ゼロトラストの実現に向けてIDaaSソリューション「Okta」を採用 ～ ID管理を一元化し、セキュアな認証基盤を構築

セキュアなIT環境を整備し、ゼロトラストの実現を目指す各システムの認証基盤をIDaaSで統合したい

列車の安全運行を支える列車制御装置、列車との接触事故を防止する可動式ホーム柵、駅や空港に欠かせない旅客案内表示装置、LED式の交通信号灯器や道路の交通管制システムなど、さまざまな製品を通して日本の交通インフラを支える京三製作所。中でも可動式ホーム柵はトップクラスのシェアを誇ります。

同社は2022年からスタートした「中期経営計画2025」の中で、デジタル戦略としてERPを含むIT環境の刷新を掲げており、経営判断の迅速化や業務プロセスの全体最適化、データ統合による新たな顧客価値創造を目指しています。そんな同社がこのたび認証基盤の構築に着手した背景には、2020年ごろに立ち上がった経営トップ直轄のタスクフォースが、社としてクラウドネイティブに舵を切る方針を掲げたことにありました。ITシステム統括部 マネジャーの田平健太郎氏は「当時は基幹システムをはじめ、ほとんどのシステムがオンプレミス境環境で稼働していたのですが、今後の事業の成長を考えるならクラウド化が必須という経営陣の判断でした。そのためにも、セキュアなIT環境を整備しゼロトラストを実現する必要があり、クラウドネイティブな認証基盤、ネットワーク（SASE）、ログ分析（SIEM）の仕組みを検討することにしたのです」と説明します。

同社の既存の認証基盤は、スクラッチで開発した基幹システムのマスターデータ管理（MDM）を活用し、オンプレミス環境で運用していました。また、SaaSについては一部の部署が独自に導入・利用していたのですが、IDは各部署が個別に管理していました。
「ちょうどこのとき、基幹システムのクラウドERPへの移行が決まったこともあり、社内の各システムの認証をIDaaSソリューションで統合し、SSO化を目指すことにしました」（田平氏）

アクセス管理の分野において高く評価される「Okta」を採用。幅広く使える自由度の高さも魅力

2022年9月、京三製作所はRFPを作成し複数のベンダーに提案を依頼。各社から寄せられた提案を比較・検討した結果、12月にBeeXが提案したIDaaSソリューション「Okta」の採用を決めました。「Oktaを提案してきたのはBeeXだけだったのですが、ガートナー社によるレポートでもアクセス管理の分野でリーダーの1社とあり、グローバル市場での勢いを感じました。またMicrosoftやGoogleなど特定企業のサービスと紐づいておらず、幅広く使える自由度の高さも魅力でした。今回、BeeXにはクラウドに強いベンダーの1社としてお声がけしましたが、 RFPの作成など入口のところから伴走していただき、非常に助かりました」（田平氏）

Oktaの導入プロジェクトは2023年1月にスタートし、9月に完了しました。導入の際には社内で利用しているSaaSの棚卸しを実施し、仕様を整理しながらOktaと連携が可能かどうかを判断。SAML認証に対応していないSaaSや、ユーザー数の少ない特殊なSaaSなどを除外した上で、勤怠システムや給与明細システムなどと連携しました。なお、ユーザー情報は基幹システムのMDMと連携したオンプレミス環境上のActive Directory（AD）からCSVファイルを出力、Oktaに転送する形でID管理を一元化しています。

導入の作業では、管理するPCの台数が多いことに加え、ユーザーが複数いる共用PCの存在、デバイスを管理するエンドポイント製品（UEM）との連携などで苦労したといいます。同社ではUEMで管理されているデバイスを信頼されたデバイスとして扱う「デバイストラスト機能」を採用しており、Oktaで個人を認証した後、UEMによるデバイス認証を経て初めてログインが成立する仕組みとなっています。

「約2,000人の社員に対して、PCの台数は約2,800台あり、それらすべてに導入が必要でした。また、1人で2台のPCを持っている人がいた場合、それぞれのPCで認証を変える必要があり、メール認証などを新たに追加しなくてはなりません。さらに、工場などでは1台のPCを複数人で利用するケースもあり、UEMを介して複数人が1台のPCにログインできる仕組みを設定する必要がありました」（田平氏）

