TGS(Ticket Granting Service)とは?チケット発行の仕組みを徹底解説!

会社のパソコンで朝ログインすると、その日1日、様々なサービスが使えますよね。

ファイルサーバー、メールシステム、社内のWebサイト…。どれを使う時も、いちいちパスワードを入力する必要はありません。これって、すごく便利だと思いませんか?

この「一度ログインすれば、色々なサービスが自由に使える仕組み」の中心にあるのが、TGS(Ticket Granting Service:チケット発行サービス)なんです。

「チケットって何?」「どうやって発行されるの?」「セキュリティは大丈夫なの?」

この記事では、そんな疑問に答えながら、TGSについて初心者の方にもわかりやすく解説します。企業ネットワークのセキュリティを理解したい方に、ぴったりの内容です。

前回のAS(認証サービス)の記事と合わせて読めば、さらに理解が深まりますよ!

スポンサーリンク
  1. TGS(Ticket Granting Service)とは?
    1. TGSの正式名称と意味
    2. TGSの役割
    3. Kerberosの中のTGS
  2. ASとTGSの違いと連携
    1. ASとTGSの役割分担
    2. 2段階認証の仕組み
    3. 連携の流れ
  3. TGSの動作プロセス:詳細解説
    1. 前提条件
    2. サービスチケット取得の流れ:4つのステップ
    3. チケットの使い方
  4. サービスチケットの仕組み
    1. サービスチケットとは?
    2. サービスチケットの構造
    3. チケットの有効期限
    4. チケットの更新(リニューアル)
  5. TGSのセキュリティ機能
    1. 対策1:暗号化
    2. 対策2:タイムスタンプによる保護
    3. 対策3:相互認証
    4. 対策4:権限の細かい制御
    5. 対策5:チケットのキャッシュ管理
  6. TGSが使われる実際の場面
    1. 場面1:ファイルサーバーへのアクセス
    2. 場面2:プリンターの使用
    3. 場面3:メールシステム
    4. 場面4:Webアプリケーション
    5. 場面5:データベースへのアクセス
  7. TGSのトラブルシューティング
    1. 問題1:「チケットを取得できません」というエラー
    2. 問題2:特定のサービスだけアクセスできない
    3. 問題3:時刻のエラーが出る
    4. 問題4:チケットのキャッシュが壊れた
    5. 問題5:TGSサーバーが応答しない
  8. よくある質問
    1. Q1:TGTとサービスチケットの違いは?
    2. Q2:サービスチケットは何枚まで持てる?
    3. Q3:TGSはどこにある?
    4. Q4:TGSの処理は遅くない?
    5. Q5:TGSはクラウドでも使える?
    6. Q6:TGSが停止したらどうなる?
  9. まとめ

TGS(Ticket Granting Service)とは?

まず、TGSの基本から説明しましょう。

TGSの正式名称と意味

TGSは「Ticket Granting Service(チケット・グランティング・サービス)」の略です。

日本語では「チケット発行サービス」と呼ばれます。

ネットワーク上で、各サービスを使うための「許可証(チケット)」を発行する役割を担っています。

TGSの役割

TGSの主な仕事は、次の通りです。

  • ユーザーが特定のサービス(ファイルサーバーなど)を使いたい時に要求を受け取る
  • ユーザーの身元を確認する(TGTという引換券をチェック)
  • 問題なければ、そのサービス専用の「サービスチケット」を発行する
  • ユーザーはそのチケットを使って、サービスにアクセスできる

簡単にいえば、TGSは各サービスへの入場券を販売する窓口のようなものです。

Kerberosの中のTGS

TGSは、Kerberos(ケルベロス)認証システムの一部として動いています。

Kerberosには、主に3つの重要な要素があります。

  1. AS(Authentication Service):最初にログインを確認する入り口
  2. TGS(Ticket Granting Service):各サービスへのチケットを発行する窓口 ← 今回のテーマ
  3. Application Server:実際のサービス(ファイルサーバー、プリンターなど)

