デジタルに根ざした70年代のスタートアップ企業
1973年にFedExを創業したFrederick W. Smith氏は、当時からデジタルトランスフォーメーションをリードしていました。Smith氏は「荷物に関する情報は、荷物そのものと同じくらい重要だ」という名言で有名です。言い伝えによれば、伝説的な会社となったFedEXのアイデアは、Smith氏がイェール大学の経済学の授業で書いた論文から生まれたそうです。その論文は、コンピューター時代において翌日配送サービスがどのように機能するかを概説したものでした。
1980年までには、FedExはドライバーをつなぎ、会社のメインフレームコンピューターに接続された全国規模の無線ネットワークを通じて追跡情報を顧客と共有していました。1994年には、まだ多くの企業にとってWebサイトが目新しい存在でしたが、FedEx.comは、すでにオンラインで追跡情報を提供していました。
FedExのサイバーセキュリティマネージャーであるTrey Ray氏は次のように言います。「FedExのお客様は、常に最新のデジタルテクノロジーに基づく一流のサービスを期待し、それを受けてきました。しかし、時が経つにつれて、社内に多くのレガシーシステムやメインフレームアプリケーションが蓄積されていきました。」数年前、CIOのRob Carter氏は、会社のインフラを最新化するためのIT刷新イニシアチブに着手しました。
その取り組みは、CIO100賞を受賞したCloud Dojoのコンセプトにつながっていきました。これは、FedExで最新の開発技術を実践・共有するための、専門家による組織横断チームです。「当社は、Spring Boot、Spring Security、Angularなどの新しい開発ツールを使用しています」とRay氏は言います。「また、Cloud Foundryフレームワークにも投資しました。」
アイデンティティの問題はモグラ叩き
とは言え、開発者たちは、セキュリティ面で障壁に直面しました。「当社は、20年を費やして、最高のアイデンティティとアクセス管理(IAM)のポイントソリューションを構築してきました」とRay氏は言います。同社は、VPNを運用するとともに、オンプレミスの多要素認証(MFA)、オンプレミスのフェデレーション、オンプレミスのWebアクセス管理を使用していました。
「セキュリティの観点からすれば、モグラ叩きゲームのようでした」と述べるのは、サイバーセキュリティフェローのPat O'Neil氏です。「バラバラなIAMソリューションの1つひとつで、設定を間違える可能性があったからです。」
Ray氏も同意します。「バラバラのソリューションを荷造りロープや粘着テープでつなぎ留めているような感じでしたが、ソフトウェア開発者にとっていろいろ問題がありました。最新のやり方で物事を進めたいのに、このレガシーな世界に結び付けなければならないからです。」
複雑な「スパゲッティ図」の様相を呈していたIAMインフラストラクチャは、FedExチームの他のメンバーにとっても頭痛の種でした。「FedExの営業担当者が、朝、仕事を始めるのにパスワードを5回入力しなければならないこともありました」とRay氏は言います。
また、複雑なインフラストラクチャのせいで2つのアイデンティティストアがあったため、買収による統合に時間がかかりました。同社のように国際的なビジネスの成長と拡大を目指す企業にとって、これは大問題です。
IAMソリューションを求めて
IAMの問題を解決するために、FedExのサイバーセキュリティチームは、IDaaS(Identity as a Service)ソリューションについて調べ始めました。「私たちはホワイトペーパーをたくさん読み、YouTubeのビデオをたくさん見て、大勢の専門家と話をして、対象を絞りました」とRay氏は言います。
チームは、情報提供依頼書を発行することで、範囲をさらに絞り込みました。「FedExは、ベンダー探しに真剣に取り組み、徹底的なことで知られています。Oktaのセールスエンジニアに聞いてみてください」とRay氏は言います。そのFedExが、最終的にOktaを選びました。
Ray氏は、Oktaに決めた理由を6つ挙げています。
既存のソリューションとの相互運用性。「Oktaは、私たちが必要とする場所に組み込めました」とRay氏は言います。「たとえば、当社は大規模なVMware Workspace ONEショップですが、OktaとWorkspace ONEは緊密に連携します。」
実装の容易さ。「セキュリティの専門家が、4つも5つもあるWebサイトを飛び回るのではなく、1つの管理コンソールで作業を管理できること。それが私たちにとって重要でした」と同氏は言います。
APIが利用できること。「『APIファースト』は、当社のIT刷新が掲げる信条の1つです。Okta管理コンソールでできることの大部分は、APIでも実行できます」とRay氏は言います。
