Oktaによるアイデンティティ管理の適正化
ID/アクセス権限マスタをADからOktaへ刷新し、
統制されたアイデンティティ管理を実現
1990年にインターネット接続事業の前身となるパソコン通信サービス「ASAHIパソコンネット」から事業をスタートさせた朝日ネット。現在も情報技術を活用し、人と人との交流の価値を高めることを使命とし、社会の発展に貢献しています。
ただ、事業の発展に伴って同社の組織や社員数が拡大するとともに、さまざまな業務システムの利用形態も大きく変化しており、既存のID/アクセス管理基盤では対応が次第に困難となってきました。
この課題に対して経営トップからもアイデンティティ管理の適正化の号令がかけられ、同社はパートナーに選定したNTTデータ関西と共にプロジェクトを推進。Oktaを活用したID/アクセス管理基盤への刷新を実現しました。
課題
既存のIDアクセス管理基盤は基本設計から15年以上が経過しており、 運用が複雑化していた。
組織再編や人事異動にあわせた権限設定の変更にタイムラグが発生するほか、ADセキュリティグループの目的が不明で適切に更新されていない、認証しているシステムを特定できないといった問題が顕在していた。
効果
アカウント管理業務を大幅に効率化
- ADセキュリティグループ管理、権限管理が適切に行えるようになり、外部サービス連携状況なども素早く可視化。
また、Oktaの各ユーザーに紐づく属性項目を適切に設定・運用することで、アカウント管理に関わる業務の大幅な効率化が実現。
統制のとれたアイデンティティ管理の実現
- セキュリティ水準を維持しつつ、ユーザーに対して利便性の高いSSOを提供しつつ、一方でアイデンティティ管理のマスタをMicrosoft ActiveDirectoryからOktaに変更することで、二重管理により分散されていたシステム管理者のリソースを一元化し、統制のとれたアイデンティティ管理を継続的に維持する体制を構築。
アイデンティティ管理の適正化を図ることになった背景は?
- 草場氏
これまでのID/アクセス管理基盤は基本設計からすでに15年以上が経過しており、その間の社員数の増加や組織の拡大に伴い、運用が複雑性を増していました。
たとえば組織再編や人事異動にあわせた権限設定の変更にタイムラグが発生するほか、ADセキュリティグループが何の目的で作成されたのか掴めない、ADセキュリティグループが適切に更新されていない、認証しているシステムを特定できない、利用者の所属部門が不明といった問題も顕在化していました。
IDaaSに注目した理由は?
- 草場氏
当社ではクラウドサービスの活用が進んでいることから、必然的にID基盤についてもクラウド型のサービスであることが最優先の選択肢となるとともに、社内的な合意を得やすい状況となっています。
また、IDaaSに対しては単にユーザー認証および各クラウドサービスや社内システムとの連携を担うだけでなく、事業者側で最新の機能やセキュリティへのアップデートが随時行われ、ベストプラクティスに則った運用設計が行われるという期待もありました。
こうしたIDaaSならではのメリットを生かすことで、セキュリティ統制のとれたアイデンティティ管理を目指しました。具体的には「アイデンティティ管理のあるべきガイドラインやポリシーを策定」 「標準的な運用ルール、オペレーション設計にもとづき維持・管理ができる状態を適正コストで実現」「事業部門のユーザーに対して標準的な認証方法を提供」といった目標を掲げました。
Okta並びにNTTデータ関西を選んだポイントは?
- 草場氏
Okta導入では、外部サービスとの連携やUniversal Directoryを活用したグループ設定、属性情報管理の自動化といった機能面を重視し採用しました。
また、NTTデータ関西には、業務構造改革推進室の主導のもとで2022年から行っている社内業務システム更改プロジェクトに幅広い協力をいただいているほか、クラウド型教育支援サービス「manaba」のインフラ運用でも支援をいただいており、強い信頼関係を築いています。
今回のOkta導入は、特に社内業務システム更改プロジェクトとも密接に関わってくることから、NTTデータ関西の実績を重視し、最初にお声がけさせていただきました。また、OktaのマスターリセラーであるNTTデータのグループ会社として、豊富な導入経験とノウハウを有している点にも期待していました。
もっとも、最初から決め打ちでNTTデータ関西を選定したわけではありません。他ベンダーから寄せられた提案を比較検討しましたが、当社が目指すガイドライン策定や持続的な運用設計などの課題を理解したうえで、プロジェクトに伴走していくという姿勢を示してくれた点に、NTTデータ関西の大きなアドバンテージがありました。上流工程から当社と一体となって取り組む提案をいただけたのが選定の決め手になっています。
プロジェクトのプロセスは?