この3つが連携して、安全で便利なネットワーク環境を作っているんですね。

ASとTGSの違いと連携

TGSを理解するには、AS(認証サービス)との違いを知ることが大切です。

ASとTGSの役割分担

AS(Authentication Service)の役割

  • タイミング:ログインする時(1日に1回)
  • 確認するもの:ユーザー名とパスワード
  • 発行するもの:TGT(Ticket Granting Ticket:チケット発行チケット)
  • 例え:遊園地の「入場ゲート」

TGS(Ticket Granting Service)の役割

  • タイミング:新しいサービスを使う時(何度でも)
  • 確認するもの:TGT(ASが発行した引換券)
  • 発行するもの:サービスチケット(各サービス専用の許可証)
  • 例え:遊園地の「チケット販売機」

2段階認証の仕組み

なぜASとTGSに分かれているのでしょうか?

実は、これには重要な理由があります。

セキュリティの向上

パスワードを使った認証(AS)は、最初の1回だけ。

その後は、TGTという「引換券」を使ってチケットをもらう仕組みです。

つまり、パスワードをネットワークに何度も流さなくて済むんです。

効率性の向上

ASは全ユーザーの認証を担当するので、負荷が高いです。

サービスごとのチケット発行をTGSに任せることで、役割分担して効率化できます。

連携の流れ

ASとTGSの連携を、簡単に整理しましょう。

  1. ユーザーがログイン → ASが認証 → TGTを発行
  2. ユーザーがファイルサーバーを使いたい → TGSに依頼 → サービスチケットを発行
  3. サービスチケットを持ってファイルサーバーにアクセス → 使える!

ASは入り口、TGSは案内所、というイメージですね。

TGSの動作プロセス:詳細解説

それでは、TGSが実際にどう動いているのか、ステップごとに見ていきましょう。

前提条件

ユーザーは既にASで認証を済ませて、TGT(Ticket Granting Ticket)を持っています。

このTGTは、「TGSを使う権利」を証明するものです。

サービスチケット取得の流れ:4つのステップ

ステップ1:サービスへのアクセス要求

ユーザーが「ファイルサーバーを使いたい」と思った時、パソコンが自動的にTGSに連絡します。

この時、以下の情報を送ります:

  • TGT(ASからもらった引換券)
  • Authenticator(本人証明のための暗号化されたタイムスタンプ)
  • 使いたいサービスの名前(例:ファイルサーバーA)

ステップ2:TGSがTGTを検証する

TGSは、受け取ったTGTが本物かどうかチェックします。

  • TGTは暗号化されているので、正しい鍵でないと読めない
  • 有効期限が切れていないか確認
  • Authenticatorのタイムスタンプが新しいか確認(リプレイ攻撃の防止)

すべて問題なければ、次のステップに進みます。

ステップ3:サービスチケットの作成

TGSは、要求されたサービス専用の「サービスチケット」を作ります。

サービスチケットには、次の情報が含まれます:

  • ユーザーの名前
  • サービスの名前
  • セッション鍵(一時的な暗号化鍵)
  • 有効期限(通常5〜10時間)
  • アクセス権限の情報

これらを、サービスの秘密鍵で暗号化します。

つまり、そのサービスだけが読める形式になるんですね。

ステップ4:チケットをユーザーに返す

TGSは、次の2つをユーザーに返します:

  1. サービスチケット(サービスの秘密鍵で暗号化されている)
  2. セッション鍵(ユーザーの鍵で暗号化されている)

ユーザーは、これらを持ってサービスにアクセスします。

サービスチケットを提示すれば、パスワードなしでサービスが使えるんです!

チケットの使い方

取得したサービスチケットは、こう使われます。

サービスにアクセスする時

  1. ユーザーがサービスチケットをサービスに提示する
  2. サービスは自分の秘密鍵でチケットを復号化(解読)
  3. チケットが有効なら、アクセスを許可する
  4. セッション鍵を使って、安全に通信する

これで、ファイルを開いたり、プリンターを使ったりできるわけです。

サービスチケットの仕組み

TGSが発行する「サービスチケット」について、もう少し詳しく見てみましょう。

サービスチケットとは?

