導入事例Case

株式会社TBWA HAKUHODO

経理財務局 IT統括部 部長
松波 義之 様
株式会社TBWA HAKUHODO_松波 義之 様
株式会社TBWA HAKUHODO
株式会社TBWA HAKUHODO
株式会社TBWA HAKUHODO経理財務局 IT統括部 部長松波 義之 様〒105-0023
東京都港区芝浦1-13-10
URL:https://www.tbwahakuhodo.co.jp/

ペンティオはOneLoginを含め大きいソリューションを扱っていますが、問い合わせや要望に対して素早いアクションをしていただけると思います。

株式会社TBWA HAKUHODO 松波 義之 様

1. OneLoginの導入企業

株式会社TBWA HAKUHODOはどんな会社ですか?

2006年に博報堂、TBWAワールドワイドのジョイントベンチャーとして設立された総合広告会社です。

OneLoginご利用環境

TBWA HAKUHODO全体でOneLoginは700ユーザー以上で利用しています。制作部門や営業部門、プラニングやデジタルなど多くの部門があり社内でだけでなく社外で仕事をする方もいる環境です。OneLoginは私とITのスタッフ合わせて5人で運用をしています。

2. OneLogin導入経緯

導入にあたりどのような検討と課題がありましたか?

以前に弊社ではG SuiteのGoogle SSOを利用しており、アプリケーションBoxへのSSO連携が利用できるという状態でした。
その後、他アプリケーションへのSSO連携が増えてきたところで、その都度ひとつ一つのアプリケーションサービスをSSO連携を構築していくことに限界を感じていました。簡単に新しくアプリケーションを追加できるSSOサービスを探していました。

SSOサービスの選定では、OneLoginかC社かO社のどれかにしようと考えていました。一度Active Directoryとの連携までテストしてみたのですがOneLoginは操作インターフェースが触りやすかったのでOneLoginを導入することにしました。また、ペンティオさんが日本のクラウドサービスに対する連携を提供している安心感がありこの点も優位な理由になりました。

インターフェースがOneLoginの方が触りやすかったということですが、SSOサービスに対する抵抗感といったものはあったのでしょうか?

TBWA HAKUHODO 松波様

抵抗感といったものはありませんでした。その頃まだそんなに多くのクラウドアプリケーションサービスを社内で使っていた訳ではないのですが、アプリケーションが今後増えてくる際には日本のクラウドサービスを使うことは多いだろうと思っていて、その点に関してOneLoginを提供するペンティオさんは日本のクラウドサービスに関する知見が高いように感じました。

3. OneLogin利用状況

現在ご利用中のアプリケーションと今後追加予定のアプリケーションを教えてください

G Suite、Boxに加えてSlackを最近追加したのですがすごく簡単に追加できました。Adobe Creative Cloudも構築ができたので後は切り替えるだけという段階まできています。他に利用予定のアプリケーションは、業務やプロジェクトベースでGitHubやAsanaを利用していきます。

こういった全社員が利用するアプリケーションではないサービスも今からOneLoginに追加していこうとしているところです。利用するアプリケーションの数が増えてきましたが、OneLoginを使うことで簡単に増やせるようになりましたね。

現在ご利用中の社内ユーザーディレクトリは何ですか?

TBWA HAKUHODO 松波様

社内のユーザーディレクトリはActive Directoryを使用しています。社内でユーザーの端末にログインする際にはActive Directoryのドメインに参加させるようにして運用しています。
Active Directoryの構成は、ADフォレストが1つ、3台の冗長構成で運用しています。OneLoginのActive Directory連携コネクターはその内の1台にAD Connectorを搭載してOneLoginと連携しています。

OneLoginへのユーザーログインはOneLogin認証ですか、Active Directory認証ですか?

OneLoginへのユーザーログインもOneLoginでユーザー認証するのではなく、Active Directoryでユーザー認証をおこなっています。OneLoginへのログインパスワードもActive Directoryのドメイン参加する際のパスワードと同じにすることで、ドメインへの参加からクラウドの利用まで1つのパスワードで運用できるようになりました。

>1つのパスワードで社内もクラウドも運用できているというのは喜ばれますね(長谷川)

OneLoginからクラウドアプリケーションへのユーザー連携はどうしていますか?

TBWA HAKUHODO OneLogin構成図

G SuiteやBoxを利用するユーザーの作成・変更・停止はOneLoginのProvisioning機能を利用しています。社内ユーザー情報はActive DirectoryからOneLoginに連携しています。OneLoginからクラウドアプリケーションへのユーザー情報の同期は、OneLoginのユーザー情報を基にG SuiteやBoxにActive Directory情報を伝搬させてユーザ作成をしています。新たに利用開始するSlackもProvisioningを使ってユーザ自動作成を行いましたが問題なく作成できました。グループのProvisioningはまだおこなっていませんが楽しみです。

>OneLoginは比較検討されたIDaaSの中では、ユーザー情報だけでなく所属グループや付与するクラウドアプリライセンスプランなど多項目をProvisioningサポートしていますね(長谷川)

OneLogin導入してから情報システム部の業務負担は軽減できていますか?

