株式会社NTTデータ グローバルソリューションズ

社内システムチーム
馬場 順一郎 様
株式会社NTTデータ グローバルソリューションズ_株式会社NTTデータ グローバルソリューションズ 社内システムチーム 馬場 順一郎 様
株式会社NTTデータ グローバルソリューションズ
株式会社NTTデータ グローバルソリューションズ
株式会社NTTデータ グローバルソリューションズ社内システムチーム馬場 順一郎 様日本企業のグローバル経営を加速化させるマネジメント基盤をSAPソリューションを通じてワンストップで提供する企業〒130-0022
東京都墨田区江東橋4-26-5 東京トラフィック錦糸町ビル 4F
URL:https://www.nttdata-gsl.co.jp

OneLoginは柔軟性がすばらしく、クラウドマイグレーションに最適なツールです。
他社のクラウドSSOサービスとは内部の仕組みが違いますね。

株式会社NTTデータ グローバルソリューションズ 馬場 順一郎 様

1. OneLoginの導入企業

株式会社NTTデータ グローバルソリューションズはどんな会社ですか?

SAPを中心としたERPベンダーです。(馬場)

株式会社NTTデータ グローバルソリューションズは、NTTデータグループにおけるグローバルSAP事業のコア・カンパニーとして、NTTデータグループの世界41ヵ国・地域、176都市に広がる海外拠点と連携し、9,000名を超えるSAPコンサルタントとともに、国内外のビジネスをけん引する役割を担っています。(広報)

OneLoginのご利用はどのような部門で、何人で利用されていますか

2016年末時点の社員数は420名程度の会社です。NTTデータ グローバルソリューションズは、NTTデータグループで国内と海外をビジネスとする会社で、外国人の方も在籍しております。(馬場)

2. OneLoginの導入経緯

導入検討段階では、どのようなテーマ・課題がありましたか

Office 365の利用開始がきっかけです。セキュリティ対策を施す必要があり市場調査したところOneLoginを見つけました。当時はiDCからクラウドへの移行もふたつ目のテーマでした。この点でもセキュリティ対策を必要としていました。

導入検討段階では、どのようなサービスと比較されましたか

導入段階の調査では、他2社のSSOサービス、そしてペンティオ様のOneLoginなどを検討しました。この時点で一旦他社のSSOサービス(略称)”サービスO”を採用して検証しました。SSO”サービスO”を検証した結果、「”サービスO”の認証に移行できない」結論になりました。つまりOffice 365に対するセキュリティを担保できないという結論でした。この時の検証でどのような課題がありどのように対処しなくてはならないか洗い出せましたので、今度は「これら課題を解消できる別の方法を探しましょう」ということになりました。

それからもう一つ。この時点ではiDCサーバーで運用する予定でしたのでクラウド移行の前提ではありませんでした。その後、社員増加に伴いシステムサイジングが間に合わなくなることがわかりました。従来通りのシステム構成だと人員増加を見越した大がかりなシステムを導入して備える必要があることがわかりました。この時点でクラウドの柔軟性を得る為にクラウド移転が必要と判断しました。

課題1 検証した国内SSOではセキュリティ確保が困難
課題2 クラウドにしなくてはならない必然性が発生

導入検証でどんな点を比較しましたでしょうか

OneLoginは国内SSOサービスと毛色が違うと判断しました。一般的に「Office 365 WS-Federation設定は難しい・面倒くさい・トラブルが出やすい」と言う印象がありました。検証時の”サービスO”や別の(略称)”サービスH”を使うと一見簡単に利用できそうと思い、利用検証してみましたが、難しくは無いようにみえるけれどもやはり面倒くさい・トラブル障害が出やすかったという結果でした。

ところがOneLoginを試してみるとひと言で「超簡単です」。シンプルかつ簡単かつトラブルフリーです。何故か?OneLoginはActive Directoryサーバにエージェント等のインストールが実質ありません単体の実行プログラムのみです。あとのシステムは全部クラウド上です。自社システムとクラウドのあいだに中間又は変換サーバーはいりません。

またネットワークはインターネット越しで大丈夫です。そのインターネットに特殊設定は必要ありません。IPがいくつあっても大丈夫です。Active Directoryドメインがいくつあっても大丈夫です。Active Directoryが冗長化されていても対応できます。Active Directoryのユーザーパスワードの連携は双方向でも片方向でも大丈夫です。はじめは私も驚きましたけれども、WS-Federationがこんなに簡単にできるのかと驚きました。

では”サービスO”の場合はどうでしょう。WS-Federation連携を実現する前にはActive Directoryの連携が必要です。Active Directoryが壊れたら大変だな。”サービスO”だったらどうするのか、中継サーバーが必要です。意外とネットワーク要件も厳しいな。PowerShellでユーザー情報を書き込んでいるんだ。でもここがハッキングされたら危ないんじゃない。

