【日本オラクル・TIS共催】
顧客事例から学ぶ、グローバル製造業のID管理の課題と対策

開催報告

2017年2月24日(金)、ベルサール新宿グランドにて、日本オラクル株式会社・TIS株式会社共催で「顧客事例から学ぶ、グローバル製造業のID管理の課題と対策」セミナーを開催致しました。

国内企業のグローバル進出やM&Aや企業の統廃合が加速化しています。 それと同時に企業ITシステムに対するセキュリティの脅威も日々増加し、 企業グループ全体のセキュリティ強化対策が急務になっています。
本セミナーでは、従業員、パートナ、顧客などのID情報を、利便性を損なわず、効率良くセキュアに管理するためのIDアクセス管理、ID管理を中心に製造業のお客様向けに事例を交えた講演をさせて頂きました。
お忙しい中、会場へ足をお運びいただいた皆様、誠にありがとうございました。

講演資料をご希望の方は、セミナーレポート下部にある「資料ダウンロード」よりダウンロードしてください。

開催要項

タイトル 【日本オラクル・TIS共催】顧客事例から学ぶ、グローバル製造業のID管理の課題と対策
開催日 2017年2月24日(金)
会場 ベルサール新宿グランド5階 Room K
時間 13:30~17:00(受付開始 13:00)
定員 100名
参加費 無料(事前登録制)
共催 日本オラクル株式会社、TIS株式会社

セミナーレポート

国内企業の海外進出やM&Aによる企業の統廃合が加速化している。企業のビジネス環境が大きく変化する中、ITシステムに対するセキュリティの脅威は増加し絶えず変化している。企業にとっては海外拠点を含むグループ全体のセキュリティ強化が急務だ。そんな中では正社員はもちろん非正規社員のID情報を適切に管理することが極めて重要だ。場合によってはパートナーなど協力会社や顧客のIDも含め、効率的に膨大なIDを管理しなければならないだろう。

このような課題を受け、グローバル展開を行う企業などに向けID管理の課題と対策を紹介するセミナーが、日本オラクルとTISの共催により開催された。セミナーでは、LIXILによるID管理導入事例の紹介、さらには具体的なID管理導入のための方法について紹介された。

LIXILにおけるグローバルなID管理基盤の構築

LIXILにおけるグローバルなID管理基盤の構築

「グローバルなID管理基盤構築に向けた取り組み」と題し、新たなID管理基盤導入の事例を紹介したのは、株式会社 LIXIL 情報システム本部 技術開発部 部長の吉岡 靖氏だ。LIXILは2011年4月にトステム、INAX、新日軽、サンウエーブ、TOEXという住まいのトップブランドが1つになり誕生した。2016年度の売り上げは1兆8,905億円に達し、国内における住宅用建材、ビル建材の事業を中心に、東京駅丸の内駅舎のレンガ、オペラハウスやAppleの新本社社屋など国内、海外の大規模なビルの建材も同社が供給している。

統合から6年が経過し、さらなる海外企業の買収もありビジネスは順調に拡大している。一方で「ITシステムの統合は完了しているところとそうでないところがあります」と吉岡氏は言う。旧事業会社ごとにサイロ化したシステム、さらには海外拠点に個別のシステムがあり、それらを「グローバルONE LIXIL」として統合化し、グローバル標準で共通のアーキテクチャ、共通の運用環境の実現を目指している最中だ。

ID管理の統合もそんな取り組みの1つで、2年ほど前から検討し具体的にプロジェクトが動き出したのは1年半ほど前だ。プロジェクト開始当初はアプリケーションもばらばらで、インフラ統合も終わっていなかった。そのような中でID管理だけでなく業務プロセスやアプリケーションなどをなるべくグローバルで標準化し、共通アーキテクチャで運用することを目指している。

とはいえ国内にはIBM、富士通、日立のメインフレームがあり工場ではオフコンも一部稼働し共通化が難しい部分もある。さらにデータセンターは国内3カ所、それぞれが災害対策構成を持ちトータル6カ所も運用しており、グローバルまで見ればこの状況はさらに広がる。

