freee株式会社
東京都品川区西五反田2-8-1五反田ファーストビル9F
URL:https://corp.freee.co.jp/
アカウント管理は人数×アプリケーション数のマトリックスを考えたら以前はもう大変な数でしたが、今は劇的に減っています。
freee株式会社 石田 健二 様
1. OneLoginの導入企業
freee株式会社はどんな会社ですか?
石田:freeeは経理業務を効率化するクラウド会計ソフトの開発からはじまった会社で、今では人事・労務まわりのソフトウェアや、業務効率化よりも先の経営の意思決定をサポートする機能の提供も目指しているベンチャー企業です。
>経営というところは具体的には?
石田:プロダクトとしては、経理処理から作られる会計データを利用して経営判断に必要なデータを自動で生成するようなシステムです。また、経営者の右腕である会計士の紹介などのサポートは以前から行っています。3月までに導入企業が100万社を突破しました。
OneLoginご利用環境
>現在御社の顧客数の増加は著しいことと思いますが、具体的な指標はありますか?
石田:社員数が去年一年間で175%ほど増加しました。社員360名、全員含めて600名ほどです。OneLoginはfreeeで働く全てのメンバーが利用しています。
オフィスは全部で五反田・名古屋・大阪・広島・福岡の5拠点あります。
>オフィスの外でお仕事される方もいらっしゃいますか?
石田:リモート業務も結構やっているので、子育てしながら自宅で仕事している社員もいます。
>社内で閉じているのではないということがよくわかりました。
2. OneLogin導入経緯
OneLogin導入経緯
石田:freee自体がクラウドサービスの会社でもあるため、「基本的に利用するサービスもクラウドでSaaSにのせていこう」という方針でやっています。OneLoginを導入する前にも、チームごとに「こんなSaaSを利用したい」という声があれば、必要なSaaSが導入されるということがありました。このような背景もあり、freeeでは各SaaSごとに管理者チームがいて、管理が分散しているという状態です。例えば、Salesforceの管理者、Marketoの管理者…といったような感じで、それぞれのサービスのプロフェッショナルとなる各アプリケーション管理者達で直接ベンダーとやりとりをしています。
>では、情報システム部門ではない方が、実際のアカウント発行などの管理業務もおこなっていらっしゃるということなんですね。
石田:そうです。それもエンジニアに限った話ではなく、営業チームに混じって管理を行ったり、アカウント発行のみ担当している人がいたりしますね。 かなり幅広く分散して管理している感じです。 こうなってくると、IDの管理が難しくなってくるので、入退社や異動に伴うアカウントの発行停止といったことをしっかり一元管理できないかということになりました。
>クラウドに寄せていこうというところで分散アカウント管理に課題を感じたということですね。
導入検討段階では、どのようなサービスと比較されましたか
>さまざまなサービスがある中で、OneLoginに決めた理由はなんだったでしょうか?
木戸:石田の方で広範囲に比較し、私の方でも日本国内サードパーティのシングルサインオン(SSO)の会社やSSOベンダーさんを比較していました。国内のものはSaaS へのSSO連携ができなかったり、そもそもSaaSにSSO対応していなかったり、対応するもの自体が最新という感じではないんですよね。Office 365、G Suiteは連携できるんですが、他はいずれやります…という感じでした。そのため、SSOとしての期待をしても使えるかどうかわかりませんでした。さらに、社内はActive Directoryを利用しているのでいちいちセキュリティグループを作成したり、ルータにポートを解放しないといけなかったり、すっごい面倒くさかったため、OneLoginはどうかという話になりました。
国外の他のSSOツールの話も出ましたが、周りの人や知り合いの情シスもOneLoginを利用している人が多いよねということになりました。 OneLoginの場合はルータをいじってファイヤーウォール(F/W)に穴を開けることもなく、構築が楽でしたね。
>SSOとしての機能の対象となるアプリケーションの充実や、1つのものを構築する際のスピード感というところにも差があったということですね。
木戸:そうですね。freeeでは多くのSaaSを使っているので、そこは重要でした。
>他にも理由がありますか?
