弁護士ドットコム株式会社
東京都港区六本木4-1-4 黒崎ビル6F
URL:https://www.bengo4.com/
ペンティオは、圧倒的なスピード感と、OneLoginやPKIの知識を中心に、質問に対する歯切れ良い回答をいただけます。
弁護士ドットコム株式会社 武川 智法 様
1. 弁護士ドットコム株式会社とは
弁護士ドットコムとはどのような会社ですか?
世界中の人達が「生きる知恵=知的情報」をより自由に活用できる社会を創り、 人々が幸せに暮らせる社会を創造するため、 「専門家をもっと身近に」を理念として、人々と専門家をつなぐポータルサイト「弁護士ドットコム」「税理士ドットコム」「BUSINESS LAWYERS」、契約マネジメントプラットフォーム「クラウドサイン」を提供する会社です。
2. OneLogin導入の経緯
OneLogin導入以前には何をご利用でしたか?
ディレクトリサービス、SSOサービス、IDaaSサービスなどの利用はありませんでした。クラウドサインサービス立ち上げ頃からセキュリティ向上にとりくみを進め、IDaaS導入に至りました。(若月)
OneLoginと比較したサービスは何ですか?
IDaaSとしてOktaを比較しました。エンジニアからはOktaがいいとの声もありましたが、運用現場からはOneLoginがいいと意見が分かれました。その検討中で入社したエンジニアが「以前の会社でOneLoginを利用していた。自身が運用も担当していたのでオペレーションもできるよ。何しろOneLoginサポートはペンティオさんがいいよ。ペンティオならばOneLoginサポート資料も日本語で充実しているし、サポート対応がいいよ。」と意見がでました。それならば導入とオペレーションコストも低く抑えられるし、OneLoginでいこうとなりました。(若月)
どこが決め手となりましたか?
日本国内ではID/PWでログインするForm-based認証サービスがまだまだ多いため、現在の日本で利用するにはOneLoginのほうがいいのではないかというところでOneLoginに決めました。(若月)
3. OneLoginのご利用状況
OneLoginのご利用状況を教えて下さい。
Google, Slackコミュニケーションアプリは全従業員で利用しています。特定のチーム・部門で利用するアプリも多数あります。全体で150アプリ以上へのSSOで利用しています。(武川)
社内開発チームなどの部門ごとのアプリ利用は?
自社プロダクトは内製でサービス開発をしています。マーケティング部門もあります。クラウドサインや、弁護士ドットコムを法人向けにセールスする営業部門もあります。お客様をサポートするカスタマーサクセスチームもあります。これら部門ごとにそれぞれ最適なクラウドアプリケーションを利用しています。これらそれぞれの部門で利用するクラウドサービスへOneLoginを通してSSOする運用を標準としています。(武川)
部門で利用しているクラウドサービスの認証の取り込みはどのようにしていますか?
クラウドサービスを利用する部門から「こんなアプリケーションを利用したい」と希望があがると、情報システム部門で審査をします。セキュリティを審査する過程で、OneLoginに対応している・対応していないも判定しています。ですから、情報システム部門からアプリ利用部門にOneLoginを使ってと説明しています。(武川)
クラウドサービスごとのアカウントはどのように管理していますか?
部門で利用したいクラウドサービスのアカウントは、それぞれの利用部門でアカウント発行するのではなく、情報システム部門で一元的に管理しています。(武川)
コロナによる影響はありましたか?
コロナ禍で官公庁・東京都指示に従って原則出社はせずリモートワークを通達しています。現在9割以上のスタッフが出社せず業務しています。この環境下においてひとり1台のmacOSのノートPCを持ち帰って利用してもらっています。当社ではゼロトラストネットワークの考え方でシステム構成をすることで、セキュリティ上の懸念点を克服しています。
本当に本人がログインしているかどのようにして判定していますか?
