気づいているかどうかにかかわらず、マーケティング担当者、カスタムカーの愛好家、ステッカーのコレクターは誰でも、Stan Avery氏とDorothy Durfee Avery氏に関わりがあると言えます。1930年代、Stan氏とDorothy氏がまだ婚約中のとき、Dorothy氏はStan氏に100ドルを貸しました。その投資のおかげで、Stan氏は世界初の粘着ラベルを発明・製造することができ、夫妻はこの新製品を販売するために共同で会社を設立しました。
80年の歳月と複数の買収を経た今、その小さな企業は成長しAvery Dennisonとなりました。Avery Dennisonは、ラベルとグラフィック素材、小売ブランディングと情報ソリューション、産業とヘルスケア素材を専門とするグローバルな素材科学企業です。「当社では、クローム色のカーラッピング製品やバスの看板からアパレルのラベルまで、日常的に使用されるさまざまな機能性製品を製造しています」と、Avery Dennisonのエンタープライズ・セキュリティ担当シニア・マネージャーであるNiro Cantillo氏は述べています。
ユーザーを第一に
創業者と同じように、課題に正面から取り組むのがAvery Dennisonの社風で、それはテクノロジーへのアプローチにも反映されています。会社が成長するにつれて、Avery DennisonのIT環境は次第に複雑になっていきました。
合併と買収により、新しいアプリやソリューションが流入した結果、一貫性がなく覚えにくい、さまざまなユーザー名とパスワードが増えました。そこでAvery Dennisonは早速、従業員と顧客の認証プロセスを合理化する方法を模索し始めました。
「どんな種類のアプリケーションであれ、認証する必要のあるユーザーがいる限り、より良いユーザーエクスペリエンスを提供し続ける必要があります」とCantillo氏は言います。「これには、アイデンティティの検証によるセキュリティ強化も含まれています。当社のデジタル戦略は成長を続けており、アイデンティティとアクセス管理ソリューションと非常に密接に結びついています」
Avery Dennisonは、Okta、Ping Identity、Proofpoint、Duoなどのベンダーの調査を始めました。中でも、Okta Single Sign-On(SSO)には事前に構築されたさまざまな統合機能が付属しており、Avery Dennisonで使用する最大のアプリであるGoogle WorkspaceとKontiki iのサインオンプロセスを簡素化するのに役立ちました。
次に、同社はOktaをより多くのクラウドアプリに拡大して、多要素認証(MFA)を採用し、摩擦の少ない追加のセキュリティ・レイヤーで環境を保護しました。2015年末までに、1万8,500人のユーザーが27個の統合アプリにスムーズかつ安全にアクセスできるようになりました。
その一方で、Avery Dennisonは、ユーザーエクスペリエンスを向上するためにOkta製品を活用する新たな機会を模索し続けました。「当社が導入した新しいアプリケーションには、基本的なシングルサインオンではサポートされていなかった追加属性がありました」とCantillo氏は語ります。「そこで、Universal Directoryを検討したところ、追加の属性セットをActive DirectoryからOkta環境に導入することができました」
その後同社は、よりきめ細かいアダプティブ多要素認証を採用することで、セキュリティ態勢をさらに向上させました。また、API Access Managementを使用して、ラベルスキャナーやプリンターなどのB2Bエンドポイントのトークン検証と交換を実現しました。
思い切った挑戦
2019年末までに、Avery Dennisonは合計117個のアプリケーションをOktaと統合し、従業員の効率を高め、セキュリティ態勢を改善し、スケーラビリティを高めることで、クラウドファーストの企業としての地位を確立することに成功しました。しかし、Oracle EBSのように、SSO対応の設計がされていないために未統合のアプリケーションも多数残っていました。
Avery Dennisonは、OktaをOracle Access Management(OAM)と統合することで、すでにSSOを使用したEBSインスタンスを1つセットアップしていました。「非常にうまくいきました」とCantillo氏は述べています。「当時必要なことを実行するのに十分な堅牢性と柔軟性がありました。しかしその後、考慮すべき他の要素が出てきたのです。1つは、シングルサインオンをどれだけ早くリリース、実装、活用できるかという、効果を発揮するまでのスピードです。やりたいことをすべて行うのに数か月をかけることもできましたが、効率的である必要がありました」