石田:検証環境をすぐに発行していただけたので、すぐに試せたというのはありますね。今もその環境を本番環境として利用できています。
>運用までのスケジュールはどのような感じでしたか?
石田:2017年7月から検証を始め、9月中旬まで検証を行い、契約は10月1日から、社内での実際の運用は11月1日からでした。最初はOffice 365などの使っているユーザーの多くないサービスから導入していって、徐々にG Suiteなども段階を踏んで導入展開していった形です。
3. OneLogin導入について
OneLogin導入前
>まずは、OneLogin導入前のアカウント管理の運用についてお聞かせください。
石田:古塚は、入社時に全員が必ず使うアプリケーションのアカウント発行・管理・停止などをおこなっている総務のマネージャーです
古塚:OneLogin導入前は管理部門の担当者の力技で、入社が決まったらメールアドレスを確定させ、G suiteでアカウントを作り、JIRA、Workplace…といったそれぞれのアプリケーションの管理画面に入って個々のアプリケーションアカウントを手作業で発行していました。そして実際に社員が入社してくると、ひとつひとつSaaSアプリ管理画面からアプリからそれぞれ招待メールを飛ばします。その人にアカウント発行メールがばばばっと届くので、一個ずつ開いてログインをさせる…ということを一時間くらいは入社時に時間をとってやっていましたね。
>10人いれば10回それをやるということですね。
古塚:そうです。freeeはアルバイトや業務委託、派遣社員などの出入りが結構あるので、平均して月にスタッフが10名くらい入って来るし、4月は新入社員も入れて50人くらい入ってきます。どのアプリを発行したかは別の台帳で管理しているんですが、アカウントの付与漏れなども発生する可能性があるんですよ。
>同じようなことがアカウント停止の時にも起きる可能性があるというわけですか?
古塚:その通りです。基本的にはG MailアドレスをSaaSのアカウント作成に使うようにはなっているので、最悪G Mailさえ止めればと思っていました。 先ほど石田も話題にしたように、freeeでは各チームごとに好き勝手に使っているアプリケーションも結構ありました。僕らで管轄しているのはあくまでも全社で使っているアプリケーションだけなので、チームごとの利用アプリケーションまではこちらがリーチできていなかったというのもあります。 細々したアプリケーションの停止はリアルタイムでやるというわけにもいかないので、月に1度まとめてやろうという感じでした。 そういった意味で運用が徹底されていない部分もありましたし、リスク的にもちょっと危なかったなあと思います。
>たくさんの方が入社する際のアカウント作成は手作業で、出て行くときは主なものだけ先にという感じなのはよくわかりました。それらの管理も台帳でおこなっているということで、実情とあっているかどうかも棚卸しが必要ですよね。このSaaSアカウントの棚卸しはどのくらいの頻度でおこなっていたんですか?
古塚:そこは別チームで管理していましたね。おそらく月に一度再確認しようということになって、「ここは確認してください」というアラートをもらっていました。
>これからもどんどん増員されていくという中でこの問題の解決というところに課題を感じていらっしゃったということでしょうか。
古塚:そうですね。特に石田や木戸はセキュリティという観点でそのような懸念をしていたようですね。僕もなんとかしなくてはと思うもののそこまで手が回っていませんでした。
OneLogin導入後
>OneLoginを導入したあとについて聞かせてください。freeeではG Suiteなど「プロビジョニング(Provisioning)※1」を使っているアプリも多いと思うので、OneLoginにユーザーを作ったら自動的にアカウントも作成できるようになっていますよね。
古塚:そうなんです。逆にいうと僕はそのような個別アプリのアカウント発行に関してはもうノータッチですね。アドレスさえ確定すれば、石田がOneLoginの操作をしているので、エラーがあったときと当日ちょっとフォローするくらいです。 アカウント管理がスムーズになったのはもちろん、台帳での管理についても、以前は人数×アプリケーション数のマトリックスを考えたらもう大変な数でしたが、今は一人一行くらいのもので劇的に減っています。
>OneLoginのProvisioningをご利用いただくことで古塚様の業務の軽減につながったということですね。
古塚:そうですね。アカウントの管理漏れを防ぐセキュリティの観点からもOneLoginを導入してよかったなと思っています。
※1 プロビジョニング:OneLoginでアプリケーション利用設定をした際に、アプリケーションにアカウントがない場合に自動でアカウント作成できる機能。詳細についてはOneLogin user provisioniningもご覧ください。4. OneLogin利用について
OneLogin導入後
>OneLoginではどのようなアプリを利用されていますか?
石田:利用人数が多いものではSalesforce, Marketo, Office 365, これからもZendeskやChatWorkなどまだまだ増える予定です。システム監視ツールなんかもあります。
>ユーザーの情報についてはどうしていますか?
石田:Active Directoryでの管理です。アカウント発行前にユーザーを作り、その時点でメールアドレスを確定しています。
古塚:入社の確定やメールアドレスの決定などに関しては、採用担当と、人事でやっています。古典的ですがスプレッドシートで管理しています。入社が確定したらその人にメールを送り、希望のアドレスを聞き、それを利用する形をとっています。
>エンドユーザーが自分でアドレスを決めているということですか?
古塚:そうです。freeeの伝統で、基本的にアドレスは社員が自由に決めています。自分らしく働く一つの要素ということですね。
>おもしろいですね。OneLoginではユーザーの登録をAPIを利用して自動化することもできますので、ご参考になさってください。 ※2
>OneLoginを使い始めてから以前と違うなという副次的な効果はありますか?
木戸:退職漏れが減りましたね。
石田:あとはADを見ればなにを利用しているかわかるようにしたのも便利になりました。
ADをマスターとして、OneLoginは情報を引いてきてその先を自動化する、利用者には自動で招待がいくというような連携ですね。そのような使い方もできますね。きれいに運用されていますね。
※2 OneLogin API詳細はこちら(米国OneLoginサイト)をご参照ください。
OneLoginへのリクエスト
石田:ユーザーの検索がわかりにくいのと、ポータルが重いなと感じることがあります。 マッピングやディレクトリの反映までのタイムラグなどもわかりにくいので、一目でモニターできるといいなと思います。
>2018年のロードマップにはUIの改修も掲げられているので、いい報告ができることと思います。
5. ペンティオについて
導入時の対応
石田:検証環境がほしいといってから一週間かからず検証環境が発行され、すぐ実際にOneLoginを検証できたのがよかったです。また、導入前も導入後のいまと変わらないレベルでしっかりとサポートしていただけました。導入前のステップがしっかりしていたため、私自身IDaaSに触れるのは初めてでしたが、導入しやすかったと思います。 実際触ってみて(IP制限がかけられるかなどの)機能的な部分も問題ないことを確認してから導入に移れたのも安心でした。
導入後の対応
>導入後のサポートもご利用いただいているかと思いますが、どうですか?
石田:レスポンスが早くてすごく助かるなと思っています。毎回問い合わせのたびに人が変わるのではなく、専任に近いサポート体制のため、これまでの背景を理解していただいていて説明などもスムーズにできるのがいいと思います。 機能的・仕様的な問題以外の回答もいただけるのも別のサービスメニュープランを用意した方が良いのではと思うくらい充実していると思います。
ペンティオへのリクエスト
石田:OneLoginのようなサービスを導入する企業には若い企業も多く、内部の制度が整備されていないことも多いと思います。OneLogin導入の前に社内でどのようなことを整備したほうが良いかなどのアドバイスがあると、利用開始が早いかなと思いました。さらにそのあとの運用に関する提案もあると助かりますね。
>長谷川:貴重なご意見ありがとうございます。今後も精一杯やらせていただきますので、引き続きどうぞよろしくお願いします。本日はありがとうございました。