株式会社ディンプスさまクラウドサービスの本格利用で不安視された情報漏えいのリスクを
POINT
- オンプレミスからクラウドサービスへの本格移行に際して、OneLoginを活用したIDアクセス管理・セキュリティ強化を実現
- 6,000を超えるクラウドサービスの設定テンプレートを用い、SAML連携の負担を抑制
ディンプスの事業概要
2000年に設立された株式会社ディンプス(以下、同社)は、業務用および家庭用コンピュータビデオゲームソフトウェアの研究・開発をビジネスの主軸に、マルチメディアコンテンツの研究・開発、情報処理サービスなどの事業を展開する企業だ。コンテンツの開発を通じて、「世界に喜びと感動を与える」、そして「潤いのある情報化社会の担い手になる」ことを使命に掲げている。
同社ではIDaaS製品「OneLogin」を活用し、Active Directory(以下、AD)との連携による多種多様なクラウドサービスのIDアクセス管理と、シングルサインオンを実現している。OneLoginを導入された背景と活用法、もたらされた効果について、同社のシステム運用グループの担当者にお話を伺った。
クラウドサービス利用のセキュリティ強化に、IDアクセス管理は必須
デジタルコンテンツの運営などにおいて個人情報やキャラクター版権を取り扱う同社にとって、情報漏えいの発生はビジネスに大きなダメージを与えるだけでなく、最悪、企業経営をも左右しかねない。そうしたことから同社では、IT基盤の導入・運用に関して厳格なセキュリティを適用してきた。
「情報漏えいのリスクを回避するため、システムはオンプレミスを主とし、基本的にはクラウドサービスを利用しないようにしていました。しかし、日々、変化を続ける外部環境に対応していくためにはオンプレミスによるシステム構築・運用に限界が見え始め、クラウドサービスを積極的に活用する方向へと大きく舵を切ったのです」と運用グループ担当者は説明する。
そこで課題として浮上したのが、クラウドサービスのアカウント管理だった。「サービスごとに手作業でユーザーのアカウント管理をしていたのでは、運用が煩雑になるだけでなく、ユーザーが退社した際のアカウントの削除漏れや、それを原因とする情報漏えいのリスクが生じかねないと懸念していました」と運用グループ担当者は語る。
同社では、社員だけでなく協力会社のスタッフが常駐して作業に当たることが多く、PCやクラウドサービスのアカウントも貸し出している。常駐のスタッフは数か月に1度の頻度で入れ替わりがあり、そうしたユーザーのアカウントの削除漏れが懸念されていたという。
そこで同社が導入を検討したのがIDaaS製品である。IDaaS製品とADを連携させることで、ユーザーの退社時にADのアカウントを削除すれば、クラウドサービスの利用も一元的に停止できるようになると考えたのだ。同時に、複数のクラウドサービスに対するログインを一度の認証で実現する「シングルサインオン(SSO)」の実装による利便性の向上、そして、さらなるセキュリティ強化を図っていくための多要素認証の導入も検討の俎上に挙げられた。
容易なSAML連携の実現と対応するクラウドサービスの多さを評価し、OneLoginを選択
これらの要件を満たすソリューションとして同社が選択したのが「OneLogin」である。OneLoginは、世界200ヵ国以上、2,500社以上のユーザーに利用されているIDaaS製品で、クラウドサービスとWebアプリケーションに対するシングルサインオンを中心に、多要素認証やアクセスコントロールなどのセキュリティ機能を提供している。
OneLogin導入の決め手の1つが、数多くのクラウドサービスで採用されているSAML(Security Assertion Markup Language)による認証連携をサポートしていたことだ。「OneLoginには6,000を超えるクラウドサービス、Webアプリケーションの設定テンプレートが用意されています。このテンプレートを用いることで煩雑なSAML連携の設定に関する負担が抑制され、アカウント管理とシングルサインオンが簡単に実現できる点は大きな魅力でした」と運用グループ担当者は強調する。
