導入事例

ビザスクでは「知見と、挑戦をつなぐ」というミッションを掲げ、世界一のナレッジプラットフォームを目指しています。この会社全体のミッションを実現するために私たちのチームでは「世界一働きやすい環境を作ること」をミッションに掲げています。
このミッションを実現するために重視しているのが「クラウドファースト」の考え方で、場所やデバイスを問わず働ける環境を理想としています。管理部門やセキュリティーがビジネスの成長の足かせになってはならず、ビザスクに携わる世界中の従業員が利便性やセキュリティー、安全性などの観点から「働きやすい」と実感できる環境を提供すること、そして利便性と安全性を両立する環境作りに日々取り組んでいます。

シングルサインオン（SSO）自体は、以前も別のツールを導入することで実現していました。具体的にはMicrosoft Entra ID（旧 Azure Active Directory）をクラウドサービスにアクセスする際の認証情報を管理するIdPとして利用していました。
今回Okta Workforce Identityを導入し、Microsoft Entra IDから乗り換えることになったのは、米国を中心にエキスパートネットワークサービス事業をグローバル展開しているColeman Research Group, Inc.（以下、Coleman社）を買収したことがきっかけです。これはグローバル展開をさらに加速するための買収であり、当時は自社よりも事業規模が大きい企業の買収でもあるという、とても挑戦的なものでした。
この買収によって取扱高が増加したと同時に、管理しなければならない従業員のアカウント数も350弱から600後半へと倍近く増加しました。その後も従業員を積極的に採用していき、海外拠点で働く従業員数も急増したため、早急に新しい環境を構築する必要が生まれたのです。

弊社とColeman社、両方にしっかりと確立したアカウント管理の体制が存在していたため、どちらか一方の体制を解体、統合することはできなかったことが大きな課題でした。
一般的な買収では、買収する側の環境に買収される側が合わせるケースが多いと思いますが、経営レベルで何度も悩んだ結果、これまでに構築してきた両社の環境をなるべく維持、活用していく方針を選んでいます。その理由として、Coleman社の買収は事業のグローバル展開を加速させるためだったからです。
難しい経営判断ではありましたが、Coleman社の事業成長スピードをできる限り落とさず、海外拠点を増やし、今後のグローバル展開を加速させていくためには、両社の環境をなるべく維持し活用していくべきだと考えました。従業員が急増し、働く環境の種類も増えていく中で、私たちのチームはいかにして働く環境の安全性を高めていくか、いかにしてエンドポイントを守っていくかを重視した結果、新たにツールを導入することでアカウント管理の体制を構築することになったのです。

代表的なものは、Slack、Google Workspace、Microsoft アカウントが挙げられます。その他にも、Zoom、Keeper Security、SmartHR、kickflow、Salesforce、Zapierなど、各業務領域に特化したクラウドアプリケーションもシングルサインオンによるセキュリティーコントロールができるため、Okta Workforce Identityでアカウントを統合しています。また、最近ではAtlassianの製品も増えてきました。

大きく2つのフェーズに分けて進行しました。

• 第1フェーズ：Microsoft Entra IDとアプリケーション（Slack等）の間に、Okta Workforce IdentityをSP（サービスプロバイダー）として挟み、Hub & Spoke構成を構築する
• 第2フェーズ：Microsoft Entra IDを他アプリケーションと同じくSPに変更。Okta Workforce IdentityをIdP（IDプロバイダー）として構築しID管理する

第1フェーズはほぼ私ひとりが担当していたのですが、およそ3ヶ月以内には順調に完了しています。第2フェーズもだいぶ落ち着いてきまして、連携できるアプリケーションは一通りOkta Workforce Identityによる統合が終わっています。このステータスはColeman社も同様で、以前の体制を問わず、同時並行で進められました。
Okta Workforce Identityの導入で特に意識していたのが、Coleman社のITチームの理解を得ながら進めていくことです。Coleman社の社員からすれば、アカウント管理の体制がガラリと変わる訳ですから、事業スピードを落とさないためにもいち早く新しい環境に慣れてもらえるよう、説明を尽くしました。

ネクストモードさんのブログ記事でもご紹介されている「Hub & Spoke（Okta Org2Org）」の構成を採用したことです。組織単位で使うアプリ用に各Oktaテナントを構築しながらも、全社的に使うアプリは一括管理するという構成で、弊社とColeman社どちらにも確立したコーポレートITが存在していた今回のケースに適しています。
また、今後も拠点数の増加と各拠点ごとに専任の担当者が置かれると想定している点も「Hub & Spoke」の構成が最適な理由のひとつです。たとえばアメリカの場合、拠点が置かれている州によって州法が変わるため、法令への対応方針や使用するサービスは現場主導で判断するほうが合理的です。
ただ、「Hub & Spoke」の構成はブログ記事を読んである程度イメージはできていたのですが、実際に構築するとなるとなかなか上手く進められない箇所がありました。ひとつ例を挙げると、同じOkta Workforce Identityの中にIdPとサービス側としての概念、つまり制御するテナント側と接続するサービス側という2つの立場が併存していることによって、Okta Workforce Identityの振る舞いが変わってくる点は非常にややこしく感じたポイントです。そこで「Hub & Spoke」の記事を書かれたネクストモードさんの担当の方に質問を投げさせていただき、一つひとつの問題を解決していきました。

グローバルシェアの拡大を目指し、組織規模はさらに大きくなると想定しています。従業員数やエンドポイントの数、利用するクラウドサービスの数などが多様化し増えていく一方で、お客さまの重要な情報を取り扱う責任も比例して大きくなっていきます。そのためにも今後さらにセキュリティー強度を高め、変化するグローバル環境に適応し、アップデートし続けていく責任があります。
そのためにも今回導入したOkta Workforce Identityを活用し、アプリケーションやデバイスの認証だけでなく、認可の部分も強化していく方向性で考えています。その一環としてセキュリティーポリシーを統一し、継続して見直すことでガバナンス強化につなげたいですね。

無から有を生み出すようなご提案ではなく、私たちが考え、描いている理想像を補完し、強化していただけるような支援をお願いしたいです。そのために重要になるのはやはり技術力で、引き続きOkta製品を取り扱うプロとして、ブログによる情報発信や専門的な視点からのアドバイスを期待します。

自分たちの力で自社のセキュリティーの問題を解決したいと強く考えている情報システム部門やバックオフィス部門の方には、解決に至るまで力添えしていただけるネクストモードさんはおすすめできます。実際に今回の取り組みでは、弊社からの問い合わせに対して実現可否だけでなく、その代替案までご紹介いただけました。
取り組み当初のきっかけでもあったスピーディで寄り添ったコミュニケーションと課題解決に必要な技術力の高さは、不安が多いアカウント管理の体制変更においてもきっと安心感が得られるはずです。