株式会社FiNC Technologies
東京都千代田区有楽町1丁目12-1 新有楽町ビル5階
URL:https://company.finc.com
いろんな会社のIT担当者からペンティオさんの評判を聞いていましたが、非常に導入がスムーズにいきました。レスポンスが早くて的確で、サポートの質がとても高いと思います。
株式会社FiNC Technologies 小野 匠 様
1. OneLoginの導入企業
株式会社FiNC Technologiesはどんな会社ですか?
弊社はヘルスケア×AIテクノロジーを掛け合わせることで健康に関連する課題の解決を目指しているヘルステックベンチャーです。「カラダのすべてを、ひとつのアプリで。」をコンセプトにしたヘルスケア/フィットネスアプリ「FiNC」をはじめ、有料課金サービス「FiNC PLAY」、法人向け健康経営サービス「FiNC for BUSINESS」、ウェルネスセレクトショップ「FiNC MALL」など、ヘルスケア領域で事業を行なっています。
2. OneLogin導入経緯
OneLogin導入前の課題
弊社では5年前に情報システム部ができ、その頃から徐々にクラウドサービスの利用が増えていくなかで、数多くのクラウドサービスのアカウントを管理しきれていないという課題がありました。
G Suite や Office365、Slackといった主要サービスは情シスが管理し、会社を退職する人がいればアカウントを無効化・削除することができていたのですが、その他のアプリは管理しきれず退職者でもそのまま使えてしまう状態だったので、IDaaSを検討し始めました。(小島)
> 利用するアプリケーションが増え、その上でユーザーが多いと、管理するアカウントの数は掛け算で増えていくので、運用が非常に大変だったのではないかと思います。
その他にもアカウント管理以外のところで課題になっていたことは何かありましたか?(長谷川)
アプリごとにパスワードが違っており、そのパスワードをポストイットに書いている人が結構いて、これもなんとかならないかなと思っていました。(小島)
> 複数の異なるパスワードはなかなか覚えられないですよね。
情シス管理者としての課題
> 管理者の立場的にはどのような課題があるとお考えでしたか?(長谷川)
共有アカウントの運用の課題ですね。共有アカウントの場合、一つのIDとパスワードを複数のユーザーで使っていたのですが、退職者が発生したときにそのままアカウントを使われてしまうため、退職者が出るとたびに共通パスワードを変更していました。
そこで、OneLogin Form-based認証のコネクタを使うことで、ユーザーがパスワードを意識することなくアプリにログインできるのではないかと考えました。(小野)
> 共有アカウントがあるとパスワードの変更・運用は難しいですよね。
パスワードを変更することなく運用できる方法を探した中で、OneLogin Form-based認証のコネクタを検討していただいたのではないかと思います。(長谷川)
他社IDaaSとの比較
他のIDaaSとしてはOktaを検討していました。しかし、日本でIDaaSを導入することを考えたときに、OktaはOneLoginに比べて日本語化の対応が弱く、使いにくいのではないかという印象がありました。
また、OneLoginは他の製品と比べてサポートが丁寧だと他社でIDaaSを導入している企業から話を聞いており実際お話をしていく中でそう感じていました。
それから、OneLoginはライセンス体系がシンプルで分かりやすいと思いました。社内でライセンスの課金状況を把握する上でもコストを管理する上でもやりやすさがありました。社内の経理部門に負担が少なく、会社全体のコストとしてもOneLoginの方が管理しやすいと感じました。
> 日本語サポートや、ライセンス体系の分かりやすさなど、おっしゃるとおりだと思います。(長谷川)
情シスでの繋がりがありまして、アカツキさんやfreeeさんなどから代理店はペンティオさんがいいと聞いていました。
> ペンティオからOneLoginを導入いただいた以前の事例を参考にされたということですね、ありがとうございます。(長谷川)
3. OneLoginのご利用状況
主要アプリケーション
> アプリケーションへのSSO(シングルサインオン)を多数登録されてご利用と思います。
主要なアプリケーションはどのようなアプリをお使いでしょうか?(長谷川)