- 草場氏
アイデンティティ管理の統制がとれた状態を継続的に維持するために、Oktaをアイデンティティ管理のメインとすることを前提としてプロジェクトを開始しました。
まず2023年5月のフェーズ1では、SSO(シングルサインオン)およびID管理を中心としたアイデンティティ管理の基盤構築に取り組みました。Oktaの機能を見極めて実現可能性を高めるため、準備・PoC期間を取りながらプロジェクトを進め、同年10月からの暫定運用を経て、11月に本格運用を開始しました。
また、フェーズ1と一部重なる形で2023年8月から2024年1月にかけて実施したフェーズ2では、ライフサイクル管理や自動化をターゲットとして進めました。
この2つのフェーズを経て、2024年3月にID管理のマスタを既存のMicrosoftのActiveDirectoryからOktaに切り替えています。- 竹内氏
当社の業務は、ActiveDirectoryの依存度が比較的に小さいこともあって、思い切った決断ができました。ただ業務に支障を及ぼすリスクも無視できないことから、NTTデータ関西と共にかなり入念な事前検証を行いました。
ほかにはどんな苦労があった?
- 草場氏
端的にはコスト最適化です。多様な端末からアクセスするユーザーの多要素認証を実現するにあたり、既存のMDM(モバイルデバイス管理システム)の利用を予定していたのですが、Oktaの認定製品ではなかったことからOkta社からも利用不可との回答がありました。別のMDM製品にリプレースするとなれば、初期費用やライセンス費の高騰など想定外のコストがかかってしまいます。
この課題に対してNTTデータ関西は、私たちと共に粘り強く調査を続け、代替策を見出して提案してくれました。- 竹内氏
具体的には既存のMDMがOktaと連携できるものではなかったため、適正デバイスを認識する情報を埋め込むことができなかったのです。この代替策としてOkta Verifyインストールで発生するOkta固有のデバイスIDを使用し、ユーザーに属性を紐付けすることで適正デバイス判断を実現できることがわかりました。
結果として、当初の予定どおりMDMを継続利用することで、コスト上昇を抑えることができました。
Oktaの導入効果は?
- 草場氏
ADセキュリティグループ管理、権限管理が適切に行えるようになり、外部サービス連携状況なども素早く可視化できるようになりました。
また、Oktaの各ユーザーの属性項目を適切に設定・運用することで、アカウント管理に関わる業務の大幅な効率化が実現されています。- 竹内氏
社内ユーザーはOktaのSSOを通じてさまざまなシステムを利用しており、高いセキュリティ水準を維持しつつ、操作面のクレームなどのネガティブな意見が聞こえてこないのは、満足できる成果だと思っています。
一方、社内情報システム部門の管理者からはアカウント管理業務やオペレーションが最適化されたことで作業漏れやミスが減り、運用効率が上がったと報告を受けています。
アイデンティティ管理の今後の展望は?
- 草場氏
外部サービスとの連携は適切に行えるようになりましたが、最小権限の原則を適切に運用しようとすると一手間かかっているのが実態です。社内業務システム更改プロジェクトと歩調を合わせ、より効率的な運用設計を追求したいと考えています。
また、将来的な構想としては、Windowsのドメイン認証も含め、Oktaでのアイデンティティ管理の一元化を見据えており、Oktaの機能拡張に期待しています。
そうした中でNTTデータ関西には、引き続き手厚いサポートを望んでいます。Oktaを活用した今回のアイデンティティ管理の適正化はスムーズに進められましたが、今後の課題解決に向けても、NTTデータ関西が保有する各種ソリューションや基幹システムなどの幅広いノウハウが不可欠です。
単に仕事を発注する、受注するだけの関係ではなく、私たちが抱えている課題感や将来の展望を理解したうえで、共に歩むパートナーであり続けていただければ幸いです。
