名の構成要素(例:com や jp など)
OU(Organizational Unit): 組織単位。ファイルシステムの「フォルダ」にあたるもの(例:営業部、開発部 など)
CN(Common Name): 共通名。人やサーバー、プリンターなどの具体的なオブジェクト名
これらを繋ぎ合わせたものがDN(Distinguished Name:識別名)です。LDAPサーバー上にある資源は、このDNによって世界でただ一つの情報として一意に識別され、高速な検索が可能になります。
▲ LDAPにおけるデータのツリー構造と識別名(DN)の仕組み
LDAPを活用するメリットと導入時のセキュリティ対策
LDAPの活用はOS非依存のユーザー一元管理が可能だが、通信の暗号化(LDAPS)などのセキュリティ対策が必須である。
組織がLDAPベースのディレクトリサービスを活用する主なメリットは以下の通りです。
一元管理と管理工数の削減: ユーザー情報や権限を1箇所で管理できるため、入退社時のアカウント作成・削除の手間が大幅に省けます。
OSや環境に依存しない柔軟性: LDAPは標準プロトコルであるため、WindowsだけでなくmacOS、Linux、各種ネットワーク機器やSaaSなど、マルチプラットフォームで認証連携が可能です。
高速なレスポンス: 読み取りに特化した構造のため、大規模な組織であっても認証や検索の遅延を防ぐことができます。
LDAP導入時の注意点とリスク
LDAPを運用する上で最大の注意点はセキュリティです。標準のLDAP通信(ポート389)はデータが平文でやり取りされるため、ネットワーク上でパスワードを盗聴されるリスクがあります。必ずSSL/TLSで暗号化したLDAPS(ポート636)を利用してください。
また、Webアプリケーションと連携する際は「LDAPインジェクション攻撃」のリスクがあります。href="https://cheatsheetseries.owasp.org/cheatsheets/LDAP_Injection_Prevention_Cheat_Sheet.html" target="_blank">OWASP(Open Worldwide Application Security Project)などのセキュリティガイドラインを参照し、入力値のエスケープ処理など適切な脆弱性対策を必ず実施してください。
LDAPの関連重要用語7つ
SaaSとの連携設定や構築作業では、以下の7用語が頻出します。
これからLDAPサーバー(OpenLDAPやADなど)の構築や、SaaSとの連携設定を行う情シス担当者が覚えておくべき重要な用語を7つ紹介します。
スキーマ (Schema): サーバーに保存できるデータの種類や属性(社員番号、メールアドレスなど)のルールや形式を定義したものです。
識別名 (DN: Distinguished Name): ツリー構造内でのオブジェクトの完全なパス(住所)を示す一意の識別子です。
相対識別名 (RDN: Relative Distinguished Name): DNを構成する各階層の個別の名前(例:「CN=Taro Yamada」の部分)を指します。
データモデル: オブジェクトクラスや属性の集合体として、ディレクトリ内のデータ表現ルールを定義したものです。どのオブジェクト(ユーザー、グループ等)がどの属性(メールアドレス、電話番号等)を持てるかを規定します。
バインド (Bind): クライアントがLDAPサーバーに接続し、認証(ログイン)を行う操作のことです。
変更要求: ディレクトリ内のエントリに対して、追加(Add)、削除(Delete)、置換(Modify)などを行う操作コマンドです。
URL / URI: ネットワーク上のLDAPサーバーの場所を示すアドレス表記です(例:
ldap://ldap.example.com/またはldaps://)。
よくある質問
LDAPサーバーとは何ですか?
Q: LDAPサーバーとは何ですか?
A: LDAPプロトコルを用いてディレクトリサービス(ユーザーやIT資産の情報)を提供するサーバーシステムのことです。代表的なものに、オープンソースのOpenLDAPやMicrosoftのActive Directoryがあります。
Active DirectoryとLDAPの違いは何ですか?
Q: Active DirectoryとLDAPの違いは何ですか?
A: LDAPはディレクトリ情報にアクセスするための「通信プロトコル(規約)」です。一方、Active Directory(AD)は、そのLDAPプロトコルを利用してMicrosoft社が開発した「ディレクトリサービス製品(ソフトウェア)」です。
LDAPとデータベースの違いは何ですか?
Q: LDAPとデータベースの違いは何ですか?
A: 一般的なデータベースが表形式(テーブル構造)で複雑な書き込み処理を得意とするのに対し、LDAPは階層形式(ツリー構造)で情報を管理します。LDAPは情報の検索・読み取り処理に特化しており、認証システムなどに適しています。
LDAPのリスクと必要なセキュリティ対策は何ですか?
Q: LDAPのリスクと必要なセキュリティ対策は何ですか?
A: 標準のLDAPは通信が暗号化されていないため、パスワードなどの情報漏洩リスクがあります。対策として、SSL/TLSを用いた通信の暗号化(LDAPS)の導入や、入力値の無害化によるLDAPインジェクション対策が必要です。
まとめ
本記事では、LDAPの基礎知識からActive Directoryとの違い、LDAPサーバーの仕組みまでを解説しました。LDAPは単なる「古い技術」ではなく、現在もSaaSや社内インフラの認証連携で今も現役で使われている標準プロトコルです。自社でSaaSの一元管理やID統合を進める際は、「ADとLDAPは競合するものではなく、ADという製品がLDAPという言語を使っている」という正しい関係性を理解することが出発点です。その上で、セキュアなLDAPS通信を前提としたシステム設計を進めてください。
導入・運用時のアクションチェックリスト
✅ LDAPとADの関係性(プロトコルと製品の違い)を正しく理解する
✅ 既存のLDAP通信がLDAPS(ポート636)になっているか確認する
✅ SaaSのSSO/LDAP連携設定を見直し、不要な平文通信がないか点検する
✅ LDAPインジェクション対策として、Webアプリケーション側の入力値エスケープ処理を確認する
✅ スキーマやDNの設計を整理し、組織変更時のメンテナンス手順を文書化する
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
橋爪兼続
ライトハウスコンサルタント代表。2013年海上保安大学校本科第Ⅲ群(情報通信課程)卒業。巡視船主任通信士を歴任し、退職後、大手私鉄の鉄道運行の基幹システムの保守に従事。一般社団法人情報処理安全確保支援士会の前身団体である情報処理安全確保支援士会の発起人。情報処理安全確保支援士(第000049号)。