TBWA HAKUHODO 松波様

OneLogin導入前は「今後クラウドアプリケーションの利用が増えていくことに対して、管理者側の負担を増やさずに運用していくことができるか」という課題がありました。
結果的には、だいぶ工数が増えずにユーザ管理の運用ができていると思います。もちろんサービスが増えたら増えただけそのサービスの保守を行う必要はあるのでその工数は別途あるのですが、ユーザ管理においてはほぼ増えていないという印象です。

> ADの連携、Provisioningを活用していただいてユーザの管理をOneLoginに任せていくことができているようですね。(長谷川)

ただ、ユーザの削除業務に関してはもう少し改善が必要な点があります。例えば削除ユーザのGoogle Driveデータを誰に引き渡すか設定する作業が必要なので、ユーザの削除に関してはまだ手間がかかっています。退職した方のアカウントは即時停止できているのですが、ユーザー情報の統合削除までできるというのが理想ですね。

OneLoginを利用する端末環境について教えてください

弊社環境にはmacが数百台とWindowsの業務端末が数百台あります。スマートフォンは全ユーザーの4分の3を管理しています。
それ以外に協力会社が持ち込む端末がそれぞれ数十台程度あります。

OneLoginを利用するMFAについて教えてください

ユーザーディレクトリでお話ししたとおり、今はActive DirectoryにあるユーザーのみがOneLoginにログインできるようにしています。OneLoginへの接続はどこからもできる状態です。
今後は、会社が貸与しているmac、Windows端末と社外からの持ち込み端末では違うMFA方式でコントロールことが必要だと感じています。

4. OneLogin利用について

OneLoginへのリクエストはありますか?

OneLoginへのリクエストなのかわからないですけど、いまActive Directoryがオンプレにあって、このせいでログイン認証先が社内にあるというのが続いています。これを例えばAzureなのかOneLogin Directoryなのかそちらとバインドしてネット上にあればいつでもどこでも接続できるとかっていう風にしてみたいなんて思っています。

>OneLoginにはOneLogin Desktopオプションサービスがあります。これを利用すると社外ではOneLoginがActive Directoryに替わってユーザー認証をおこなうことができます。(長谷川)

今すぐできるわけじゃないと思いますけど、OneLoginへのログインにもパスワードを無くしたいなと思っています。単純にOneLoginだけの力だけじゃないですけど、macへのログインもパスワードを無くしたいなというのが将来の目標としてありますね。個人を特定する方法をパスワード以外の何かを使ってできるといいなと思っています。

>ぜひ実現していきたいですね。デバイスが持つ生体認証とOneLoginへの認証とがシームレスになると使いやすいですね。ご意見ありがとうございました。(長谷川)

5. ペンティオについて

TBWA HAKUHODO様はGoogleのグループアドレスの利用が多い運用をしています。このためOneLoginに切り替えるにあたりGoogleグループアドレスの編集機能をご要望いただいきました。前に利用していたSSOサービスにGoogleグループアドレス編集機能があった為です。そこでOneLoginを導入するに当たり、ペンティオでG SuiteのAPIを使ったグループアドレス編集サービス(通称Pentio Google Edit)を開発提供しました。運用していただいてどうでしょうか?

Pentio Google Editすごくいいです。弊社の場合、Googleのメーリングリストは、組織部門で共有する組織メールアドレスと、プロジェクト業務用のプロジェクトメールアドレスとふたつの区分けがあります。組織メールアドレスが数百アドレス近く、プロジェクトメールアドレスも数百アドレス近くあるという状態です。
当初の運用想定では、IT部門内の管理用ツールとしてオーダーさせていただきました。ところがIT部門以外の社員も自分自身で確認したい要望があり、機能追加を依頼したところすぐに全社員用のメーリングリスト確認ツールとして機能提供していただきました。毎月のように組織メールアドレスに参加している人のリストを結構な手間をかけて作成と編集したり、このプロジェクトメールに参加している人は誰ですか?という問い合わせに答えるなど、多数あるメールアドレスの運用に付帯的な業務が発生して困っていました。Pentio Google Editができたことでこれらの問題は完全に解決できた気がします。

ペンティオの導入支援・サポートに対してどうお感じですか?

ペンティオの導入支援とサポートは、すごく小回りが利くというか、クイックなアクションをしていただけると思います。OneLoginを含めて大きいソリューションを扱っていると思いますが、問い合わせや要望に対して素早いアクションをしていただけると思います。

>レスポンス良くご提案やサポートができているのであれば嬉しく思います。本日は貴重なお話ありがとうございました。(長谷川)