ヤマトホールディングス株式会社様

English Version

多種多様なSaaSにアクセスするアカウントを
IDaaSで一元管理しセキュリティガバナンスを強化

ヤマトグループを統括するヤマトホールディングスは、グループ横断でITセキュリティを強化するに当たり、特に多種多様なSaaSの利用についていかにガバナンスを確立するかを課題としていた。そこでSaaS用個人認証管理システム構築プロジェクトの一環として、ユーザの認証情報をクラウド上で一元管理するIDaaS（Identity as a Service）であるIIJ IDサービスを導入。ユーザの利便性向上とセキュリティ強化を両立させ、グループ会社への展開を加速している。

他にも先進事例を多数掲載！
「オフィスITのクラウド化・セキュリティ強化」
事例集を差し上げます（無料）

課題

グループで利用する多種多様なSaaSのセキュリティガバナンスを確立する必要がある
グループ各社が導入するSaaSの種類やユーザ数など、将来の利用規模を予測することは困難
SaaS用個人認証管理システムの構築に向けて、様々な認証技術やセキュリティに関する幅広い知見が必要

効果

社内ポータルと複数のSaaSとの間でIDを連携した一元管理により、利便性向上とセキュリティ強化を両立
サーバ導入などの初期費用がかからずアカウント単位の月額課金で利用できる
IDaaSの提供にとどまらないIIJのサポートにより、認証全体に関する幅広い情報やアドバイスを得られた

導入前の課題

グループで利用しているSaaSのガバナンスの強化

「クロネコヤマトの宅急便」で知られるヤマトグループが持ち株会社体制に移行したのは2005年11月1日のことだ。それ以来、ヤマトホールディングスは一貫してコーポレートガバナンスの強化に注力してきた。

その施策の一つが、グループ横断のセキュリティガバナンスである。ヤマトホールディングスでIT戦略を担当する柴田裕介氏は、次のように語る。「万が一、何らかのセキュリティ事故を起こした場合、コーポレートブランドの失墜にもつながりかねません。しかし、サイバーセキュリティへの取り組みをヤマトグループ各社に任せてしまうと、対策レベルに格差が生じる恐れがあります」。

そこに課題として浮上してきたのが、SaaSの扱いだ。クラウド化を指向する世の多くの企業と同様、ヤマトグループ各社でも多種多様なSaaSの利用が進んでいる。その中にはセキュリティが脆弱であったり、存続性・継続性が危惧されるベンダーが提供していたりするサービスも少なくない。

また、SaaS自体に問題はなくても、運用体制に不備があれば十分なセキュリティを担保することはできない。例えば人事異動で担当を外れたり、退職したりした社員の「幽霊アカウント」が第三者に悪用され、不正アクセスされてしまうかもしれない。

そこで同社は2018年夏から、グループ共通で利用するシステムやアプリケーションへのアクセスを一元的に管理するSaaS用個人認証管理システム構築プロジェクトを開始した。その一環として、各種SaaSのアカウントを管理する基盤に採用したのが「IIJ IDサービス」である。社内ポータルと複数のSaaSとの間でIDを連携させ、SSO（シングルサインオン）や多要素認証をサポートするクラウド型のIDaaS（Identity as a Service）だ。

選定の決め手

スモールスタート可能なIDaaSとしてIIJ IDサービスのメリットに注目

ヤマトグループ全体でSaaSの利用が進んでいるとはいえ、各社や部門ごとに利用するSaaSの種類も違えば、対象人数も大きく異なる。「そうした中でサーバ導入などの初期費用がかからず、アカウント単位の月額課金で利用できるといった、スモールスタートが可能なIIJ IDサービスのメリットに注目しました」と語るのは、ヤマトホールディングスの竹井聖美氏である。

もっとも、最初からIIJ IDサービスありきでプロジェクトを進めたわけではない。同様の機能を提供しているベンダー数社のサービスと比較した結果、IIJ IDサービスを選定した。決め手となったのは、日本のサービスプロバイダーならではのIIJの手厚いサポートだ。「例えばSAML 2.0を使ったSSO連携や多要素認証などを行う場合、SaaSごとの微妙な仕様の違いによりうまくいかないことがあります。そのような場合も、IIJ様は私たちの問い合わせに親身に答えてくれて、とても助かっています」と竹井氏は語る。

また、SaaS用個人認証管理システムの構築を担当するヤマトシステム開発は、IIJ IDサービスの正式導入に先立ちPoC（概念実証）を実施してきた。この作業に当たったヤマトシステム開発の中村実沙紀氏は、IIJ IDサービスの基本機能やオプション機能を利用して具体的にどんなことができるのか、1つひとつ試したという。「操作画面はシンプルでマニュアルも分かりやすく、IIJ IDサービスはとても使い勝手が良いと思いました。加えてIIJ様は、こちらの技術的な質問にも気軽に答えてくれて、SaaS用個人認証管理システムの構築・運用面でも心強いパートナーです」と中村氏は評価している。

導入後の効果

IIJ IDサービスの導入でユーザの利便性とセキュリティ強化を両立

ヤマトホールディングスは、まずは同社内に限定し、約200名のユーザによる運用を開始した。

「SSOの仕組みにより、たった1つだけパスワードを覚えておけば複数のSaaSにシームレスにアクセスすることができ、ユーザからも『ログイン回数が減って便利になった』という声が寄せられています」と竹井氏は語る。

更に、社内のSaaS用個人認証管理システムとIIJ IDサービスの連携も実施。「人事部門が異動や入退社に伴う人事マスタを更新すれば、その内容がIIJ IDサービスにも自動的に連動して反映されるので、幽霊アカウントが残る心配はありません」と柴田氏は説明する。

そしてこの成果を踏まえつつ、2019年10月からいよいよグループ各社へのIIJ IDサービスの展開が始まった。2020年3月までに、約40のSaaSを連携させ、3,000名程度のアカウントを登録する想定だ。「今後も審査済みの約200種類のSaaSについてIIJ IDサービスへの対応を引き続き進めていきます。今後、SaaS型グループウェアの利用者が3万人を超えることなども考えると、IIJ IDサービスの運用規模が更に拡大していく可能性は十分にあります」と中村氏は語る。そして、「今後の拡張性が読み切れないからこそ、運用規模を自在に拡縮できるIDaaSならではのIIJ IDサービスのメリットが生かされます」と強調する。

マルチクラウド時代においては、利便性とセキュリティを兼ね備えたITの利用環境の継続的な見直しが必須である。「私たちとしても、IT環境のセキュリティを更に強化していきます」と柴田氏は語る。こうした取り組みを進めていく中で、IIJ IDサービスもますます重要な役割を担っていくと考えられている。

利用イメージ