この目標を達成するために、Avery Dennisonはユーザー約4,700人のユーザー名をできるだけ早く標準化する方法を見つける必要がありました。「しかし、この新しいインスタンスは、長年にわたって拡張したOracleのレガシー・インスタンスであり、IDが非常に多様だったため、それほど単純ではありませんでした」とCantillo氏は言います。「従業員IDを使っているユーザーもいれば、名前と姓、名前の頭文字と姓を使っているユーザーもいました。中にはEメールアドレスを使っているユーザーもいたのです」
Avery Dennisonは、この変更がユーザーに与える影響も検討する必要がありました。Cantillo氏は、ITチームがヘルプデスクのチケットを迅速かつ効果的に解決できるようにしたい、またITスタックに別のアイデンティティ・ソリューションを追加することは避けたいと考えていました。
シンプルで効果的なソリューション
OktaとOracle Access Managementが提供している機能には、シングルサインオンや多要素認証など、同じ機能が多くありました。しかしAvery Dennisonでは、シームレスで安全なユーザーエクスペリエンスを確保するために、新しいクラウドベースのアプリケーションをすべてOktaと統合するよう義務づけており、ITスタックに新しいコンポーネントを追加することは望んでいませんでした。
「Oracle Access Managementでは、アーキテクチャにいくつかの追加コンポーネントが必要でした」とCantillo氏は言います。「それにはE-Business Suite(EBS)とEBS AccessGate、WebGateとOracle Access Managerもあれば、Oracle Internet Directoryもあります。しかし、当社にとってシンプルさは非常に重要でした。Okta Access Gatewayには、高可用性の実装で使用する仮想アプライアンスが2つあるだけでした」
Cantillo氏とチームはまた、Okta Access Gatewayなら、SAMLまたはOpenID Connectを使用してさらに多くのアプリを統合することができ、実装に伴う手順の数を減らし、ユーザーエクスペリエンスをさらにシンプルにできることにも気づきました。
「Oktaのサービスと機能のリストは、スイス・アーミー・ナイフのように、あらゆる状況で役に立ちます」とCantillo氏は言います。「そこで、Oktaの機能を拡大適用するだけで重複を回避できるかどうか、自己分析を行いました」
概念証明の段階でCantillo氏のチームは、Oktaを使用すれば簡単な方法でシングルサインオンIDを標準化できることを発見しました。その方法を使うと、ユーザーがユーザー名を選択できる十分な柔軟性が生まれ、データフローを損なうこともありませんでした。
Avery DennisonがOracle Access Managementを採用していたら、Cantillo氏とチームが、大部分のユーザーIDを望ましい従業員ID形式に変更するのに6か月ほどかかったであろうと推測されます。Access Gatewayによって、同社は機能やプロジェクトのスケジュールにまったく影響を与えることなく、既存のOracleユーザーIDを引き続き使用できることを証明しました。
「Access Gatewayの実装が最も簡単だと感じました」とCantillo氏は言います。「だからこそ、当社はAccess Gatewayを採用したのです。アーキテクチャ的には、Okta Access Gatewayには高可用性の実装で使用する2つの仮想アプライアンスしかありません。シンプルさは非常に重要であり、私たちはまさにそのシンプルさを実現できました」
Avery Dennisonは実装の支援として、同社のプロセス全体をガイドする専任のカスタマー・サクセス・マネージャー(CSM)と連携できる、Oktaのプレミア・プラス・サクセス・パッケージも購入しました。
実装を容易に
Avery Dennisonがプロジェクトを進めることを決定するとすぐに、CSMはCantillo氏に、活動方針と明確でわかりやすい一連の実装手順を提供しました。同社のサービスチームとサポートチームは協力して、2台の仮想マシンを構築し、新しいコンポーネントをロードし、構成を開始しました。