障害が出た場合に認証セキュリティ設定を全て外して認証を切り替えることは実質できない。そこでOneLoginの話を聞くと「またまた。そんな簡単な話はないでしょう。実際利用したらきっと面倒くさいに違いない」と想像しました。しかしOneLoginの手順書を見ると「本当にこれだけ?」と疑ってしまいます。使うことは簡単だし、連携に問題無いし、なぜこんなにシンプルでトラブルが出ないのだろう。

MicrosoftがOffice認証をWS-Trust方式からADAL方式(先進認証)に切り替えた時には、”サービスO”であれだけトラブルで大騒ぎになっているのに、OneLoginでは障害が発生していませんでした。「同じWS-Federationといっても違うものなのだ」と認識しました。(馬場)

導入後に想定した運用に、適応できていますか

大きなテーマであるiDCからクラウドへの移行は想定とおりにうまくいきました。当初何故OneLoginはあれほど多くのアプリケーションSSOに対応しているのだろう?何故OneLoginだけトラブルが無く継続的に運用できているのだろう?国内大手企業が提供するSSOサービスがあれだけ苦心しているのに何が違うのだろう?と疑問でした。ところが実際に利用してみて気がつきました。そうか、同じ「WS-Federation認証」といってもOneLoginと国内SSOサービスではブラックボックス内部の仕組みが違うのだ。(馬場)

当初Office 365連携はIPアドレス制限だけできればとりあえずよい・・・と思っていたところ、いやいやそうじゃない、OneLoginを導入すればOffice 365だけじゃ無く様々なシステムを連携利用できる。そこにOneLogin導入とデータセンタークローズが重なりタイミング良くいきました。OneLoginはクラウドマイグレーションする為に最適なツールです。OneLoginはクラウド利用の為のフロントポータルサービスで他社SSOサービスとは違うと思っております。(馬場)

3. OneLoginのご利用状況

OneLoginで利用するSSOアプリケーションは何ですか

現在はExchange Online, Office 365のSSOを社内・海外からもOneLoginを利用しています。今後は社内ポータル(Intra-mart)やクラウド型経費精算システムで利用予定です。(馬場)

Intra-martのSAMLコネクターはペンティオが作成しました。既に利用実績のあるコネクタです。(長谷川)

会社の中ではモバイルで利用したいアプリケーションの筆頭がIntra-martなんですが、WebフォームからIDパスワードを打たせたくないですね。そこがセキュリティリスクになりますので。その点OneLoginならばパスワードを利用しないSAML認証ができるので安心できます。ユーザーはクリックするだけでログインできますし、詳細なログもとれます。ログイン管理とログ出力操作には手間がかかります。このログ管理のためにわざわざ別のシステムを用意するくらいです。(馬場)

Intra-martのログデータ等がSIEM (Security Information and Event Management)連携でクラウド管理できるようになると便利になりますね。(長谷川)

これまではクラウドをオンプレミスのように使いたいということが多くの要望でした。イメージとして「LANだから安全、Internetだから危険」が一般的な概念でしたが、逆だと思っています。いかに残っているオンプレミスをクラウドのように管理運用して使えるようにするか。そこにOneLoginが必須と思っております。


弊社のアプリケーション利用は今後も広がります。これからクラウド型経費精算システムの利用もSAML認証でシングルサインオン利用します。そして「SAMLに対応してるか」の次には「Provisioningに対応しているか」のほうが管理者には気になりますね。(馬場)
※ SIEM連携とは、サーバー、ネットワーク機器、クラウドサービス等から発せられるログを一元管理して不正を検知するシステム連携を指します。(編集部注)

アプリケーション利用権限の付与はどのように実施していますか

アプリケーション利用者のマッピングは”サービスO”では苦労しました。弊社はユーザーIDを社員番号にして、メールアドレスとは違う体系で利用していますが、”サービスO”の場合はUPN (User Principal Name) 以外の値にユーザーマッピングができなくて苦労しました。

そこで、OneLoginでもユーザーマッピングでは苦労するのではないか、と思っていました。ですがペンティオさんから「簡単にできます」と言われて「ええっ」。失礼な言い方ですけど国内大手ベンダができないと言っている機能要求を簡単に実現できるのかな?と感じました。

「そんな簡単にできるはずはない」が最初の印象でした。(馬場)

その印象と違っていかがでした。(長谷川)

そこのエクスペリエンスをいかに多くの方に知ってもらうか、OneLogin導入する側の方に知ってもらいたい点ですね。(馬場)

OneLogin導入検討に他の検討課題はありましたか

OneLoginは使う側のユーザーも、導入する側の管理者も、どちらの立場の者も導入すればお互いにメリットが生まれるソリューションだと思います。珍しいシステムだと思います。普通は「ユーザーの利便性の為にシングルサインオンを入れます」という場合管理者はたいへんになるけども仕方が無い。逆に「安全の為にセキュリティシステムを入れます」この場合ユーザーの利便性が下がるけれども仕方が無い。というどちらかの場合が多いですよね。どっちを優先するかという課題がありますよね。「OneLogin は管理者とユーザーの両者にメリットがあります」というサービスはなかなか無いと思いますね。(馬場)