IT環境の統合が難しい中で、内部統制やセキュリティの確保の面からID管理の統合は極めて重要だった。「グローバルでガバナンス強化、セキュリティ強化の機運が高まっていました。ID統合の実施には追い風が吹いていました」と吉岡氏。

ID統合化プロジェクトが進む中で、LIXILが選んだのがOracle Identity Managerだった。

「グローバル展開の際に、日本で仕様を決めグローバルに持って行くと入り口でつまることがあります。ならば、最初からグローバルで実績あるパッケージを持って行くほうがいいと考えました。グローバルで売れているにはそれだけの理由があり、シェアが高ければ継続的な投資も期待できます。売れ筋のパッケージ製品を選ぶことはロジカルな説明ができるので、グローバル展開では重要です」(吉岡氏)

他にも標準機能の網羅性、標準技術、標準規格を採用しオープンであることもOracle Identity Managerを採用した理由だと言う。

LIXILのID管理の統合化では、まずマイクロソフトのActive Directoryフェデレーションサービスを用いたシングルサインオンの実現から取り組んだ。「シングルサインオンを先に実現し、ユーザーがID統合を意識しないようにしました」と吉岡氏。複数IDへの対応では、それぞれのActive Directoryを切り替えてIDを使い分ける仕組みを構築した。

次のステップで取り組んだのが、IDの統合だった。人事システムと連動したIDの登録、変更、破棄の自動化を実現するのにOIMが役に立っている。
3つめとして取り組んでいるのがID認可の統合だ。認可基盤を構築し、各システムの権限機能の集約を行い、認証、認可情報の配布を行う仕組みに取り組んでいる最中だ。

「IDと権限の間をどう結びつけるかが課題です。アプリケーションはたくさんあり、様々なレベルの権限をすべて集約するのは現実的ではありません。そのため人事システムなどからは人の役職や職種に応じた情報を役割(ロール)として中央で管理するようにした。また役割を承認した証跡がきちんと保管できるようにもしました」(吉岡氏)

中央で管理するのは人の役割(ロール)だけで、アプリケーション個別の権限定義はそれぞれのアプリケーションがその役割(ロール)に権限を付与することで実現する。
今回のID統合の取り組みを経て、今後も権限管理の展開を実現する必要があると吉岡氏は言う。また、IDの棚卸しはかなり重要で、不要なIDを消し、常に鮮度を維持しなければならない。また、承認者の異動にもタイムリーに対応できるようにするなど細かい対応が必要だと指摘した。

クラウドを活用したID管理、アクセス管理を成功させるポイント

クラウドを活用したID管理、アクセス管理を成功させるポイント

LIXIL 吉岡氏の基調講演に続き、PwCコンサルティング合同会社 Technology Consulting 畠山 誠氏がID管理の最新動向、さらには2018年までにEUでビジネスを行う企業に対応が求められる「EU一般データ保護規則(GDPR)」にどうアプローチすれば良いかの解説が行われた。

それを受ける形で「クラウドを活用したID管理・アクセス管理を成功させるための勘所とCASB入門」と題し、クラウドでのID管理とクラウドサービスのセキュリティ確保の新しい仕組みについて解説したのが、日本オラクル株式会社 クラウド・テクノロジー事業統括 Fusion Middleware事業本部 インテグレーションソリューション部 シニアセールスコンサルタントの細谷 卓だ。

現状ID管理はほとんどがオンプレミスで行われている。企業の一部門でクラウドを利用している例はあるが、全社やグローバル規模での管理はまだまだこれから。その理由として「企業はID as a Service(IDaaS)には情報漏洩やサービス継続性の懸念があり、さらにはオンプレミスとどう連携するのか、カスタマイズはできるのかといったことを気にしています」と細谷は言う。