サービスチケットは、特定のサービスを使う許可証です。

ファイルサーバー用、プリンター用、メールサーバー用…と、サービスごとに別々のチケットが必要です。

なぜサービスごとにチケットが必要?

セキュリティのためです。

もし1枚のチケットですべてのサービスが使えたら、チケットが盗まれた時に被害が大きくなります。

サービスごとに分けることで、被害を最小限に抑えられるんですね。

サービスチケットの構造

サービスチケットには、様々な情報が詰まっています。

基本情報

  • ユーザーID:誰のチケットか
  • サービスID:どのサービス用か
  • 発行時刻:いつ発行されたか
  • 有効期限:いつまで使えるか

セキュリティ情報

  • セッション鍵:ユーザーとサービスの間で使う一時的な暗号化鍵
  • IPアドレス(オプション):どのパソコンから接続するか
  • 権限情報:読み取り専用か、書き込みもできるか

これらすべてが暗号化されて保存されています。

チケットの有効期限

サービスチケットには、必ず有効期限があります。

一般的な期限

  • TGT:8〜10時間(1日分)
  • サービスチケット:5〜10時間

なぜ期限があるのでしょうか?

理由1:セキュリティリスクの軽減

もしチケットが盗まれても、期限切れになれば使えなくなります。

無期限だと、盗まれた時の被害が甚大です。

理由2:定期的な再認証

毎日ログインし直すことで、不正利用を早期に発見できます。

退職した社員のアカウントが、いつまでも使われることを防げるんですね。

チケットの更新(リニューアル)

期限が切れたら、新しいチケットをもらう必要があります。

TGTの更新

TGTが期限切れになったら、再度ASで認証(パスワード入力)が必要です。

通常、朝ログインして夕方まで使えるように設定されています。

サービスチケットの更新

サービスチケットが期限切れになっても、TGTがあれば自動的に再取得できます。

ユーザーは何もする必要がありません。便利ですね!

TGSのセキュリティ機能

TGSには、様々なセキュリティ対策が組み込まれています。

対策1:暗号化

TGSとクライアントの通信は、すべて暗号化されています。

使われる暗号化技術

  • AES(Advanced Encryption Standard):現在の標準
  • 鍵長:128bit以上(256bitが推奨)
  • 対称鍵暗号:同じ鍵で暗号化と復号化を行う

これにより、通信を盗聴されてもチケットの中身は読めません。

対策2:タイムスタンプによる保護

TGSは、各要求に含まれるタイムスタンプを厳密にチェックします。

リプレイ攻撃の防止

リプレイ攻撃とは、過去の通信を記録して、後から再送する攻撃手法です。

タイムスタンプを確認することで、「古いデータの使い回し」を検出できます。

時刻の同期

Kerberosでは、すべてのマシンの時刻が同期している必要があります。

5分以上ずれていると、認証が失敗するんです。

厳しいように思えますが、これが重要なセキュリティ機能なんですね。

対策3:相互認証

TGSの仕組みでは、双方向の認証が行われます。

ユーザー → サービスの認証

ユーザーがサービスチケットを提示して、「私は正規ユーザーです」と証明します。

サービス → ユーザーの認証

サービス側も、「私は本物のサービスです」とユーザーに証明します。

これにより、偽のサーバーへのアクセスを防げるんです。

対策4:権限の細かい制御

サービスチケットには、アクセス権限の情報が含まれます。

権限の種類

  • 読み取り専用:ファイルを見るだけ
  • 書き込み可:ファイルの作成・編集ができる
  • 削除可:ファイルを削除できる
  • 管理者権限:設定変更などもできる

ユーザーごとに適切な権限だけを与えることで、セキュリティを高めています。

対策5:チケットのキャッシュ管理

取得したチケットは、クライアントのメモリに一時保存されます。

キャッシュのセキュリティ

  • メモリ上でも暗号化されている
  • ログアウトすると自動的に削除される
  • 他のユーザーからはアクセスできない

これにより、共有パソコンでも安全に使えます。

TGSが使われる実際の場面

TGSは、どんな場面で活躍しているのでしょうか。

場面1:ファイルサーバーへのアクセス

一番よく使われるのが、ファイル共有です。

流れ

  1. 朝、パソコンにログイン(AS認証) → TGTをもらう
  2. 共有フォルダを開こうとする → TGSにサービスチケットを要求
  3. サービスチケットをもらう
  4. ファイルサーバーにアクセス → ファイルが開ける

