「クロネコヤマトの宅急便」で知られるヤマトグループが持ち株会社体制に移行したのは2005年11月1日のことだ。それ以来、ヤマトホールディングスは一貫してコーポレートガバナンスの強化に注力してきた。
その施策の一つが、グループ横断のセキュリティガバナンスである。ヤマトホールディングスでIT戦略を担当する柴田裕介氏は、次のように語る。「万が一、何らかのセキュリティ事故を起こした場合、コーポレートブランドの失墜にもつながりかねません。しかし、サイバーセキュリティへの取り組みをヤマトグループ各社に任せてしまうと、対策レベルに格差が生じる恐れがあります」。
そこに課題として浮上してきたのが、SaaSの扱いだ。クラウド化を指向する世の多くの企業と同様、ヤマトグループ各社でも多種多様なSaaSの利用が進んでいる。その中にはセキュリティが脆弱であったり、存続性・継続性が危惧されるベンダーが提供していたりするサービスも少なくない。
また、SaaS自体に問題はなくても、運用体制に不備があれば十分なセキュリティを担保することはできない。例えば人事異動で担当を外れたり、退職したりした社員の「幽霊アカウント」が第三者に悪用され、不正アクセスされてしまうかもしれない。
そこで同社は2018年夏から、グループ共通で利用するシステムやアプリケーションへのアクセスを一元的に管理するSaaS用個人認証管理システム構築プロジェクトを開始した。その一環として、各種SaaSのアカウントを管理する基盤に採用したのが「IIJ IDサービス」である。社内ポータルと複数のSaaSとの間でIDを連携させ、SSO(シングルサインオン)や多要素認証をサポートするクラウド型のIDaaS(Identity as a Service)だ。
ヤマトグループ全体でSaaSの利用が進んでいるとはいえ、各社や部門ごとに利用するSaaSの種類も違えば、対象人数も大きく異なる。「そうした中でサーバ導入などの初期費用がかからず、アカウント単位の月額課金で利用できるといった、スモールスタートが可能なIIJ IDサービスのメリットに注目しました」と語るのは、ヤマトホールディングスの竹井聖美氏である。
もっとも、最初からIIJ IDサービスありきでプロジェクトを進めたわけではない。同様の機能を提供しているベンダー数社のサービスと比較した結果、IIJ IDサービスを選定した。決め手となったのは、日本のサービスプロバイダーならではのIIJの手厚いサポートだ。「例えばSAML 2.0を使ったSSO連携や多要素認証などを行う場合、SaaSごとの微妙な仕様の違いによりうまくいかないことがあります。そのような場合も、IIJ様は私たちの問い合わせに親身に答えてくれて、とても助かっています」と竹井氏は語る。
また、SaaS用個人認証管理システムの構築を担当するヤマトシステム開発は、IIJ IDサービスの正式導入に先立ちPoC(概念実証)を実施してきた。この作業に当たったヤマトシステム開発の中村実沙紀氏は、IIJ IDサービスの基本機能やオプション機能を利用して具体的にどんなことができるのか、1つひとつ試したという。「操作画面はシンプルでマニュアルも分かりやすく、IIJ IDサービスはとても使い勝手が良いと思いました。加えてIIJ様は、こちらの技術的な質問にも気軽に答えてくれて、SaaS用個人認証管理システムの構築・運用面でも心強いパートナーです」と中村氏は評価している。
ヤマトホールディングスは、まずは同社内に限定し、約200名のユーザによる運用を開始した。
「SSOの仕組みにより、たった1つだけパスワードを覚えておけば複数のSaaSにシームレスにアクセスすることができ、ユーザからも『ログイン回数が減って便利になった』という声が寄せられています」と竹井氏は語る。
更に、社内のSaaS用個人認証管理システムとIIJ IDサービスの連携も実施。「人事部門が異動や入退社に伴う人事マスタを更新すれば、その内容がIIJ IDサービスにも自動的に連動して反映されるので、幽霊アカウントが残る心配はありません」と柴田氏は説明する。
そしてこの成果を踏まえつつ、2019年10月からいよいよグループ各社へのIIJ IDサービスの展開が始まった。2020年3月までに、約40のSaaSを連携させ、3,000名程度のアカウントを登録する想定だ。「今後も審査済みの約200種類のSaaSについてIIJ IDサービスへの対応を引き続き進めていきます。今後、SaaS型グループウェアの利用者が3万人を超えることなども考えると、IIJ IDサービスの運用規模が更に拡大していく可能性は十分にあります」と中村氏は語る。そして、「今後の拡張性が読み切れないからこそ、運用規模を自在に拡縮できるIDaaSならではのIIJ IDサービスのメリットが生かされます」と強調する。
マルチクラウド時代においては、利便性とセキュリティを兼ね備えたITの利用環境の継続的な見直しが必須である。「私たちとしても、IT環境のセキュリティを更に強化していきます」と柴田氏は語る。こうした取り組みを進めていく中で、IIJ IDサービスもますます重要な役割を担っていくと考えられている。
※ 本記事は2019年9月に取材した内容を基に構成しています。記事内のデータや組織名、役職などは取材時のものです。