国内化粧品市場に於いてトップシェアを誇る資生堂は、全世界 3万人の従業員が単一のアカウントで複数のアプリケーションへセキュアにアクセスできるグローバル認証基盤を米国Centrify社のクラウドIDaaSサービスであるCentrify Identity Serviceで短期間に実現した。

なぜ資生堂はクラウドでの認証基盤が必要だったのか

彼らは、社内インフラのクラウド化を急ピッチで進めており、全世界の社員が利用するグローバルポータルは、IaaS 環境に構築する計画であった。また、オンプレファイルサーバのサポート切れに伴い、SaaS型のオンラインストレージBOXへ大きく舵を取った。しかし、これらクラウドアプリケーションの運用を検討している中で、認証基盤はどうすべきか検討課題に急浮上したのだ。

既にオンプレアプリケーションは、統合Windows認証でシングルサインオンが実現できていたが、それは国内に限られていた。しかも、その仕組みをそのままクラウドアプリケーションに当てはめることはできない。また、今回の基盤はグローバル基盤であり、海外現地法人の社員のID管理はどうするのか。大きな課題が浮上したのだった。

アプリの個別管理はセキュリティリスク

SaaSアプリケーションはサーバ管理の手間を省ける反面、インターネット上のどこからでもアクセスが可能だ。つまりID管理と、アクセス制御を適切に行う必要がある。

たとえば、退職したユーザのアカウントをオンラインストレージから消し忘れた場合どうなるのか。その社員に悪意があれば、オンラインストレージからの情報漏えいの危険もぬぐえない。実際に、SaaS先進国アメリカではよく発生する問題だ。

また、覚えやすいパスワードをいろいろなアプリケーションで使い回すとハッキングの危険性が増大する。実際、Verizonが発行している2016年Data Breach Investigations Report によると、データ侵害事件の63%に、管理の甘いID情報や盗まれたパスワード情報が利用されてしまっていると報告している。

セキュリティ以外の面でもユーザの生産性の大幅な低下、IT 部門の日々の管理業務の増大など多くの問題が発生してしまう。 さらに、資生堂にとっては、今後クラウドアプリケーションの利用促進が見込まれるため、そのクラウド、オンプレいずれにも適用可能な認証基盤の整備が急務であった。

Centrifyを含めた4製品を検討

資生堂では次期認証基盤の選定、評価チームを結成し、Centrifyを含め4社の認証製品を検討した。資生堂の検討課題としては以下の通りであった。

  1. クラウドアプリケーション(ポータル、BOX)、オンプレアプリケーション(Sharepointなど)に、SAMLプロトコルを利用してでSSOできること。
  2. 国内ユーザはActive Directoryのクレデンシャル情報を元に認証できること。
  3. ADに登録されていない海外ユーザを認証できる仕組みを持っていること。
  4. 4将来、世界に点在する複数Active Directoryとの連携がドメイン統合なしに実現できること。
  5. ユーザ画面、管理者画面共に日本語を含め多国籍言語対応していること。
  6. iDaaSが、統合Windows認証に対応し、ゼロサインオンに対応すること。
  7. セキュリティに配慮し、Active Directoryの情報をクラウドにレプリケーションしないこと。
  8. 日本にIDaaS基盤を用意し、サービス提供していること。

これらの要求をすべてクリアし、「クラウドアプリケーションへのユーザプロビジョニング機能」や、「VPNレスでオンプレアプリにSSOできるアプリケーションゲートウェイ機能」を有したCentrify Identity Serviceが最高得点であった。

Centrify Identity Serviceの導入による効果

Centrify Identity Serviceは、統合Windows認証に対応しているため、国内ユーザは、出社時、PCにログオン時に、 Active DirectoryのID/パスワードを利用しドメイン参加すれば、グローバルポータルやBOXなどのアプリケーションにログイン操作することなく利用でき、ユーザの生産性、利便性が格段に向上した。

さらに、Centrify Identity Serviceは、 オートプロビジョニングにもオプション費用なしに利用可能だ。管理者はBOXにアクセスできる権限をActive Directoryのユーザやセキュリティグループに付与すれば、Centrify Identity Serviceが自動的にBOXに対しユーザ、ホームディレクトリを作成。さらに、 退職した従業員をActive Directoryで削除、無効化すれば、自動的にBOX側でアカウントを無効化、一切ログインできなくなる。この為、退職者からの情報漏えいも防ぐことができ、管理工数の削減ばかりか、セキュリティ対策にも一躍かっている。クラウドにActive Directoryユーザ情報をクラウドにコピーすることもなく、フェデレーションを実現できるため、セキュリティを担保しながら、安全にクラウドアプリケーションを利用できるようになった。

今後は海外拠点のActive DirectoryもCentrify Identity Serviceを連携し、従業員の生産性を向上させていく計画だ。