加えて、最初に連携したSaaSが、勤怠システムや給与明細システムといった全社員が利用するシステムであったことから、長期休暇の社員も含めて漏らすことなく連携する必要があり、全ユーザーのPCに認証のためのエージェントをインストールしてもらうのに苦労したといいます。

「導入はITシステム統括部からスモールスタートし、テストを経て全社に展開しました。しかし社員の中にはPCに詳しくない者も多く、こちらで作業を代行したり、PCを送ってもらって設定したりしました。勤怠システムや給与明細システムへのログイン方法も変わったことから、導入直後はユーザーからの問い合わせも多く、慣れてもらうまでに苦労しました」（田平氏）

ID管理の一元化により管理や棚卸の負担が大幅軽減SSOでユーザーの利便性も向上

京三製作所がOktaの導入を終えた後も、連携するSaaSは徐々に増えており、2024年9月には新たに導入したMicrosoft 365 およびBoxとの連携が実現しました。今後も、SaaSを導入する際にはOktaと連携していく予定で、今後カットオーバー予定のクラウドERPも視野に入れています。

Oktaの導入効果ですが、ID管理が一元化されたことで、管理や棚卸しの負担が大幅に軽減されたといいます。
「これまでは、異動や退職者が出るたびに各SaaSでIDを削除する必要がありましたが、Oktaの導入後はADでIDを無効化すると自動的にOkta側でもIDが無効になるため、作業が一度で済むようになりました。結果として、消し忘れなどで退職した社員のIDがシステム上に残るリスクもなくなり、セキュリティやガバナンスの強化が実現しています」（田平氏）

ユーザーとしても、以前はSaaSごとにIDとパスワードを設定する必要がありましたが、SSOによりIDが一本化され、ストレスなく利用できるようになっています。
「SaaSの数が増えるほどIDの管理は複雑になりますが、SSOならユーザーは1つのパスワードを覚えるだけで済むため、ログインの手間も減ります。パスワードを忘れてしまうケースもなくなるため、人事部や総務部などSaaSを管理する側も、再発行などの手間が減っていると思います」（田平氏）

今回の導入では、Oktaに加えて全体的にゼロトラストを意識した環境を構築され、ネットワーク全体のセキュリティが強化されました。結果、PCを社外に持ち出す上でのリスクもなくなり、営業や出張の際の利便性向上につながっています。
「従来はPCを社内で使うか、自宅に持ち帰って使うかの選択肢しかなく、出張時には専用のPCを持ち出していました。現在は社内で使っている自分のPCをそのまま持ち出せるようになり、リモートワークも容易になりました」（田平氏）

取引先の要望に応え、多要素認証や特権アクセス管理を検討BeeXにはさまざまな支援や的確なアドバイスを評価

京三製作所は今後の展望として、Oktaによる多要素認証の導入を検討しています。また、特権アクセスやアカウントと権限の管理などもOktaをベースに強化を進めていく方針です。

「海外の取引先、特に米国や欧州からは、セキュリティの要件として多要素認証が求められていますので、予算面を考慮しつつ検討を続けていきます。また、特権アクセス管理の強化のため、Okta Privileged Access (OPA)を導入する方向で検討をしています。ユーザー情報とOktaの連携についても、近くオンプレミス環境のADのサポートが終了することから、これに合わせて対応する予定です」（田平氏）

プロジェクトを支援したBeeXについては、定例会での情報提供に加え、営業担当者から寄せられるインプット、イベント案内、Oktaの担当者との打ち合わせのセッティングといった支援や、エンジニアからの的確なアドバイスを高く評価しています。
「Oktaは次々に新しい機能がリリースされるため、情報をキャッチアップしていくのが大変です。BeeXはOkta Japanの窓口として、アップデート情報などを随時提供していただき、次のステップを考える上で非常に役立っています。OPA の導入についてもBeeXにお願いしたいと思いますので、引き続きご協力をお願いします」（田平氏）