実際はIDaaSのほとんどがオンプレミスとの連携機能を持ち、大抵はマイクロソフトのActive Directoryと連携できる。さらにOracle Identity Cloud Serviceなら、オープンでカスタマイズ要求にも応えられる。「API経由で操作でき、REST APIを使いIDの管理から認証に至るまでを制御できます」とのこと。

またクラウドサービス基盤に多層防御の仕組みもあり、強固なセキュリティも提供している。その上でオンプレミス環境とのハイブリッドなID管理も可能だ。たとえば退職者が出た際に24時間以内にIDを削除するワークフローを自動で走らせるなど、オンプレミスと同様な対応がSaaSに容易に適用できる。これは、クラウドのサービスにもIDのライフサイクル管理が標準機能として提供されているからで、つまりは多くの企業のクラウドID管理に対する懸念は、Oracle Identity Cloud Serviceでは全て解決できていると細谷は説明する。

細谷がもう1つ解説したのがクラウド・セキュリティ分野で注目を集めるCASB (Cloud Access Security Broker)による脅威への対応についてだ。昨今クラウドの利用が盛んになり、従来のファイル共有やスケジュール管理などから、業務のコア部分でSaaSを利用する企業も増えている。そういったSaaSの利用では、オンプレミスのシステムと同様のセキュリティレベルが求められる。

そのような状況の中、Oracle CASBはクラウドサービスに対し「可視化」「データセキュリティ」「コンプライアンス」「防御」の4つのセキュリティ機能を提供する。

「Oracle CASBは企業のシステム部門の担当者や監査を行う立場の人が利用するツールです。ダッシュボードから簡単にクラウドサービスのセキュリティ管理が行えます」(細谷)

Oracle CASBは、クラウドサービスの監査用APIを呼び出しサービスの監視を行う。「APIの呼び出し部分の設定はカタログでOracleが用意しているので、接続の簡単な設定をするだけですぐに利用できます。クラウドアプリケーションのセキュリティ制御が容易に設定でき、シャドウITを検知することも可能です」とのこと。

実施にOracle CASBでAWSのIaaSや、SalesforceのようなSaaSを登録し監視を行うデモンストレーションも示された。カタログを使い簡単にサービスを登録し、すぐに監視対象になる。脅威を検知するとアラートを出し、危険度に応じダッシュボードの表示を色分けすることも可能だ。ユーザーがいつどこからクラウドサービスにログインしたのかがすぐに確認でき、短時間で大きく離れた別地域からログインしていることが分かれば、それが不正アクセスだとも分かる。ログインの失敗が短時間に繰り返されるのも、不正アクセスとして検知できる。管理者は状況に応じインシデントを確認し、見つかった脅威に対する対応はOracle CASBの管理画面からすぐに行える様子が示された。

クラウドサービスを利用するのが当たり前になり、ユーザーのID管理、クラウドの利用状況の監視などもクラウドから行うほうがスムースな場合も増えるだろう。その際にオンプレミスと同レベルの管理、監視ができ、状況に応じてハイブリッド構成もとれるOracleのソリューションは、今後さらに利用が進む可能性がありそうだ。

段階的なアプローチがID統合化の成否の鍵となる

段階的なアプローチがID統合化の成否の鍵となる

企業が抱えるID、認証管理の課題とその解決アプローチについて「TISにおけるID・認証管理システムにおける導入アプローチと取り組み」と題し、SIの立場から解説したのは、TISの産業事業本部 エンタープライズソリューション事業部の村松資大氏と島田伸二氏だ。TISはシステムの開発から運用に至るトータルなサービスを提供しており、Oracleとの協業もデータベースをはじめID管理を含め、あらゆる領域で20年以上の実績がある。「フルスタックでOracleのビジネスに取り組んでいるのが我々の強みです」と村松氏は言う。