このほかにも、他社サービスと比べて対応するクラウドサービスが多かったことや多要素認証機能を用意していること、そしてコストパフォーマンスに優れていたことも評価ポイントとなり、同社は2018年3月にOneLoginの導入を決定。サイバネットシステム株式会社(以下、サイバネット)による支援のもと、導入作業を進め、同年5月から本番運用を開始した。
SAML連携と代行入力の併用で、多種多様なクラウドサービスのシングルサインオンを実現
現在、同社ではIaaSによるインフラのクラウド運用をはじめ、基幹系システムや業務システム、コミュニケーションツールや開発ツールなど、PaaS/SaaSの領域に至るまで多種多様なクラウドサービスが利用されているが、そのほとんどでOneLoginによるシングルサインオンとアカウント管理が実現された。SAML未対応のクラウドサービスについても、フォーム認証やベーシック認証に対するユーザーID・パスワードの代行入力機能を用いたシングルサインオンが行われている。
導入当初は約50だったライセンス数も現在では約500まで追加され、社員のみならず協力会社のスタッフに対してもOneLoginによるシングルサインオンの実現と、アカウント管理が適用されている。「代行入力とフォーム入力との連携では、利便性を考慮し基本的にユーザーに一任しています。管理者側で制限を加えたならば、ユーザー自身でシングルサインオンの設定も可能となるOneLoginの利便性が損なわれると考えたからです」と運用グループ担当者は補足する。このほか、モバイルアプリの「OneLogin Protect」を利用者のスマートフォンにインストールして多要素認証も実施し、さらなるセキュリティ強化を図っている。
同社では業務の関係上、協力会社のスタッフやクライアント企業とGoogle Workspace(旧称G Suite)を利用してやり取りするケースもあるが、そうした関係者にもOneLoginのアカウントを貸与するとともに、OneLoginの管理機能を活用してあらかじめ設定したIPアドレスからしかクラウドサービスに接続できないようにするなど、パートナー、顧客も含めたセキュリティ強化にも努めているという。
「OneLoginの導入により、ユーザーのアカウントの削除漏れに対する不安は解消されました。また、本番運用を開始してから約2年が経過しましたが、その間にトラブルも発生しておらず、安心して利用できています」とシステム運用担当者は話す。現場のユーザーにとってもOneLoginポータルにログインし、利用可能なクラウドサービスの一覧をクリックすれば利用可能となるシングルサインオンが実現されたことで、クラウドサービスごとに複数のID/パスワードを都度入力する手間から解放された。なお、OneLoginの利用に関してユーザーから問い合わせやクレームなども全く寄せられておらず、日常的に利用するツールとして浸透しているという。
さらなるセキュリティ強化に向けて、OneLoginとUEBAの連携も視野に
システム運用担当者は、今回のプロジェクトを通じたサイバネットのサポート体制についても評価する。「導入作業を進めていく中で、ゲーム開発のプロジェクト管理で利用しているクラウドサービスのSAML連携の設定に手間取り、苦労していました。そこで、サイバネットのエンジニアに同クラウドサービスのアカウントを発行し、設定作業をすべて行ってもらったのです。結果、無事SAML連携が実現され、本当に助かりました。このほかにも、様々な相談や問い合わせに対してサイバネットは常に迅速なレスポンスを返してくれるので、とても感謝しています」(システム運用担当者)
今後、ディンプスではさらなるセキュリティ強化を推進していきたいという。「テレワークの利用者増を見据えたセキュリティ対策の強化は今後の課題の1つです。また、利用するクラウドサービスの増加に伴って、不正なアクションに気付けなくなるケースも発生すると懸念しています。そこで、OneLoginのアクティビティログを定期的に取得し、UEBA(User and Entity Behavior Analytics)で分析することで、マルウェア感染などで不審な動きがあればアラートを出すような仕組みを実現していきたいと考えています」とシステム運用担当者は今後の展望を語る。
「そうしたセキュリティ強化に向けた当社の取り組みに対して、今後も引き続きサイバネットには業務を安全、かつ便利に行えるソリューションの提案を期待しています」(システム運用担当者)
(取材日:2020年10月)
関連ページ: