![SELECK [セレック]](https://seleck.cc/wp-content/themes/SELECK-v1/images/seleck-header-logo-white.png){kind=logo}
- 株式会社シャノン
- 技術統括本部 インフラマネージャー
- 藤倉 和明
10万通りのアカウント権限も一括管理! 常識を覆すID管理システム「Okta」とは
今回のソリューション:【Okta/オクタ】
ベンチャー企業が成長、拡大を遂げる過程で必ず直面する課題の1つが「セキュリティ」だ。中でも、様々な社内ツールや自社サービスの使用に付随するアカウントの適切な管理は、企業の情報セキュリティを保つ上で基本となる。
ただ、社員数や顧客の増加に伴い増え続けるアカウントを管理することは、想像以上に煩雑な業務であり、効率的な企業経営を行う上で1つの課題となっている。
そんな課題を解決すべく登場したのが「Okta(オクタ)」である。米ガートナーズ社がMagic Quadrantにて唯一Leaderに位置づけた、Webアプリケーションのアカウントを一元管理するIDaaS(ID As a Service)ツールだ。
日本でOktaをいち早く導入し、シングルサインオン(※SSO:一度の利用者認証で複数のコンピュータやソフトウェア、サービスなどを利用できるようにする仕組み)を実現したのが、株式会社シャノンだ。
マーケティングオートメーションツールの提供を通した顧客支援を行う同社では、約10万通りものアカウント権限をOktaを通じて一元管理することで、煩雑な管理業務を効率化することに成功したという。同社でインフラマネージャーを務める藤倉 和明さんに、その運用方法についてお伺いした。
▼様々なアプリケーションIDの一元管理が可能な「Okta」とは?
インフラエンジニアとして幅広くサービスに携わる
8年ほど前に、当時約20名の組織だった弊社に新卒でエンジニアとして入社し、それからほぼずっとインフラ周りの業務を担当してきました。
4年ほど前からプラットフォームテクノロジーチームのマネージャーを務めているのですが、具体的な業務としては自社サービスのインフラ全般、ハードウェア、ネットワーク、サーバー、情報システムといった幅広い領域に渡っています。
約10万件もの社内アカウント管理 申請⇒承認が面倒…
弊社は、マーケティングオートメーションツールを提供することでお客様の販促活動を支援しています。おかげさまで2000年の創業から事業も拡大を続け、それに伴いツールの利用者であるお客様のアカウント数も増加し続けています。
そこで、数年前からそれらの膨大なアカウントや、それぞれのアカウントに対する社員の権限設定をいかに効率的に管理するかが課題になってきていました。
お客様のアカウントにはそれぞれ社員が管理者として設定されるのですが、仮に弊社のお客様が持つドメインが合計1,000個あるとして、弊社の社員は約100名いるとします。
その1つひとつのドメインに対して社員の誰に権限を与えるかを考えると、単純に1,000 ✕ 100で10万通りのバリエーションがあるんです。各社員が申請を上げる度に管理者が個別に承認をしたり、社員の異動や退職などに伴う権限の削除を行っていくのは非常に煩雑で、もはや運用が困難な状況になっていました。
この課題を解決するためにシングルサインオンのシステムの導入を検討し始め、以前からお付き合いさせていただいている企業さんから「Okta(オクタ)」の紹介を受けました。
シングルサインオンの常識を覆すOkta
まずはOktaのフリーアカウントを試しに使ってみました。そして驚いたのが、Oktaを使うとひとつのIDとパスワードを設定するだけで、世の中の様々なアプリケーションと連携できることです。
これには非常に感動して、「常識を覆すシステムだ」と思いました。通常はシングルサインオンをシステムに組み込むためにはSAMLやOAuthといった認証用のプロトコルに対応する必要があります。
ただ弊社の製品はそれらを通じてID連携できる仕様ではなかったので、簡単にシングルサインオンを導入できない状態だったんです。
実は以前、自社でSAMLを使った開発を行い、「OpenAM」のようなオープンソースのIDフェデレーションプロットフォーム等を活用してシングルサインオンを実現しようと数ヶ月かけてチャレンジしていたことがあったんです。
でも、莫大な開発コストがかかってしまうために結局断念していました。Oktaを使うとこのような開発の手間は不要で、サービス側のIDとパスワードをOktaに登録する事でシングルサインオンが実現できます。
プラグインによるIDとパスワードの代理入力対応などの代理認証機能が充実しているので、大抵のサービスの繋ぎ込みが可能でした。このサービスは今後ID管理の領域におけるリーダーになるだろうと確信し、2015年の7月頃に導入を決めました。
シングルサインオンの実現でアカウント管理が大幅に効率化!