この一連の流れが、裏側で自動的に行われています。

ユーザーは何も意識する必要がありません。

場面2:プリンターの使用

ネットワークプリンターを使う時も、TGSが動いています。

プリント処理の流れ

  1. 「印刷」ボタンを押す
  2. TGSにプリンター用のサービスチケットを要求
  3. チケットをもらってプリントサーバーに接続
  4. 印刷ジョブを送信

プリンターごとに別のチケットが必要なので、セキュリティも守られます。

場面3:メールシステム

社内のメールシステム(Exchange Serverなど)でも、TGSが活躍します。

メールアクセスの流れ

  1. Outlookなどのメールソフトを起動
  2. TGSにメールサーバー用のチケットを要求
  3. チケットを使ってメールサーバーに接続
  4. メールの送受信ができる

パスワード入力は不要です。

場面4:Webアプリケーション

社内のWebシステムでも、Kerberos認証が使われることがあります。

Webアクセスの例

  • 勤怠管理システム
  • 経費精算システム
  • 社内ポータルサイト

ブラウザがTGSからチケットを取得して、Webサーバーに提示します。

シングルサインオン(SSO)が実現できるんです。

場面5:データベースへのアクセス

業務アプリケーションがデータベースにアクセスする時も、TGSが使われます。

データベース認証の流れ

  1. アプリケーションがデータベースにクエリを送りたい
  2. TGSにデータベース用のチケットを要求
  3. チケットを使ってデータベースサーバーに接続
  4. データの読み書きができる

アプリケーションごとにパスワードを埋め込む必要がないので、セキュリティが向上します。

TGSのトラブルシューティング

TGSがうまく動かない時の対処法を紹介します。

問題1:「チケットを取得できません」というエラー

原因

  • TGTの有効期限が切れている
  • TGSサーバーにアクセスできない
  • ネットワーク接続の問題

対処法

  1. ログアウトして再ログインする
  • TGTを新しく取得し直す
  • 多くの場合、これで解決します
  1. ネットワーク接続を確認する
  • Wi-Fiやケーブルが繋がっているか
  • 社内ネットワークに接続できているか
  1. TGSサーバーの状態を確認する
  • IT部門に問い合わせる
  • サーバーがメンテナンス中でないか確認

問題2:特定のサービスだけアクセスできない

原因

  • そのサービスへのアクセス権限がない
  • サービスチケットの有効期限が切れた
  • サービス側の問題

対処法

  1. 権限を確認する
  • 管理者に「このサービスを使う権限がありますか?」と確認
  • 必要なら権限を付与してもらう
  1. サービスを使い直す
  • 一度サービスを閉じて、もう一度開く
  • 新しいサービスチケットが自動取得される
  1. サービスの状態を確認する
  • サービス自体が停止していないか
  • 他の人も使えないなら、サーバー側の問題

問題3:時刻のエラーが出る

原因

Kerberosは時刻のズレに厳しいシステムです。

クライアントとTGSの時計が5分以上ずれていると、認証が失敗します。

対処法

  1. パソコンの時刻設定を確認する
  • 右下の時計を確認
  • 明らかにずれていたら修正
  1. 自動時刻同期をオンにする
  • Windows:設定 → 時刻と言語 → 「時刻を自動的に設定する」をオン
  • macOS:システム設定 → 日付と時刻 → 「日付と時刻を自動的に設定」をオン
  1. タイムサーバーと同期する
  • 企業ネットワークには、通常タイムサーバーがあります
  • IT部門に設定を確認してもらう

問題4:チケットのキャッシュが壊れた

原因

チケットを保存するキャッシュが、何らかの理由で壊れることがあります。

対処法

  1. ログアウトして再ログインする
  • キャッシュがクリアされる
  • 新しいチケットが取得される
  1. キャッシュを手動でクリアする
  • Windows:klist purge コマンドを実行
  • 管理者権限が必要な場合があります
  1. パソコンを再起動する
  • メモリ上のキャッシュが完全にクリアされる

問題5:TGSサーバーが応答しない

原因

  • サーバーの障害
  • ネットワークの問題
  • ファイアウォールのブロック

対処法

これは個人では解決できません。

すぐにIT部門に連絡してください。

TGSが動かないと、ネットワーク全体が使えなくなる可能性があります。

よくある質問

Q1:TGTとサービスチケットの違いは?