Slack、G Suite、Salesforce、Asana、DocuSignが主なところですね。Office365はOneLoginのIdPとして使っています。(小野)
> 自社ポータルや情シスポータルへのコネクタもお使いになられているのでしょうか?(長谷川)
コネクタをカスタマイズしているのではなく、ブックマークのように登録して使っていて、社内ポータルや社内情報のリンクコネクターなど、社内の必要な情報を一括で見れるようにしています。新入社員が入ってきたときに、オンボーディングで使うといった感じですね。(小野)
開発者向けアプリケーション
> AWSといった開発者向けのアプリも多数あるかと思いますが、このようなアプリケーションSSOは利用されていますでしょうか?(長谷川)
最近何個かSSOを追加しました。今後は本格的にIAMの管理もしていきたいと思っています。
いまはエンジニアが管理している領域なので、エンジニアの方々とコミュニケーションを取って社内全体で包括的に一本化していきたいですね。(小野)
> 社員数が多いので、情シス部門の小野様だけで、すべてのアカウントを管理するのは大変かと思います。(長谷川)
ロール(アプリケーション利用権限)の運用について
※2 ロール:複数アプリケーションの利用権限を一括設定するための複数アプリのまとまり
各部署にアプリケーション管理者を作って、それぞれのロール運用はその部署のマネージャを割り当てて運用しています。
とは言っても従業員が多いので、すべての部署を渡り歩いてその運用をやっていくというのはまだできていません。 (小野)
> 部門ごとにアプリケーション利用管理マネージャーという権限者を上手く作っていただいて、情報システム部から部門にアプリ管理権限を移譲することができます。OneLoginは多層的な権限の設定ができますので、活用していただくといいですね。(長谷川)
4. ディレクトリ連携
ユーザー同期とプロビジョニング
オンプレミスではなくIaaSの AzureのVM上でActive Directoryを冗長化した2台構成で運用しています。
また、OneLoginとクラウドアプリケーションのアカウント連携は、社内主要アプリの Slack、G Suite、Asana、DocuSignはプロビジョニング機能を使っています。OneLoginからユーザーの作成や削除を自動的に行なっています。(小野)
> 入社時のアカウントの自動作成や、退職時のアカウント自動削除といったアカウント管理をプロビジョニング機能の自動化で管理できていて素晴らしいと思います。
OneLoginを導入されてから社内の反応はどうでしたか?(長谷川)
「複数クラウドサービスのパスワードを、すべて覚えなくていいのは嬉しい」という声が一番多かったですね。(小島)
> ユーザーにとってはパスワード管理が楽になったということですね。(長谷川)
5. MFA(多要素認証)
社内の利用端末
> 社内端末の運用実態をお聞きします。デバイス端末は主に何をお使いですか?(長谷川)
mac が6割、Windowsが 4割です。(小野)
デバイス端末は入社時に従業員が、mac/Windowsどちらが良いか選択できるようにしています。端末は持ち出しも許可していて、今は新型コロナウイルスの影響でリモートワークを基本としています。(小島)
スマートフォンに関しては、一部の営業職にはスマートフォンが支給されますが、基本的な業務端末は PCになります。(小野)
> デバイス端末の認証はどのように行われていますか?(長谷川)
社内では、WindowsもmacもADドメインに参加しています。
リモートワークでは、ADと通信ができないので、macはモバイルアカウントでログイン、Windowsはキャッシュログオン機能を使って端末認証をしています。(小野)
デバイスの判定方法
Azure ADを使用してリスクのあるサインインをAzure AD側で自動的に判定する構成を取っています。
クラウドアプリケーションへのSSOを実現する為のIDaaSの必要性を考えたらOneLoginだけで良かったのですが、危険なアクセスの検知など、例えば、日本にいるユーザーが突然海外からログインしてくるような場合を検知するとなるとAzure AD残す必要があると考え、OneLoginとAzure ADを組み合わせて利用するという運用になりました。
