株式会社オルトプラス

開発部 副部長
和田 正人 様
開発部
笠藤 晴香 様
開発部
日向 智博 様
株式会社オルトプラス_株式会社オルトプラス 開発部 笠藤様、和田様、日向様
株式会社オルトプラス
株式会社オルトプラス
株式会社オルトプラス開発部 副部長和田 正人 様開発部笠藤 晴香 様開発部日向 智博 様〒150-0002
東京都渋谷区渋谷3-12-18 渋谷南東急ビル 9F
URL:http://www.altplus.co.jp/

オンプレミスのシングルサインオンシステムに想像していたようなアプリ改修や運用負荷の心配点はOneLoginにはありませんでした

株式会社オルトプラス 開発部 副部長 和田 正人 様

1. OneLoginの導入企業


株式会社オルトプラスはどんな会社ですか?

2010年5月創業のスマートフォンゲームの開発・運営をしている会社です。「ダービーロード presented by みんなのKEIBA」をはじめ14タイトルほどの開発・運営をしています。最近はもう少し業容を広げてきています。従来のゲーム運営は自社企画開発のタイトルだけでしたが、近年は他社で開発されたゲームを弊社で引き取って運営を行う運営移管事業も拡大しています。また、弊社にはベトナムに子会社があります。もともとは自社のゲーム開発を行う拠点としていたのですが、現在ではオフショア開発拠点として、ゲーム問わず開発、運営に対するソリューションを他社様にご提供しております。(和田)

導入検討段階では、どのような課題がありましたか

「統合ID」と「システムの可視化」の二つの課題がありました。

■統合ID

OneLogin導入以前はグループウエアやシステムにそれぞれ個別のIDパスワードを設定して運用していましたが、管理も煩雑になるため、統合IDを構築していきたいと考えていました。(和田)

■システム可視化

管理やシステムが点在していたこともあり、何処に・どのようなシステムがあるか、社員がわかりづらいという課題がありました。例えば入社時のオリエンテーションでざっとシステムを知り、そのあとは逐一周りの社員にどこに何があるのかを聞き…という状態でした。「どこになにがあるのか」を社員に理解してもらえることで、より業務の効率化を図りたかったのです。(和田)

これらふたつの課題をどのように検討されましたか

統合IDに対しては最初はLDAPを考えていました。OpenLDAPなどはオープンソースのモノもあって、それらを作りこみするか、LDAP Managerのようなパッケージを買ってくるかどちらにしても二の足踏んでいました。この時間が長かったです。またシステムの可視化は、ポータルサイト(道しるべ)を構築したいと思っていましたが、なかなか手が回らなかったので、まずは統合IDを優先に検討していました。

和田個人としては、シングルサインオンシステム製品は運用がたいへんであるイメージがありました。過去にCA Site MinderやIdentity Managerを使っていた経験から、シングルサインオンシステムは運用が大変だとわかっていました。また、使う側のアプリケーションを改修して統合IDシステムに寄せていく作業も必要となり、非常に大変です。また一部には寄せきれないで統合IDから浮いてしまうアプリケーションも残る課題も有りました。(和田)

「統合ID」導入から「シングルサインオン」導入に至る経緯は

そんな経験からシングルサインオンをそれ程重要視していませんでした。また、オンプレミスのシングルサインオンシステムはしっかり構築して維持しないと、仮にシステム障害になるとどのシステムもログインができなくなり、業務の停滞を生みリスクになるとも思っていました。そのような経緯もあり、当初「統合ID」は予定していたが「シングルサインオン」までは考えていませんでした。

これに対し、今回検討のOneLoginはオンプレミスではなくクラウドサービスなので負荷状況などのリース監視まではそれほど神経質にならなくてもいいため、維持運用はそれ程大変ではないなと想像しました。また、シングルサインオンを行うためのアプリケーション側の改修については、OneLoginの場合は「IDパスワードの代理ログイン」を利用することで、Webアプリケーションはアプリ改修をせずにログインすることができるので、シングルサインオンが出来ず、浮いてしまうアプリが少ないと感じております。(和田)

導入検討段階では、どのようなサービスと比較されましたか

ペンティオさんのOneLogin紹介で魅力を感じて、OneLogin検証環境で連携テストを実施したところ「いけそうだ、使えるな」と感じました。今回の導入ではOneLoginと比較検討したソリューションはありませんでした。(和田)

導入に関わる期間はどのくらいだったでしょうか

少し前のプランニング時は、「統合ID」用のアカウント管理にActive Directoryも検討していました。ただし社内PCの約半分がMacということもあり、Active DirectoryへのPC参加は考えておらず、そうするとActiveDirecotryアカウントのパスワード変更の仕組みを別途用意する必要が出てきます。また費用面でもオンプレミスActive Directoryは、OSのライセンスとは別にCALライセンス費用もかかりますのでActive Directory導入には二の足を踏んでいました。