TGT(Ticket Granting Ticket)

  • ASが発行する「引換券」
  • TGSを使うための許可証
  • 1日に1枚だけもらう
  • すべてのサービスチケットを取得できる

サービスチケット

  • TGSが発行する「許可証」
  • 特定のサービスを使うためのチケット
  • サービスごとに必要
  • 必要な分だけ何枚でももらえる

例えるなら、TGTは「遊園地の入場パス」、サービスチケットは「各アトラクションの乗車券」です。

Q2:サービスチケットは何枚まで持てる?

制限はありません。

必要な数だけ、いくらでも取得できます。

ファイルサーバー3台、プリンター2台、メールサーバー1台…なら、合計6枚のサービスチケットを持つことになります。

すべて自動的に管理されるので、ユーザーは気にする必要がありません。

Q3:TGSはどこにある?

企業内のサーバー上で動いています。

通常、Active Directory(Windows Serverの機能)の一部として稼働しています。

物理的には、サーバールームやデータセンターにあるサーバーマシンですね。

冗長化のため、複数台のTGSサーバーが用意されていることも多いです。

Q4:TGSの処理は遅くない?

ほとんど気にならない速度です。

サービスチケットの取得は、通常1秒以内に完了します。

しかも、一度取得したチケットは有効期限まで使い回せるので、毎回取得する必要もありません。

ネットワークが遅い場合は、多少時間がかかることもありますが、日常的には問題ないレベルです。

Q5:TGSはクラウドでも使える?

使えます。

最近では、クラウド上でKerberos(TGSを含む)を提供するサービスもあります。

  • Azure Active Directory:マイクロソフトのクラウド認証サービス
  • Google Cloud Identity:グーグルのクラウド認証サービス

オンプレミス(自社サーバー)とクラウドを組み合わせた「ハイブリッド環境」も増えています。

Q6:TGSが停止したらどうなる?

新しいサービスチケットが取得できなくなります。

ただし、既に持っているチケットは有効期限まで使えます。

つまり:

  • すでに開いているファイルは使い続けられる
  • 新しいファイルやサービスにはアクセスできなくなる

企業では、TGSの冗長化(複数台用意)により、1台が故障しても他が代わりに動く仕組みを作っています。

まとめ

TGS(Ticket Granting Service:チケット発行サービス)は、Kerberos認証システムの中核を担う重要なコンポーネントです。

一度ログインすれば複数のサービスが自由に使える便利さと、高いセキュリティを両立させています。

この記事のポイント

✓ TGSは各サービスへのアクセスチケットを発行する
✓ ASが入り口、TGSがチケット販売窓口という役割分担
✓ サービスごとに別々のチケットが必要(セキュリティのため)
✓ チケットには有効期限があり、定期的に更新される
✓ 暗号化、タイムスタンプ、相互認証などで安全性を確保
✓ ファイルサーバー、プリンター、メール、Webアプリなど幅広く使われる
✓ ユーザーは意識せず、裏側で自動的に動いている
✓ トラブル時は再ログインで解決することが多い

普段は意識しない裏側の仕組みですが、TGSがあるおかげで、私たちは便利にネットワークを使えています。

会社でファイルを開く時、プリンターで印刷する時、「今、TGSがチケットを発行してくれているんだな」と思い出してみてください。

AS(認証サービス)の記事と合わせて読めば、Kerberos認証システム全体の理解がさらに深まりますよ。

安全で快適なネットワーク環境を支える技術、それがTGSなんです!

Youtube

神話・歴史・伝承の解説チャンネル

スポンサーリンク

コメント

タイトルとURLをコピーしました