また、Windowsの危険なサインインは、Azure ADにより包括的な端末セキュリティを制御可能だったため、Intuneを使っています。Intuneの条件付きアクセスでは、デバイスがコンプライアンスポリシーに準拠しているかどうかの判断が可能なので、その判別をしてログインを拒否したり許可したりするというポリシー設計を考えています。(小野)
> 会社のデバイスの判定というのは、具体的にはどのように運用されているのでしょうか?(長谷川)
Intuneの条件付きアクセスを使ってデバイスの判定を行っています。OneLoginにログインする時に、そのデバイスが Azure ADに参加しているデバイスかどうかを判定して、Azure ADに参加していないデバイスはOneLoginにログインさせずアクセス拒否するように運用しています。また、社内のActive Directoryを残してハイブリッドAzure AD Joinでアクセス制御を構築していて、この構成を取ることでmacでも同様に運用できるようなっています。 (小野)
6. 今後の運用について
HRサービス連携とAzure ADへの移行
> 今後、OneLoginでどのような課題を解決しようとお考えですか?(長谷川)
2つ考えています。
ひとつは、ADから伝搬したOneLogin内の部署情報を使って、その部署のアプリ利用権限をマッピングさせたいと考えています。ただそれは、社内の人事DBの整合性が保たれた状態でないと実現できないので、人事管理ツール(タレットパレット)とAD、ADとOneLoginを連携させようと思っています。
もう一つは、Active Directoryに加えて Azure ADとOneLoginを連携させる新機能がリリースされましたので、ディレクトリマスターをActive DirectoryからAzure ADに移し替えたいと思っています。Azure ADとOneLoginとの連携ができたら、OneLoginに部署情報が反映されることにより部署で利用するアプリのロールセットが、新入社員が入社した時点で権限が自動で割あたっているという環境を実現したいですね。(小野)
※ マッピング:あらかじめ設定したルールに従って利用アプリなどを自動設定できる機能
> 運用がさらにスムーズに行くことに加えて部署ごとのアプリケーションのマネジメントもやろうということですね。(長谷川)
そうですね。今は、入社してきた人にどの権限を割り当てればいいか判断に困ったり、フローが煩雑な状態です。そのため、多くの人に依頼しなければならず、その工数がかなり無駄だと思っています。今後取り組みたいですね。(小野)
> 積極的にOneLoginを利用されていて嬉しいです。
時期テーマの実現とコストについて
>今後、OneLoginでどのような課題を解決しようとお考えクラウドの利用はますます拡大していく中で、会社の立場としては、例えばコストの面などをどのようにお考えなのでしょうか?(長谷川)
経営の立場からするとやはりコストは最小限に抑えたいというのはあるので、セキュリティレベルは維持しつつ、必要に応じて整理していければなと思っています。
いろいろな仕組みを導入し組み合わて運用していますが、運用する中で重複だったと気づいた箇所は落とす事もあります。(小島)
> 次期テーマの実現も大事ですが、コストも大事ということですね。
もともとコストも考えて製品選定をされているかと思いますので、製品比較した結果コストのメリットもあったのではないかと思います。(長谷川)
今実現できている機能を別のIDaaSで実現しようと考えると倍くらいの価格になってしまいますが、OneLoginはコスト面でも導入の決め手になりました。(小野)
ペンティオについて
ペンティオの導入サポートについて
いろんな会社のIT担当者からペンティオさんの評判を聞いていたのですが、他の代理店と比べて非常に導入がスムーズにいきました。何よりAzureを挟むというのをご理解いただけたのはペンティオさんだけでした。
導入時には直接来社いただいて(2019年当時)対面で話ができることがスムーズに構築できた理由です。また、分からないところを質問したらペンティオのサポートチームがすぐに答えてくれました。レスポンスが早くて的確で、サポートの質がとても高いと思います。
> 新しいテーマについても引き続きサポートさせていただきますので、お手伝いできることがありましたら何なりとご要望ください。本日はありがとうございました。(長谷川)