ところが、OneLoginを導入した場合、「OneLoginからActive Directoryユーザーパスワードを変更する」という選択ができました。これならばOneLoginを通じてActive Directory上のパスワードを変更することが出来、またAWS上でActive Directoryを構築することにより毎月の費用にライセンス費用が組み込まれているため、OneLogin + AWS + Active Directoryという組み合わせにすれば、ユーザーディレクトリとして安価に活用できるので、この組み合わせは非常にいいなと判断しました。

この検証期間も含めて1ヶ月程度でした。(和田)

導入後に想定した運用に、適応できていますか

当初想定していた運用には適応できています。(和田)

3. OneLoginのご利用状況

OneLoginで利用するSSOアプリケーションは何ですか

40から50アプリケーション程度利用しています。
全員が使う共通アプリケーションが25ぐらいあります。(笠藤)

アプリケーションの登録に工夫していらっしゃる点はありますか

アプリケーションの登録には管理者用のアプリが多くあります。他には、業務でよく使うGoogle Drive上のスプレッドシートへのリンクも、OneLogin上に置いて使っています。

社内のチャットシステムで業務データファイルの所在を案内しても、すぐに流れていってしまうので、業務上重要なファイルはOneLoginに置いて利用しています。この方法をつかうと、社員の問い合わせ回答としても「OneLoginに置いて有るから・・・」と説明が楽になります。

どんな環境からOneLoginを利用されていますか

社外からの接続も許可していますが、社内からのアクセスがほとんどです。SAMLアプリであればOneLoginにログイン認証が移管されてきますので、安心して利用できます。(和田)

Form-base認証 と SAML認証 を使い分けていますか

選択できるのであればSAML認証アプリケーションを利用しています。
ただしGoogle AppsだけはForm-base認証にしています。業務上必要な場合に限りですが協力会社担当者にGoogle Appsメールアドレス・ライセンスを付与することがあります。その為にGoogle AppsだけはForm-base認証で利用していますが、いずれはSAML認証で利用することも検討します。

可視化の目的もあって、たとえそのアプリケーションへのアクセス権が無いユーザーでも、アプリケーションアイコンを見えるようにして、クリックしてもログインできない状態にしています。これは業務に必要なアプリケーションの存在を知ってもらう為にあえてアイコンを表示させて可視化しています。(和田)

ユーザー接続ポリシーに、二要素認証をお使いいただいていますか

社内ではIDパスワードでログインしていますが、社外からはIDパスワード + OTPを利用したいとおもっています。そろそろOneLoginが浸透してきたのでMFAを利用しようと思っているところです。(和田)

ではOneLogin次のステップはどんなテーマですか

OneLoginを利用して次のステップとしては、OneLoginからクラウドアプリケーションへのユーザーProvisioningを利用する段階ですね。(和田)

4. OneLoginに感じること

オンプレミスのシングルサインオンシステムに想像していたような心配点はOneLoginではいかがでしたか

オンプレミスのシングルサインオンシステムに想像していたようなアプリ改修や運用負荷の心配点はOneLoginにはありませんでした。
運用的にもオンプレミスシステムより楽です。ちょうど今業務アプリケーションシステムを入れ替えているところがあるのですが、新しいアプリケーション利用開始の案内も、OneLoginを案内するだけなのでたいへん楽です。(和田)

OneLoginのメリットは何ですか?情報システムメンバーの方、社員の方それぞれはどう感じていらっしゃいますか

これまで社員入社時のオリエンテーションでは膨大なページ数の資料を提示して、新入社員個人のシステム設定を施してもらうのに半日を費やしていました。それがOneLoginを導入した後は、OneLoginまでたどり着いてもらえば、そこからアプリケーションへのアクセスは説明がいりませんし、質問があれば社内のFAQサイトへのアイコンをOneLogin上に表示させておけば、あとはそこをクリックしてもらえば知りたい情報を見てもらうことができます。(笠藤)

これまでは不明点がある社員には、その社員の元を訪れて説明する必要がありましたが、OneLoginのおかげで新入社員の質問はずいぶん減りました。(日向)

社員からはアクセスしやすいと意見があります。 例えば管理部門で利用している共有アカウントは2ヶ月に一度パスワードを変更しており、パスワードの変更後は問い合わせが必ずきていました。OneLogin導入後はOneLoginのみからアクセスできるようにしたので、利用者はパスワードを知らなくても、クリックするだけで利用できるようになりました。これにより、パスワードの定期変更の運用もなくなり問い合わせも減りました。(和田)

5. OneLogin導入支援のペンティオにどのようにお感じいただいていますか

OneLoginが新機能・新サービスを追加するとしたら、何を希望しますか?

非常にOneLoginの知見をもっていらっしゃる会社だとおもいました。何かあったらすぐ訊けて教えてもらえるという安心感があります。今後、Office 365 WS-Federation設定などの複雑な設定に関して支援いただきたいとおもっています。(和田)

本日は、有意義なお話をいただきありがとうございました