TISでは多くのID管理案件を手がけた経験から、ID管理そのものが抱える課題と、システムを取り巻く環境の多様化から生まれる課題の2つがあると指摘する。前者はたとえば法制度の変更やID管理ツールそのものの利便性、運用性、さらにより高いレベルが求められるセキュリティへの対応などがある。一方多様化からくる課題には、グローバル化への対応やモバイル端末の普及など利用者環境の変化などがある。

もう1つ指摘したのが利用者の期待だ。「発行されたらすぐにIDを使えるようにしたい。さらに権限通りのアクセスをどこからでもどの端末でも行いたいとの要求もあります」と村松氏。

こういった課題や要求に対し、TISではまずはID統合レベルを決めるところからアプローチする。IDに関するルールや規定の統合を行い、次に論理的なID統合を行う。そして独自性の強いシステムを除いて物理的なID統合へと発展させ、最後は独自システムも含め全てを完全統合する。

物理的なID統合を実現すれば、IDの集中発行、シングルサインオン、セキュリティ対策の強化などが実現でき、多くの企業のID管理に対する期待に応えられる。原則は企業グループが抱える全てのシステムが対象となるが、独自性の高いシステムはコストや手間などを考慮し統合化を別途検討することになる。

具体的なID統合のプロジェクトでは、まず基本方針の定義から入る。「ここが極めて重要です」と村松氏。ポイントは大きく2つあり、機能をどこまで実装するか、適用対象をどうするかを十分に検討する。次のステップが実行計画の策定、ここでは予算、スケジュールを決めツール選定も行う。3つめのステップがID統合の実行と展開で、ID管理の仕組みを構築しそれを各システムに展開する。

「目標としてはIDを集中管理し、人事情報との自動連携、シングルサインオンを実現します。さらに不正アクセスの予防と検知、権限の管理などやりたいことは多岐にわたります。いきなり全てをやるのは大変です。まずは共通系のアプリケーションのシングルサインオンを目指すのが現実的です」(村松氏)

TISではID統合の際に、OracleのID管理製品を活用する提案を行っている。TISはOracleのID管理製品が標準で持つ豊富な機能にも精通しており、カスタマイズにも柔軟に対応できる。またこれまでの導入経験からID統合のためのドキュメントなども多数あり、ノウハウのテンプレート化も進めている。さらに「ID管理は入れて終わりではありません。連携させるシステムも増えるしM&Aで企業が拡大することもあります。そういった変化にもID管理が継続して運用できるようTISではサポートします」と村松氏。

OracleのID管理ツールは、標準でカバー範囲が広くその上で個別の要求に応じてデザインやワークフローなどを自由にカスタマイズできる点が良いと言う。「Oracle製品にTISの持っているアセットを加えれば、ユーザー独自の要求にも柔軟に応えられます」とのことだ。

TISが手がけたグローバル企業のID統合の事例の1つでは、法人顧客向けの3つのWebサービスがあり、そのIDを統合してシングルサインオンを実現したと島田氏は説明する。この事例ではOracleが標準で提供するユーザーのパスワード変更画面や管理者画面で、必要以上の操作ができないようTISのアセットを利用し設定項目の制限を行い、利便性の向上と同時に運用面のコスト削減も実現している。

もう1つ紹介された事例では、Oracle E-Business SuiteやOracle BIなどさまざまなOracleアプリケーションを活用した管理会計の仕組みにおいて、ID統合化によるシングルサインオンを実現した。ここでは、自動認証連携を実現して、アプリケーションごとに情報への適切なアクセス制御を行っている。段階的に機能を実装し、安全にシングルサインオンの環境に移行したとのことだ。

最後に村松氏は段階的なアプローチが重要であり、今実現すべきことと将来的にやることを明確化するのがID統合化の鍵となると言う。そしてTISには多くの実績に基づくノウハウとアセットがあり、柔軟なカスタマイズにも対応できるトータルで万全な開発体制があると言う。ID管理で課題を抱えているならば、是非相談して欲しいと言う。

更新日時:2019年4月1日 16時17分

PAGE TOP

お問い合わせ
お問い合わせページはこちら