OneLoginを導入した当初は本人であるかどうかを判定するMFAを利用していました。その後、クラウドサイン事業を官公庁・地方自治体で使っていただきたい希望があるので、民間セキュリティ認定ではなく政府セキュリティ調達基準のISMAP認定を取得するセキュリティ認定方針となりました。2021年12月に審査合格してISMAP認定を得ました。ISMAP取得をきっかけに、全社のセキュリティレベルを引き上げるべきだとの方針から、BYODの制限を実現するために、会社支給PCでのみクラウド利用できるようにデバイス認証に取り組みました。(武川)
どのようにして実現されましたか?
時間的に猶予のないところでデバイス認証を実現する必要がありました。ISMAPのセキュリティ水準を満たすために、ペンティオ長田さんに協力していただき、スピード感をもってデバイス認証実現に対応していただきました。(武川)
デバイスを特定するMFAとしてデバイス証明書をおもいつきましたか?
実現までひと月ふた月しか残されていない段階になって、CASBなどのゲートウェイ方式の制限など他の選択肢は検討から外れ、電子証明書によるデバイス認証でないと実現できないと判断しました。(若月)
既に導入しているOneLoginに、デバイス認証の証明書を発行するSecureW2を加えて実現する事ができました。時間的にもコスト的にもこの方法を判断して良かったです。(武川)
電子証明書をどうやって配ろうとなさいましたか?
ご相談いただいた時点で、macOS PCとスマートフォンとで利用しているMDMサービスに違いがありました。macOSはSecureW2が発行した証明書を配布することをスムーズに連携できるMDMサービスで管理されていました。こちらは短期間で証明書配付ができました。
スマートフォンはSecureW2が発行した証明書を、それぞれのスマートフォンに配布することをサポートするサービスでは無かったので、あらかじめまとめて発行した電子証明書を、個別に届ける作業で実現しました。限られた時間の中で実現するにはこの方法で対応することができました。(長田)
国内のスマートフォン用MDMサービスで、電子証明書を配布ために、若月と長田さんとで苦戦しているところを見ていました。(武川)
たまたまペンティオはMDMサービスベンダー様と繋がりがあったので検証環境をだしてもらう事もできました。(長田)
まさに、こういうところがペンティオさんの強みですね。(武川)
今後のお考えや計画は?
OneLoginは当社のID認証の基盤として利用しています。150クラウドサービスで利用しています。さらに全社で利用しているクラウドサービス全体のカバー率をあげていきたいと考えています。(武川)
OneLoginへの希望はありますか?
OneLoginの管理者画面を日本語化して欲しいです。
もうひとつはセキュリティ認定です。OneLoginはISOとかSOC2などは認定取得して対応していることは承知していますが、これは我々独特の希望かもしれませんが、ISMAPを取得して欲しいです。ISMAP認定サービス事業者は公開されています。OneLoginにISMAP認定を取得して欲しい願いがあります。(武川)
承知しました。米国OneLogin Inc.に働きかけてまいります。(長谷川)
証明書認証の次のステップとしては何をお考えですか?
次のステップとしては、デバイス認証を証明書の有無で判定するのではなく、証明書のサブジェクトの内容で認証判定をしたいと考えています。検証用のデバイスに証明書を搭載しているか搭載していないかだけで、接続判定する課題を解消していきたいです。(大橋)
米国OneLogin Inc.に機能追加として要望を上げてまいります。(長谷川)
OneLoginとSecureW2を組み合わせて、どんなビジネスメリットをお感じですか?
やはり、当社の規定として、OneLoginでデバイスを特定して利用させる方式で運用しています。セキュリティの安心感があります。
クラウドサイン提供する当社のエンタープライズセキュリティとしてはこのレベルは必要であると考えています。ビジネスメリットを感じています。(武川)
4. ペンティオに感じたこと
デバイス認証を導入したプロジェクトでも感じたところですが、私たちがスケジュールに余裕がないところでご相談したにも関わらず、即応じていただいて、提案は二段構えでいただきました。
ペンティオには、圧倒的なスピード感と、OneLoginやPKIの知識を中心に、質問に対する歯切れ良い回答をいただけるので、私たちも早い判断が下せ、助けられていると感じています。引き続き、得意とするソリューション領域を磨いていただきたいと思います。(武川)
これからもご期待に応えていけるようにしていきます。たいへん有意義なお話をありがとうございました(長谷川)
