より信頼できるデジタル社会の実現に向けたセキュリティSaaSの構築
LRM株式会社は、日本で高い信頼を得ている情報セキュリティサービスプロバイダーであり、あらゆる規模の企業に対して、総合コンサルティングとSaaSソリューションを提供しています。同社のミッションは、企業の情報を守りながら活用することで、長期的に信頼性を築くことです。
同社は次のように語ります。
「情報セキュリティとは、2つの相反するゴールのバランスが求められます。データを守ると同時に、活用もします。誰にでも当てはまるような正解があるわけではありません。企業ごとに異なるニーズに応じた最適な仕組みを構築することが私たちの役割です。」
同社の主力プロダクトである「セキュリオ」は、B2B向けSaaSプラットフォームであり、セキュリティ教育のeラーニング、フィッシングシミュレーション、従業員のセキュリティ意識の向上を支援しています。
従来のアイデンティティソリューションからの脱却
LRMは、2030年までに「セキュリオ」のユーザー数を300万人までに拡大し、日本で一番身近なセキュリティ会社となることを目指しています。そのためには、コンテンツやコンサルティングの専門知識に加え、セキュリティを確保しつつ、新しいSaaSを迅速に展開できる体制が求められます。
2017年のサービス開始時に、RailsのライブラリとOSSを組み合わせて構築し誕生した「セキュリオ」は、Ruby on Railsで構築された認証基盤を使用していました。しかし、この基盤は持続的な成長に必要なマイクロサービス構築やマルチテナント構成に対応しておらず、マルチプロダクト化を進めるうえで課題となっていました。
「プロダクトを追加するにつれ、各サービスが旧来のRailsアプリケーション上に構築された認証基盤に依存していたため、それが大きなボトルネックとなっていました。そのため、スケーラビリティに問題があることは感じていました。」と同社は振り返ります。マルチプロダクトプラットフォームとして「セキュリオ」を成長させ、日々進化するエンタープライズ顧客のニーズに応えるために、LRMにはアイデンティティに対するまったく新しいアプローチが求められていたのです。
そこでLRMでは新たな認証基盤の導入を検討し始めます。このときに重視したのは、長期的に問題なく運用し続けられること。そのためには現在だけでなく将来的にも同社が求める要件をすべて満たせるものでなければなりません。マルチテナントSaaSへの最適化やメールアドレス以外のIDログイン、そして顧客のアイデンティティプロバイダーとのSAML接続および抽象化といったBtoB SaaSとしての要件はもちろん、総当たり攻撃などに対する保護や画面のカスタマイズ、ログインフローへの介入といったセキュリティやコンプライアンス、ブランディング面にも対応できる必要があったのです。
また、一般的なWebエンジニアでも無理なく「片手間レベル」で運用できることも必須条件でした。ベンチャー企業であるLRMにとって、もっとも力を割くべきはプロダクトの機能開発とその運用です。そのため、専門のチームを置かなくても運用できるよう、ユースケースに沿った詳細なドキュメントや具体的な実装方法が提供されていること、設定や構成の管理が容易であること、そしてローコードでカスタマイズできることなどを重視しました。
こうしたポイントを踏まえて、LRMの開発チームはOSSをはじめ各種IDaaSなど幅広い各選択肢を比較。カスタマイズ性の観点ではOSSに軍配が上がったものの、多様なユースケースに対応するには独自の追加実装が必要になるため条件に合いません。加えて、運用負荷の観点からドキュメントの質があまり高くない点も懸念点でした。一方でIDaaSに目を向けると、その大半は自由度が低く、求める機能の多くを実現できません。
そんななかで唯一の例外がAuth0でした。Auth0だけが、多様なユースケースに対応できるうえ、高い自由度とわかりやすいドキュメントを備えたIDaaSで、まさにLRMの要求すべてに応えられる唯一の選択肢だったのです。
SaaSの成長を支える、最新のアイデンティティプラットフォーム
LRMは、いくつかの選択肢を比較検討した結果、「セキュリオ」を支える認証プラットフォームとして、Auth0を導入しました。
「Auth0は、特定の機能が優れていたからではなく、総合的な視点で評価しました。」と同社は語ります。「SEチームはユースケースの検討にも積極的に関わってくれましたし、ドキュメントの完成度も非常に高いものでした。現在だけでなく将来にわたっても、B2B SaaSのニーズにしっかり応えてくれることは明らかでした。」
