グローバルカンパニーの新たな統合ID・認証基盤を構築
株式会社リコー
課題
- ID管理システムと認証基盤の老朽化
- クラウド活用に向けた新しいID体系の構築と
シングルサインオン、多要素認証への対応 - ID数100万規模への対応
解決策
- 新たな統合ID管理の導入と認証基盤の構築
- 「Secioss Identity Manager Enterprise(SIME)」
「Secioss Access Manager Enterprise(SAME)」の導入
効果
- 新ID体系により一人1IDを実現
- シングルサインオン、多要素認証の導入で利便性と
セキュリティが向上 - 東京・大阪にある2つのデータセンターでシステムを
完全二重化
従来型ID管理の行き詰まりと認証基盤の老朽化から、新たな環境の検討へ
約200の国と地域で事業展開し、世界中に約92,000人の従業員を有するリコーグループ。
画像機器を中心に数々の製品とサービスを提供してきた同社は、2000年過ぎからLDAPを使用した統合認証環境を構築してきた。源泉データはNotesのディレクトリサービス。そこでカバーしきれない個別のIDや属性情報はNotes上に都度アプリケーションを作成して対応してきた。しかし長年の使用により老朽化が進み、ディレクトリサーバの再構築と認証環境の全面見直しの必要に迫られていた。またLDAPの基盤部分はアウトソーシングで行っていたが、その契約も2015年には終了。契約の延長は行ったものの、それも2017年3月が最終期限であった。
そこで初めの契約終了を迎える2015年夏頃、リコーグループは新しい認証環境構想の社内検討を開始する。
今後のクラウド活用における技術的な要件を調査していく過程で、新たなID管理体系とシングルサインオン、多要素認証の導入が必要であることがわかった。さらに同グループの巨大な企業規模も大きな課題となった。当時、国内だけでもアカウント数は約4万弱、パートナー会社を含めると約5万人にアカウントが払い出され、海外の関連会社や代理店も含めると10万ものアカウントが存在していた。さらに、将来、顧客IDの統合も見据えると、100万IDの規模にも耐えられるシステムの導入が必要であった。
グループの規模を満たす提案と迅速な対応力を評価
システム検討の過程で幾つかの製品を選定し、それぞれの業者に対して個別で聞き取り調査を行ったところ、まず価格面では、IDに対して単価が設定されているものが一般的であり、リコーグループの規模の場合では、年間数億円の費用が発生することが判明する。また機能面では、製品カタログに記載された内容について業者の担当者に質問しても曖昧な回答が返ってくるケースも少なくなく、リコーグループの要求を満たしてくれそうな業者がなかなか見つからなかったのだという。
そんな中で選ばれたのが、セシオスだった。
「統合ID管理機能だけでなく、SAMLやリバースプロキシ方式のシングルサンイオンなど、認証機能を一通り提供してくださることに魅力を感じました。」
と和久利氏は当時の様子を語る。
またセシオスがID管理、認証の専業会社であり、リコーグループからの質問や要求に対しても、明確かつ迅速に回答するセシオスの姿勢も高評価に繋がったようだ。
「大手のSIerの場合、仕様検討から始まって提案に数ヶ月はかかる。けれどセシオスさんの場合、サンプルをすぐに用意して提案いただき、試すことができた。おかげでストレスも少なく仕事を進めることができました。」
と和久利氏は語った。
システムの完全二重化と新たなID体系の実現へ
導入後の効果はどうだったのだろうか。まず、直近に迫っていたLDAP基盤アウトソース環境の切り替えに対しては、既存環境から新環境へのマイグレーションをわずか6ヵ月(2016年10月から2017年03月)という短納期で実現。移行に際しては、統合ID管理、認証基盤ともに大きなトラブルもなく、スムーズに行うことができた。さらに認証基盤の可用性向上およびBCP対策のために、東京と大阪にある2つのデータセンターのシステム冗長化も実現できた。
「完全二重化されたことにより、万が一、片方の機能が停止する事態が起きても担当者が安心して眠れるという状況になった。このことは目に見えない部分ですが、たいへん大きな効果でした。」
と和久利氏は嬉しそうに振り返る。
移行作業を進める過程で、リコーグループはMicrosoft 365の導入も決定し、新たなID管理体系へ変更することになった。それまでのID体系では兼務先、出向先毎に都度、IDとメールアドレスを別々に払い出していたが、新基盤の導入を機に一人1IDへ変更した。
「Microsoft 365の導入前から『認証の基盤をきちんと整え直さないといけない』という話は出ていました。それまではNotesでシステムごとに対応して何とか運用していたのですが、これからのグローバル展開やクラウド化へシフトする中、従来の運用システムでは今後の組織変更や人事異動に対応できないけれど、この統合ID、認証基盤なら確実にコントロールできると気付いたのです。」
とITインフラ統括部の鈴木氏は当時の背景を説明してくれた。
現在は、新しいID体系の配布も一通り終了して安定しており、今後は、この新しいID体系にMicrosoft365以外のシステムも順次対応させていくという。現在、旧IDと新IDを含めると25万ID以上、組織情報は1万以上、そして4万を超えるグループ情報が登録されており、認証の問い合わせ処理は、LDAP側だけで一日あたり600万回超。連携しているADでは実に800万回を超える数を処理している。これらを支えるサーバは70台を超える大規模なものだが、こちらも安定稼働しているそうだ。スキーマの変更や性能課題などが発生した際にも柔軟に対応してくれるセシオスに対して、強い信頼を寄せているのだという。
今後のグローバル展開における認証基盤の重要性
日本国内の安定した認証基盤と、ID配布の体系が確立したリコーグループはこれからも認証基盤を非常に重要視しているという。今後の課題は「様々なアプリケーションへの対応」、そして「海外拠点」「顧客」との認証基盤の連携・統合だという。特にグローバルでの展開を重要視しているようだ。
「2020年のオリンピック・パラリンピックの際にサイバーテロが発生する可能性もあります。その際、最初にまず認証基盤を確認しなければならない。海外にある生産拠点に対して、国内からクラウドで対応する際に認証やセキュリティの安全が担保されていることはとても重要になります。」
と鈴木氏は強く語る。
今後の認証は単なるID/PWだけでは済まなくなることも予想され、さらには次世代の認証技術・FIDO等への対応も想定しなければならない。その一方現場では、認証連携の必要性を理解しながらも、認証システムをしっかりと理解できている社員は少ないのだという。認証基盤の重要性を含め連携、利用を促進するために、グループ内での説明機会を増やしていくことの大切さを感じているそうだ。グローバル展開の中でセキュリティを経営課題と捉え、重点的に強化・対応していくことを目指すリコーグループ。セシオスの提供する認証基盤の役割は、これからも非常に大きいと言えるだろう。
セシオスが選ばれた理由
- 統合ID管理、認証についての専門知識があったこと。
- リコーのID体系に沿ったライセンス提供が可能だったこと。
- 提案段階での不透明な要件に対しても、柔軟かつ真摯に対応してくれたこと。
お話を伺った方
デジタル推進本部
ITインフラ統括部
鈴木 弘之氏
デジタル推進本部
ITインフラ統括部
和久利 智丈氏
本社:東京都大田区中馬込1-3-6
創立:1936年2月6日
連結従業員数:92,663名(2019年3月31日現在)
資本金:1,353億円(2019年3月31日現在)
株式会社リコー
https://www.ricoh.co.jp/
※掲載内容は、記事公開の2019年6月時点のものです。