スマートニュース株式会社
東京都渋谷区神宮前6-25-16 いちご神宮前ビル 3F
URL:https://about.smartnews.com/ja/
ペンティオは導入支援・対応・サポートという面から非常に安心・信頼することができます。
スマートニュース株式会社 和田 正人 様
1. OneLogin導入企業
スマートニュース株式会社はどのような会社
スマートニュース株式会社は、「世界中の良質な情報を必要な人に送り届ける」をミッションに掲げ、2012年6月15日に設立されました。
日本と米国でニュースアプリ「SmartNews(スマートニュース)」を運用しています。
世界中の膨大な情報を日夜解析し続けるアルゴリズムと、スマートデバイスに最適化された快適なインターフェースを通じて、世界中から集めた良質な情報を一人でも多くの人々に届けていきたいと考えています。
スマートニュースコーポレートITの体制
社内情報システム部門は「コーポレートエンジニアリング」と呼び、元はグローバル全体のITを管理していた部門です。2021年に「コーポレートエンジニアリング グループ」ができました。この時点で日本は「コーポレートエンジニアリング JPチーム」となり、USは「コーポレートエンジニアリング USチーム」となりました。中国はUSチームが管理しています。これ以外にもERPなどを管理するビジネスシステムチームがあり、グループ全体では15〜20名体制で運営しています。(和田)
OneLogin導入内容はどの地域ニーズを反映した設計ですか?
USチームのニーズを反映する形式で、JPチームで設計しています。和田、細井、花輪の3名で構築しています。(和田)
2. SSO アプリケーション
どんなアプリケーションを使っていますか
全社で利用しているクラウドサービス・アプリケーションは300アプリほどあります。
一つの組織に複数地域のメンバーが所属していて、グローバルチームになっていますので、グローバルで利用するアプリが多いですが、地域限定で利用するアプリもあります。
部門・グループで利用しているアプリは、例えばHRサービスはグローバルで利用していますが、労務や勤怠管理など日本のルールに合わせる必要があるアプリケーションなどは日本だけで利用しています。また承認経路も地域を超えていて、上長がUSの人ということがあります。そのためワークフローアプリケーションは複数の地域から利用しています。このような状況からアプリとアクセス地域を特定することはありません。(和田)
利用するアプリは誰が決めていますか
ふたつのルールでアプリケーション決定をします。ひとつは入社時にチームがアサインされますので、アサインされた所属チームとして利用するチームアプリを割り当て、所属ごとのアプリやメーリングリストを割り当てします。もうひとつはチームアプリ以外のアプリの割り当ては、社内ワークフローを活用してアプリケーション利用申請をあげてもらい、承認を経て個別に申請アプリを付与する方法のふたつです。
このうち、非常に重要なデータを保有するアプリケーションの個別利用は、ワークフローを通じた上長判断で利用権限を付与します。この点は厳格に運用しています。(和田)
アプリケーション権限付与運用はどのようにしていますか
AppMange権限、User追加作成権限を部門・グループに割り振ってはいません。OneLogin内部の権限設定はすべてコーポレートエンジニアリングチームで統括しています。これまではJPチームで管理を行ってきましたが、現在はUSチームなどと分散して権限付与をおこなっていく方向で、OneLogin運用も進化しています。
これにより、US部門からの問い合わせは、USチームで完結して対応していくことができるとおもっています。(和田)
米国発クラウドサービスのOneLoginを、日本チームが運用設計して、その運用手法を米国チームに波及させていくのですね。2022年にはOneLoginに、Custom Privilegesで委譲する権限をカスタマイズする機能が追加されました。是非ご活用ください。(長谷川)
アプリを1つずつに割り当てるのか、複数アプリをRoleで割り当てするのかどちらですか
基本はチームごとに利用するアプリケーションをRoleベースで割り当てる方法をとっていますが、チーム外の人にも個別にアプリケーションを利用したい希望もありますので、アプリ個別Roleも作っています。
現在は、チームアプリをチームRoleで割り当て、チーム外ユーザーにアプリ個別Roleで割り当てする方法を組み合わせて運用しています。(和田)
このようにRoleを割り当てると、OneLoginポータル画面上にアプリアイコンが表示されます。アイコンが表示されていても、本人がアクセスするアカウント権限が付与されていない場合は、アイコンをクリックしてもログインできません。アイコンが表示されていても特に問題無いと判断できる場合は、ポータル画面上にはアイコンを表示させています。(和田)
会社で利用するアプリを社内に公開している運用スタイルは分かり易さになっているので良いですね。(長谷川)
チームRoleとアプリ個別Roleの割り当てはMapping機能で自動化していますか
以前は組織ごとのRole自動割り当てMappingルール設定で運用したこともありましたが、今は手動で設定する運用を選択しています。弊社は毎月のように組織変更があり、その都度Mappingルールを編集変更することはたいへんになるので、現在は手動設定で確実性を優先した運用をしています。
3. IAM(アカウントマネージメント)
会社のユーザーリポジトリはどのように運用されていますか
弊社は、Active DirectoryやLDAPを運用していませんので、OneLoginが参照するユーザーマスターはありません。社員の入退社などの追加削除ユーザー情報は、人事部門からもたらされます。CSV形式などにはなっていないので、システム連携で取り込むデータにはできません。
コーポレートエンジニアリング部門内に部門IdPを作成してOneLoginと連携するのではなく、直接OneLoginにユーザー追加削除をおこなっています。この人事部門との連携やコーポレートエンジニアリング部門内のIdP化はオンラインDB上に再構築中です。オンラインDBからOneLoginには自動取り込みができるようにシステムを構成していきます。(和田)
元々人事システムなどのユーザーマスターになりそうなアプリが既に運用されていますが?(長谷川)
HRサービスなどに入っている情報と、アプリケーション割り当てや利用に必要な情報が不足していることや、情報の受け取りタイミングが課題で、HRサービスからの取り込みはまだ出来ていません。また、地域ごとに利用アプリに差がある点や、雇用形態によってはHRサービスには入っていないなども理由としてあります。
例えば「来月から組織変更が予定されているが、その新しい組織ユーザーとしてアカウントを作成して欲しい」その逆もあります「前の組織での利用権限をまだ欲しい」などのイレギュラーに対応するためにも、単純にHRサービスからの連携だけでは、現場ニーズを満たしていくことが難しい点が課題です。(和田)
OneLoginが提供している機能で、連携支援は、ペンティオでお手伝いさせていただきます。(長谷川)
4. MFA(多要素認証)
ユーザーがOneLoginにログインする際の本人判定方式はどのようにしていますか
地域ごとや、チームごとのニーズを汲み取って決めています。元々はMFAを必須とする二要素認証で運用していましたが、2年ほど前にリスクが高いと判定された時だけOTPを要求する方式(=リスクベース認証Policy)をOneLogin全ユーザーに割り当てする変更をおこないました。リスクベース認証方式は、例えば複数ブラウザーを利用するユーザー、地域を移動して業務をするユーザーなど、チームごとの要望を反映して、リスクベース認証レベルを選択しています。(細井)
MDMの利用はどのようにしていますか
macOSはJamf PROを利用しています。Windows 10, AndroidはGoogle Workspace エンドポイント管理を利用しています。
近年はOTPベースのユーザー認証MFAから、証明書ベースのデバイス認証MFAに利用者の希望が変化しつつあります。証明書ベースのデバイス認証を実現する機能 3rd Party Certificate機能をOneLoginはサポートしています。この機能を利用することで、外部認証局が発行したデバイス証明書をOneLoginのMFAとして利用することができます。(長谷川)
5. その他の連携活用
vLDAP、RADIUSなど連携機能の活用予定はありますか
Wi-Fi無線LAN認証はRADIUSの活用を考えています。
現在は、PCデバイス制限を厳格にはしていません。ご本人が利用したデバイスをなるべく受け入れてあげたい文化があります。利用したいデバイスを厳格に認証する、使い勝手とセキュリティの両立は高度な運用であるとおもいます。少しずつ近づけていきたいとおもいます。(和田)
6. OneLoginに対する要望
OneLoginに対する希望・要望はありますか
Mapping機能へのリクエストがあります。部門が持つRole、部が持つRole、チームが持つRoleをあらかじめ作っておくことで、上位部門のRoleが自動的に割り当てできるような機能があると便利ですね。Roleを階層構造で管理できる手法です。(和田)
また、OneLoginが提供するモバイルアプリ「OneLogin Portal」がもっと洗練されたアプリになるといいですね。アプリ登録数が多い場合でも、すべてのアイコンがアプリ上に表示されてしまい、多くのアプリアイコンから自分が利用するアプリアイコンを見つけ出すことになり、少々使いにくいです。目的のアプリをサッと呼び出せるように、洗練されたアプリにバージョンアップすることを願っています。(和田)
7. ペンティオについて
ペンティオ OneLoginエンジニアチームの皆さん(長田)には、いつも迅速に対応いただきありがとうございます。(和田)
50前後のSAMLアプリSSOコネクターを作成して活用しております。本日もペンティオさんから、OneLoginの新しい認証方式などをご紹介いただきありがたいです。ユーザー判定する認証強度を上げると同時に、ユーザーに追加操作をせず、意識させずに運用できる点は、OneLoginはたいへんありがたく満足しています。(細井)
ペンティオさんにはいつも丁寧に対応していただき、ありがたくおもっています。(花輪)