Auth0が選ばれたのには、いくつかの理由があります。まず、既存環境とのSAML連携や、将来的な多要素認証(MFA)への対応など、必要とされる主要な機能要件を満たしていたことに加え、既存のユーザーデータベースからのスムーズな移行も実現できました。さらに、Auth0は片手間で扱える充実したドキュメントと開発者にとって使いやすいSDKおよびマネジメントコンソールを提供しているため、LRMの開発チームは迅速に導入を進めることができました。
さらに、市場での高い採用実績に裏打ちされた信頼性と、ビジネスの成長やマイクロサービス戦略を支えるスケーラビリティも、LRMのニーズに完全に合致していました。
マイクロサービスへの移行を加速
Auth0の導入により、LRMは「セキュリオ」をマイクロサービスアーキテクチャへ移行し始めました。この移行により、各サービスごとにアイデンティティロジックを重複実装する必要がなくなり、認証フローにおける整合性も維持可能になりました。その結果、新機能や新プロダクトの開発を迅速に進められるようになったのです。
現在では、月間350件以上にのぼるSAML連携を含むエンタープライズ接続にもスムーズに対応できています。
また、Auth0に認証処理を任せることで、従来のコードへの依存を排除し、将来的なプロダクト展開を容易にしました。加えて、MFAや攻撃防御機能などの先進的なセキュリティ機能の導入も見据えた基盤が整っています。
フィッシングや認証情報の盗難が増加する市場の中で、MFAはアカウント乗っ取り対策として重要な防御手段となります。セキュリティソリューションを提供する企業にとって、MFAはアカウント乗っ取り対策として不可欠です。一方、Passkeysはユーザーにスムーズで快適、かつ強力な認証体験を提供し、パスワード不要でログイン疲れを軽減。加えて、認証情報漏洩のリスクも抑えることができます。
LRMの開発チームはこう語ります。「わたしたちは、アイデンティティサービスをゼロから構築したいわけではありません。Auth0は総合的に優れた基盤のため、わたしたちは他のことに集中することができます。例えば、他社との差別化につながるコンテンツやスムーズな顧客体験の創出、自社プラットフォームのビジョンづくりに注力できるのです。」
長期的な成長を支える、セキュアなプラットフォームの構築
Auth0への移行により、LRMは運用効率とプラットフォームのセキュリティを大幅に改善しました。以前は、ログインエラーのトラブルシューティングに、Railsのログを10分近く確認する必要がありましたが、現在はAuth0のログサーチ機能を活用することで、調査時間を90%以上削減し、1分以内に問題を解決できるようになりました。
LRMの開発チームは、OktaチームのSEによるサポート、テクニカルサポートを含むサービスも非常に心強かったといいます。「少し特殊な実装に対しても、明確かつ実現可能な回答がもらえました。」
さらに、LRMの次なる成長フェーズを支える基盤として、Auth0の導入は大きな役割を果たしています。同社は現在、SAMLやMFA対応が必須条件となることの多いエンタープライズ企業への展開を積極的に進めています。Auth0を導入したことで、これらの要件はもはや障壁ではなく、むしろ組み込みの強みとなりました。
確実に300万人ユーザーの達成を目指す
同社は、Auth0を導入したことで時間の短縮につながり、自信がついたと述べています。「新しいプロダクトをローンチする際に、ゼロからすべてを作り直す必要もなく、顧客のデータを危険にさらすこともないということが分かったのは、大きな安心材料です。」
LRMがプラットフォームを拡大し続ける中、同社は「Auth0にアイデンティティ構築を任せることができるので、社内の開発チームはさらに重要な機能実装に集中できます。」と話す。複雑化するデジタル社会において、より多くの企業情報のデータを安全に管理する支援を行えることも大きなメリットだと述べています。
将来的には、LRMはAuth0のActions機能も活用する予定だと話します。ログインフローのさらなるカスタマイズや、ユーザーイベントに基づくビジネスロジックの自動化にも取り組み、拡大し続けるセキュリティ製品において、より一層の柔軟性を実現することを目指しています。
LRMについて
2006年に設立され、日本の兵庫県神戸市に本社を構えるLRM株式会社は、情報セキュリティの総合コンサルティングとSaaSプロバイダーのリーディングカンパニーです。同社は、ISMSやプライバシーマークの取得・運用を支援するほか、2200社以上に利用されているセキュリティ教育クラウド「セキュリオ」を提供しています。LRMは「顧客が情報を守ることと活用することを両立し、持続的な企業価値向上を実現すること」をミッションとして掲げています。
LRMウェブサイト:https://www.lrm.jp/