OneLoginはサービス創業当初から利便性に意識のあるサービスだなと感じています。(長谷川)

今までは事業拠点が複数あると、RADIUSサーバーがあるデータセンターまでネットワークを用意して、各拠点を結んで、RADIUSがきっちり通るかNWを確認して、レスポンスを考えると対向ルーターもきっちりと構築しなければな・・・などといろいろ検証環境で確認して本番環境に移して・・・と大変です。OneLoginならこんな簡単にあっさりできます。これならシステム部門が「是非やりたい」となりますね。(馬場)

まだまだ「OneLoginをこんなふうにも使えそうだ」という点がいろいろ思いつきますね。(長谷川)

OneLoginの話をうかがっていてActive Directoryを安全に使いこなす仕組みですね。社外から安全にActive Directoryのユーザーパスワードを変更できます。これだけでも管理者と利用者双方にとって大きなメリットです。(馬場)


OneLoginを利用したクラウドのセキュリティの形態を採用して、旧来のLANから外に出さないセキュリティの方針企業にどのようなアドバイスをいただけますか

例えば、全世界でレプリケーションしている10,000人くらいのデータを復旧してくれるサービスコストを自社で負担することは果たしてできるでしょうか。OneLoginほど低コストで実現できるところは無いですよ。

失礼な言い方かもしれませんが、弊社のように自社でデータセンターを持っている会社、あるいは弊社グループ内であればデータセンターはいくつかあります。でも一般の国内企業であれば自前のデータセンターを用意や海外各国にデータセンタを用意することはかなり困難だとおもいます。人もいませんし、プロフェッショナルが運営しているところが安心できますね。そもそもOneLoginには暗号化されたデータで保管されているので安全に維持されていますね。

仮にOneLoginがクラッキングを受けてデータが盗まれても暗号化されています。データを取り出そうとすると規格を打ち破ってデータを復号しなければ取り出せませんね。これらの構築と運営を個々の企業単位でお金を積んでやるのと、OneLoginを採用するのとどっちが安全でしょうか。明らかに後者でしょうね。さらにOneLoginを利用するには莫大な費用がかかるわけでは無く、正直そんなにビックリする金額ですか? これだけクラウドらしいメリットを享受できるのに。使わない手はないと思います。(馬場)


日本のセキュリティ基準の見直しが必要だとお感じになりませんか

そうですね。考え方、価値観を変える必要があると思います。「本当の安全とは何?」と伝えたいですね。(馬場)

大事なアカウント部分は暗号化しておいて、ちゃんとメンテナンスされている信頼できる安全なサービスに預ける選択肢はありではないかと(長谷川) ※ 2017年5月31日セキュリティインシデントが発生しました。(編集部注)

そうです。外に出すから危ないのではなくて、外に出してプロがやった上で、かつ一元管理をして、本物データは自社内にあってそれを元に、最悪の事態であるなりすまし・ハッキングを受けても見つけられる、トレースができる、止めることができる仕組みにしましょう。それであればどんな事態でも確実に対応できますよね。もし、自社内のActive Directoryで同じことをやろうと思ったら相当大変かと思います。(馬場)

4. OneLoginへのリクエストはありますか

OneLoginが新機能・新サービスを追加するとしたら、何を希望しますか?

ふたつあります。ユーザー判定方式(ユーザーポリシー)を、AND / OR条件で組み合わせて設定できるようにして欲しい。弊社のシナリオでいくと、まずOneLoginへのログインをIPアドレスで制限しています。「このIPアドレスで接続している場合は通りますよ。それ以外のIPアドレスの場合は証明書を入れていると接続できますよ。」といったログインポリシーをAND / OR条件で設定できるようにして欲しい。(馬場)

なるほど。もうひとつは?(長谷川)

もうひとつは端末を特定して証明書をダウンロードできるようにできないか。端末それぞれを識別できると本当にすごいなとおもいます。(馬場)

ありがとうございます。良くわかりました。米OneLogin,Inc.に要望してまいります。(長谷川)


5. ペンティオに対してどうお感じですか

「クラウド利用をはじめようと思ったとき、持たざるITをはじめようと思ったときは、まずペンティオさんに聞いてみましょう」と言いたいです。

一番はじめにOneLoginのお話を伺ったときにも「あっ大丈夫だ。ペンティオさんはOneLoginをちゃんと知っていらっしゃるな」と直感しました。その安心感は全然違います。(馬場)

OneLogin導入2年前からOneLoginをご紹介させていただきました。導入構築のご支援もさせていただきました。(長谷川)

「サポート」とひと言で表現すると同じに聞こえますが、出たトラブルに対してのサポート解決と、こういう事に悩んでいるという課題解決とはすごく違うと思います。ペンティオさんは「長くおつきあいをしたい課題解決パートナー」です。(馬場)


本日は、有意義なお話をいただきありがとうございました