多様なMFAのオプション。プッシュ機能付きのOkta Verifyに加えて、Oktaはハードウェア認証システムと、FIDO AllianceのUniversal 2nd Factor(FIDO U2F)、Yubikey、WebAuthnなどの最新式認証システムをサポートしています。
Universal Directoryと、複数のユーザーストアからアイデンティティを簡単にまとめる機能。「当社は大企業です。企業を買収していることもあり、ディレクトリの数が多いのです」とRay氏は言います。
Spring Boot、Spring Security、Cloud Foundryなどの主要な開発アプリケーションとの互換性。
ゼロトラストでパスワードから脱却
FedExのサイバーセキュリティチームが、簡素化とモダナイゼーションを目指して同社のIAMインフラストラクチャを見直した際、ゼロトラストセキュリティモデルを本格展開するという大がかりな目標も頭の片隅にありました。
「通常、キルチェーンにおける最初のステップとなるのが、パスワードの漏洩です。パスワードの漏洩を通じてアクセスした攻撃者が、ネットワーク上を横方向に移動して特権を昇格させます。パスワードだけでは、FedExのアイデンティティ認証とデジタル資産の保護に十分だと言えなくなりました」とRay氏は述べています
ゼロトラストアプローチは、「信頼せよ、されど検証せよ」ではなく、内部か外部かに関わらずあらゆるネットワークトラフィックを信頼できないアクティビティとして扱います。FedExの場合は、ユーザーとデバイスを検証し、各ログイン状態をコンテキストの中で評価し、その結果を使用して、割り当てられた信頼のレベルに応じてサインインエクスペリエンスを調整することを意味します。
Ray氏によると、同社のゼロトラスト戦略の中で大きな役割を果たすのがアイデンティティ・プロバイダーであり、だからこそ適切なプロバイダーの選択が非常に重要だったのです。「Okta Universal DirectoryとOkta Single Sign-Onを使用した、サービスとしてのアイデンティティ・モデルによるOkta Workforce Identityは、FedExにふさわしいソリューションでした」
Oktaは、SAML 2.0やOpenID Connectなどの最新の認証プロトコルに対応しているため、SaaS、クラウドネイティブ、レガシーアプリケーションなどのあらゆるFedExアプリをサポートできます。
チームにとっては、OktaとF5のパートナーシップも、ゼロトラストモデルと従来のオンプレミスアプリケーションの橋渡しとして役立っています。「F5 BIG-IPアクセスポリシーマネージャー(APM)は、最新の方式を使ってプロトコル変換を実行しますが、各アプリケーションに必要なすべてのヘッダーやCookieを使ってユーザーをレガシーアプリケーションに戻します」と、FedExのサイバーセキュリティ責任者であるPrashanth Karne氏は述べています。この方法なら、VPNに頼らずに、バックオフィスアプリケーションとの間のHTTPトラフィックをすべて保護できます。
FedExは、Oktaのアダプティブ多要素認証により、コンテキストに応じたユーザーの検証要求を追加できます。現在Okta Verifyを中心としている同社は、一部のユースケースでは古いOATHハードトークンを使用し、FIDO U2F、Yubikey、WebAuthnなどの最新式認証システムも試験的に導入しています。
「Oktaの管理者インターフェイスにログインするときに、MacBookのTouch IDが使用できるので、非常に楽になりました」とRay氏は言います。
FedExのゼロトラストを構成する次の要素が、Device Trustです。Device Trustは、会社のアプリにアクセスするすべてのデバイスが、良好なセキュリティ・コンプライアンス態勢を持つことを保証します。Ray氏が楽しみにしていると言う機能は、すべてのデバイスにOktaを組み込んで、可視性の向上、コンテキストに応じたアクセス決定、一貫性のあるパスワードレスのユーザーログインを実現します。
FedExのサイバーセキュリティチームは、Oktaを使用することで、ネットワーク内の全アプリケーションをカバーする単一のアクセスポリシーエンジンから、会社全体の条件付きアクセスを管理しています。「それが中枢となっているのです」とRay氏は言います。「サインインエクスペリエンスを、パスワードのみ、パスワードなし、パスワードとMFAの組み合わせというように調整できます。このエンジンが、ポリシーとルールの作成やアクセス決定を可能にしています。」
FedExのゼロトラスト戦略を構成する最後の要素が、ユーザー行動分析です。同社は、Splunkと機械学習の手法を使用して、Oktaから収集した豊富なアイデンティティデータを掘り下げ、不審な行動を特定し、事前対応型のポリシー決定を行っています。
ゼロトラスト:ケーススタディ
興味深いことに、ゼロトラストは、複数のベンダーのテクノロジー間に信頼関係がなければ成り立たず、パートナーのチームが協力して検証機能を強化しなければなりません。FedExとVMware、Okta、Workdayとの関係が、その良い例です。