導入により、今では各従業員がOktaのポータル画面に入ってアクセスしたいアプリケーションを選ぶだけで、各アカウントに簡単にログインできるようになりました。入力するIDもポータル画面のログイン時の1つだけで済みます。
▼Oktaのポータル画面から各サービスに簡単にアクセス可能
シングルサインオンが実現できたことでアカウントの管理工数が半分以下になったので、新規のお客様のアカウント発行に必要なリードタイムも半減しました。
さらにActive Directory(※社内ユーザーのアカウントをサーバーで一元管理するWindowsの認証基盤)とも連携することで、退職者のアカウントも1回の作業で全てのロックアウトを早く確実に完了できるようになりました。
以前はサービス上に作成された退職者のアカウント削除と、ActiveDirectoryのアカウント削除の作業が分離していましたが、Oktaを導入してからはそれらが統合管理できているためです。
ニーズに合わせた細かいセキュリティレベルの設定も可能
Oktaではアプリケーション単位で権限管理者を指定することができ、きめ細かい権限コントロールができるようになっています。
また、必要に応じて二段階認証の設定やIPアドレス制限も可能なので、求めるセキュリティのレベルをニーズに合わせて調整できます。
更に、Oktaの管理画面では誰がどのアプリケーションにアクセスしたかのログを全てチェックできます。この機能があることで、通常だとセキュリティリスクが残る共有アカウントに対しても誰がアクセスしたかが分かるんです。
つまり、サービス上では共有アカウントのように振る舞いますが、実際にはOktaで個人識別できるようなログが残るため、共有アカウントの使い回しで発生するリスクを実質的にゼロにできるということになります。
「部署共有」のようなアカウントは運用上どうしても用意する必要が出てきますが、Oktaを使うことでこういった共有アカウントもセキュリティを担保し、安全に利用する事ができます。
また、アカウント課金かつ、共有アカウントが許されているサービスでは、Oktaを利用することでコスト削減にも繋げる事が可能です。
▼管理画面で全てのアプリケーションのアクセスログも可視化
「お手本にしたい」と思えるほど丁寧なOkta, Inc.のサポート
Oktaの機能面以外で非常に印象的だったのが、導入サポートがものすごく丁寧だったことです。Oktaの提供元であるアメリカのOkta, Inc.に導入の際の不明点を質問したり、社内でこんな風に使いたいという希望を伝えると、とても親身になってサポートをしてくれました。
テレビ会議で通訳を通して先方の担当者と話をしていたのですが、単なる導入のサポートではなく、「顧客先のビジネスの成功」までを本当に考え抜いて支援してくれる姿勢が伝わってきました。
お手本にしたいと思ってしまうような最高のサポートで、感動しましたね。現地時間ではありますが平日の昼間12時間はサポートも無料なので、本当に素晴らしいと思います。
カスタマイズも可能で安い!ID管理を進めている企業にはお勧め
Oktaは柔軟なカスタマイズも行うことが可能です。APIも充実しているので、弊社でもアカウント権限の申請ができるような業務フローを組んだり、パスワード変更のための自社用のインテグレーションを行いカスタマイズして利用しています。
また、SDKも豊富で、今ではPhytonや.NETといった言語でも簡単に開発できるようになりました。
そして、何より安いんです。私達が使っているシングルサインオンクラスは1ユーザー月額たった4ドルなので、費用対効果はとても高いと思います。
Oktaをオススメする企業としては、従業員数が100名を超えてきた位で、かつID管理でシングルサインオンの仕組みを導入する必要がある企業ですね。
ID管理への意識が高い企業は日本ではまだまだ少ないかもしれませんが、セキュリティレベルを上げるためには有効な施策だと考えています。弊社では今後は外部ツールとの連携をもっと充実させて、Oktaをさらに有効活用していきたいですね。(了)
