IDaasを用いて実現したいセキュリティについて
休日の便利でお得な遊び予約サイト「アソビュー!」を運営している
アソビュー株式会社で、精算関連のシステム、社内の情報システムのマネージャーを担当している並木です。(最近ロゴ変わりました)
Amazon の新生活セールで、全自動コーヒーメーカーを買ったところ
豆を挽く音と匂いに充実感と幸せを感じております。
そういえばスターバックスでもようやく電子決済やQR決済ができるようになりましたね!この辺も地味に幸せ
閑話休題
今日は、以下のタイトルで少しだけお話しさせていただければと。
前提として、IDaas とは何か?という説明は以下をご参照ください。
IDaaSとはIdentity as a Serviceの略で、IDやパスワードなどのログイン情報の一括管理を行えるクラウド型のID管理サービスです。オンプレミスが前提となっていたID管理を、クラウドサービスとして手軽に導入できるようになりました。
IDaaSでは各種のクラウドサービスへのシングルサインオンにも対応できます。
- 社内の課題について
- IDaas を導入することになった経緯
- 導入後に直面した課題
- 実現したい未来
1.社内の課題について
一般的な企業、経済活動を行う全ての団体に言える(ちょっと大げさ・・)ことかもしれませんが、コンプライアンス、インシデント、セキュリティリスク等に常に注意して活動を行う必要があります。
ですが、今回のコロナのように、急な社会の変化にも対応すべく、柔軟な対応を求められる部分もあり、ガチガチのルールで縛るのか、多少のリスクは運用でカバーしていく方針に舵を取ることもあります。
ほとんどの場合、この運用に課題、問題があり、一般的には以下の例があります。
・対応が属人的である
→担当が変わると、運用が引継ぎできていないことが多い
・パスワードを使いまわしている
→パスワードを共有していたり、個人では無く、共有のアカウントを使用していたり
・セキュリティについての理解度の差
→大事なのはわかってるけど、何でやるのかわからない。。。
→リテラシーの問題もあり、ツールのセキュリティ運用が回っていなかった
などなど。
全て当てはまるわけではありませんが、上記のような問題が、我々の社内でも発生しておりました。
2.IDaas を導入することになった経緯
上記の課題、問題の解決策としてももちろんですが、IDaasに期待できる役割の一つに
「プロビジョニング」という機能があります。詳しくはこちら
詳しい機能の解説は割愛しますが、要するに
「入社、退職に伴うアカウント管理が、非常に楽になる。」というものです。この機能については、担当の稼働時間削減よりもセキュリティ面において非常に有用です。
例を挙げると
従来発行していたアカウントが10種類あり、それぞれに大事な情報を参照できる権限を保有していた場合、退職に伴うアカウント削除、権限剥奪を10種類分行わなければなりませんが、IDaas のアカウント削除一つで、10種類全て使用不可とさせることができます。
また、アクセスコントロールをすることも可能で
メンバーAさんはログインすると自動的に参照権限になる
マネージャーBさんは、編集権限を保有するアカウントでログイン可能
などなど。
そして、ツールの選定については、海外・国内製品で
・Onelogin
・Okta
・トラストログイン
・IIJ ID
などを代理店含めて検討し、ツールの費用や、実現したい未来を描きながら、最終的に「Onelogin」を導入しました。
正直に言うと、どの製品でも、機能的な差分はほとんどないかと思います。細かい機能の検証まで確認できていないので、あくまで表面上で知りうる情報では。という前置きがつきますが。。
ではどうして「Onelogin」にしたか?というところですが
・価格
・サポート(管理画面含めての日本語対応など)
・連携ツールの多さ及び、柔軟な対応
この辺りが導入を決めることになったきっかけになります。
3.導入後に直面した課題
導入に至るまで、ツールの選定や検証にいくつか問題はありましたが
どうにか、ほぼ(ここ大事)スケジュール通りに導入することができる運びとなり、十分な事前周知、全社会議での説明、準備期間を設けて段階的な導入と慎重に万全を期して進めていましたが
・メールをみてなかった
・どうやって導入したらいいかわからなかった
・突然ログインできなくなったんだけど!
・パスワードわからなくなった
・SSOするツールが増えすぎて管理できなくなってきた(管理者の問題)
といった問い合わせが導入してから頻発するようになりました。
これは、周知展開側の問題と認識していて、「十分な」の点についての認識の差があったことが原因かなと。
そのため、今も問い合わせがある状況ではありますが一人一人にしかっかりと導入いただくために、丁寧に説明をし、全社での導入促進に勤めていきます。
4.実現したい未来
外部からの攻撃はもちろん、内部で発生しうるセキュリティリスクとは、情報産業に携わる以上、管理者で無くとも一生意識する必要があります。ですが、リスクに怯えるだけでは、我々アソビューが実現したい
「ワクワクを全ての人へ」
この未来が実現できません。
そのため、リスクに怯えることなく
・安心してエンジニアが開発ができる
・営業担当が顧客との商談に集中できる
・カスタマーサポートが迅速に顧客に対応できるようになる
・コーポレート部門の担当者が安心して業務を遂行できる
etc…
壮大なタイトルの割にすごく当たり前のことしか書いておらず、期待させてしまっていたら大変申し訳ないのですが
この未来を実現するためのツールとして、導入を決めたIDaasです。
まとめ
もちろん、ツールを使うのも我々人間なので、ツールだけに頼らず、個人の意識であったり、セキュリティに関しての知識・知見のアップデートなども常々実施する必要があるのですが、ツールの導入は確実に社内のメンバーの意識改革を促します。有用なツールとするのか、不要なツールとなってしまうのか、まだ課題は残っておりますが、大事な情報を取り扱う担当として、責任を持って遂行できればと、考えております。
最後に
我々アソビューで一緒に働く仲間を募集しております。
元々SIer で請負開発をしていた私も、事業会社って面白そう。。というところから、話を聞いてみたい!と気軽に声を掛けたところからスタートして、現在様々な仕事を任せてもらっています。
是非一度、お話だけでも聞きに来ていただければ幸いです。