FedExは、モバイルデバイス管理にWorkspace ONEを使用し、人事情報システムにWorkdayを使用しています。Workdayがデバイスの種類に基づいてセルフサービスアクセスを制限する機能の提供を発表したとき、FedExのサイバーセキュリティチームは、OktaやVMwareと協力して、その機能を活用するためのルーティングルールを設定しました。
このフローには、一連のリダイレクトが含まれ、Workspace ONEがデバイスのステータスを確認し、Oktaがその情報をWorkdayに中継できるようになっています。FedExの管理対象デバイスを使用しているユーザーは、Workdayの情報にパスワードなしでスムーズにアクセスできますが、管理対象外のデバイスを使用しているユーザーは、ユーザー名、パスワード、プッシュ機能付きのOkta Verifyを使ってアクセスする必要があります。
重要な局面で迅速に展開
2020年2月、新型コロナウイルス感染症が米国を襲ったとき、FedExのチームはまだ、全アプリケーションをOktaに統合するプロセスの初期段階にありました。
「在宅勤務が増えたため、その作業の一部を加速させる必要がありました」とRay氏は言います。Oktaのシニアカスタマーサクセスマネージャーを務めるRyan Rudnitskyは、FedExとOktaのチームを調整して作業を推進し、状況の進展を知らせる最新情報を1時間おきにFedExの経営陣に送信しました。
「わずか36時間でWorkday、Office 365、Webex、ServiceNow、Salesforce、Check Point VPN、ZoomをOktaに移行しました」とRay氏は言います。両チームが、並外れたやり方でスピードを上げ、プロセスを完了させたのです。
Ray氏は、チームの成功は良好なコミュニケーションによるところが大きいと考えています。チームは、Oktaを同社に本格展開する前に、FedExのコミュニケーションチームと協力してソリューションのブランド「PurpleID」を作成し、Webサイトや情報メール、よくある質問、そしてOkta Verifyへの登録方法を解説したビデオを用意しました。
Ray氏は、他のセキュリティリーダーと話すときに、ゼロトラストの取り組みをまとめるなら経営陣から支援を得ることが大切だとアドバイスしています。「CIOやCISOの賛同が得られないなら、あきらめた方がいいでしょう」と彼は言います。
Ray氏は、プロジェクトを管理可能なフェーズに分割することを勧めています。FedExでは、SaaSアプリ、次にクラウドネイティブアプリ、そしてレガシーアプリと進みました。Oktaとの緊密な連携も重要で、同社では「ちょっと厄介な問題」にはサードパーティのインテグレーターを利用しました。
1つの統合クラウドでSaaS・オンプレミス・クラウドネイティブのアプリに対応
結果は、それだけの価値がありました。FedExのチームは、レガシーIAMソリューションを廃止し、約250のSaaSアプリ、500以上のオンプレミスアプリ、400以上のクラウドネイティブアプリをOktaソリューションに統合する作業を、順調に進めています。
「理想は、アプリケーションを、コロケーションやパブリッククラウドといった消費・ハイブリッドの状況に柔軟に合わせ、ビジネスで課題となる可能性のあるボリュームの急増に対応できるようになることです」とO'Neil氏は言います。
「このモデルでは、セキュリティ態勢を1か所で検証できます」と同氏は言います。「開発チームは1つのトークンを管理するだけでよく、どこにデプロイしても、一貫した方法で認証と承認を実行してくれます。」
またチームは、M&A活動が発表された場合も、軽量のオンプレミスエージェントアプローチにより、アイデンティティストアをOkta Universal Directoryに集約することができます。この戦略なら、新しい企業をより迅速に統合できます。
SaaSアプリ、クラウドネイティブアプリ、レガシーアプリをカバーする1つのクラウドネイティブプラットフォームと、FedExの全従業員をカバーする1つの統合ディレクトリによって、誰もが手間をかけずにログインし、仕事を始めることができます。同時に、同社の包括的なゼロトラスト戦略が、FedExのデータとアプリケーションの安全性を継続的に高めています。
FedExについて
FedEx Corp.は、世界中の顧客や企業に、輸送、eコマース、ビジネスサービスの幅広いポートフォリオを提供しています。年間売上高700億ドルの同社は、複数の事業会社を通じて統一のとれたビジネスソリューションを提供しています。これらの事業会社は、FedExブランドの下で共同管理され、集合体として競争しています。FedExは、世界で最も賞賛・信頼される雇用主に常にランクインしており、安全性、最高の倫理基準と職業的基準、顧客・コミュニティのニーズに注力すべく475,000人以上のチームメンバーをサポートしています。