1週間以内に、Cantillo氏とチームは、プロジェクト開始に必要なものをすべて手に入れました。概念証明で立証されたように、既存のOracleユーザーIDを標準化する必要はなく、代わりにOktaで直接更新を行うことで、既存のOracle IDを引き続き使用することができました。Cantillo氏のチームは2時間足らずで4,700以上のユーザー名を更新し、そのわずか5時間後、Access Gatewayを稼働させました。
「Access Gatewayを使用すると、SSOの設定やエンドユーザーの課題のトラブルシューティングなど、新しいアプリケーションの実装と構成がはるかに簡単になります」と Cantillo氏は言います。「問題がある場合は、Active Directoryに修正が必要なタイプミスがあるか、Oktaにタイプミスがあるかのどちらかです。また、Active DirectoryはOktaにフィードされるため、Active Directoryを修正し、複製させてから先に進むだけです」
また、Avery Dennisonは、実装プロセス中に27個の新しいアプリケーションをITスタックに追加しました。「他のアイデンティティ・プロバイダーとの統合機能も活用しています」とCantillo氏は述べています。「そのため、認証はOktaソリューションだけに依存しているわけではありません。実際、Mobile Iron、Workspace ONE、Microsoftなどの他のプロバイダーに認証させることができます」
新たな可能性
Cantillo氏は実装の成功を振り返り、すべてはユーザーエクスペリエンスに帰結すると述べています。「ユーザーにとって、より簡単で、より柔軟性が高く、より安全なエクスペリエンスにすることが重要です」とCantillo氏は言います。「これらすべてが可能になったのは、紛れもなくOktaを導入したおかげです。Access Gatewayが当社のSSOソリューション全体に柔軟性と機能性を与えてくれたため、以前は採用できないと思っていたアプリケーションを再検討することができました」
よりシームレスで安全なユーザーエクスペリエンスと柔軟性の向上に加えて、Cantillo氏は予想外のメリットもあったと述べています。「ずっと私たちをサポートしてくれたチームに感謝しています」とCantillo氏は言います。「Oktaチームと話すといつも、物事をとてもシンプルに説明してくれます。論より証拠と言いますが、一番驚いたことの1つは、本当に簡単だったことです。数時間で立ち上げ、稼働させることができました」
Okta Device Accessを加える
いつもどおり、Avery Dennisonはユーザーに対するシームレスな認証プロセスを維持しながら、セキュリティをさらに強化するための新しい方法を模索し続けています。
「現時点では、Okta Device Accessの概念証明を実施しています」とCantillo氏は述べています。これは、ユーザーにパスワードレスのエクスペリエンスを提供し、同社の環境にアクセスしているデバイスを追跡できる新しいOktaのサービスです。「ゼロトラスト・ソリューションと呼ばれるインテリジェントなアダプティブ・アクセスをAvery Dennisonで提供できるようになりたいと考えており、その実装について話し合っています」
Cantillo氏は、ユーザー認証が完全にスムーズなものになることが理想だと述べています。そうすれば、ユーザーが新しいソリューションを採用する可能性が高くなるからです。そして、Okta Device Accessはその目標に向けた一歩です。
「Access Gatewayで使えるようになった新しい機能は、Oktaと統合できないと思っていた社内のレガシーシステムの一部でも使用できました」とCantillo氏は述べています。「おかげで、Oktaのデバイスアクセス機能も検討できるようになりました。これらすべてを、1つのソリューションで使用できるのです」
Avery Dennisonについて
Avery Dennison(NYSE:AVY)は、世界的な素材科学企業で、さまざまなラベリング素材や機能性素材の設計と製造を専門としています。
同社の製品はほぼすべての主要産業で使用されており、ラベルやグラフィック用の感圧素材、産業・医療・小売用のテープおよび接着ソリューション、アパレル用のタグ、ラベルや装飾品、アパレル小売やその他の市場で使用されるRFID(Radio Frequency IDentification、無線周波数識別)ソリューションなどがあります。カリフォルニア州グレンデールに本社を置く同社は、50か国以上で3万2,000人以上の従業員を擁しています。
