医療提供者にとって、医療過誤保険はできれば利用したくないライフラインです。ProAssuranceは、医療賠償責任保険とリスクマネジメントソリューションのリーディングカンパニーとして、いざというときに信頼できる補償を提供しています。その安心を提供するためには、アイデンティティとデータのセキュリティが不可欠です。
「当社はお客様の情報を守ることに全力で取り組んでおり、その信頼を非常に真剣に受け止めています。従業員には、お客様のデータを自分のデータと同じように扱うよう指示しています。その意識が、チーム全体のデータへの向き合い方を変えるきっかけになっています」と情報セキュリティ担当VPのRobert Gwaltney氏は語ります
しかし、ProAssuranceの従来の環境には課題がありました。自社製ソリューションを含むその仕組みは、手作業のプロセスに依存しており、事業の拡大に応じてスケールさせることが難しいうえ、アクセスレビューや認定などのガバナンス要件にも効率的に対応できていませんでした。さらに、機能ごとに異なるソリューションを利用しており、シングルサインオン(SSO)用のツールと多要素認証(MFA)用のツールが分かれていました。その結果、従業員はアプリケーションごとに別々のユーザー名とパスワードを使ってログインする必要があり、ProAssuranceの少人数のITチームにとってプラットフォーム間のアクセス管理は大きな負担となっていました。またこうした分断により、セキュリティ上の盲点や統一感のないユーザーエクスペリエンスが生じていたのです。
ProAssuranceは、データ保護に着手するには、アイデンティティとアクセス管理(IAM)から始めなければならないことを認識しました。そこでチームは、ログインプロセスの簡素化、アクセス管理の徹底、そしてエンドツーエンドのアイデンティティセキュリティを実現できる、統合されたIdentity Security Fabricを提供するプラットフォームを模索しました。現在、ProAssuranceにおけるIAMのすべてをOktaが支えています。
サイロ化されたアクセスから、統合されたIdentity Security Fabricへ
ProAssuranceとOktaの取り組みは、分散したソリューションからOkta Workforce Identityに移行することから始まりました。統合されたIdentity Security Fabricを構築し、複雑なIT環境全体へのセキュアなアクセスを実現することが目的でした。チームはまず、OktaをWorkdayと統合し、すべてのユーザーアイデンティティに関する唯一の信頼できる情報ソースを確立しました。これにより、新入社員やユーザー属性を含むすべての従業員データが、Oktaを介してProAssuranceのアプリケーション群全体で自動的に同期されるようになりました。チームは効率化によるメリットをすぐに実感し、シームレスなオンボーディングとユーザーエクスペリエンスの基盤を築きました。
統合されたアイデンティティ環境では、新しいユーザーはOkta VerifyなどのMFAソリューションに自動的に登録されます。一部のアプリケーションでは毎回MFAが必要となるものの、Oktaを利用することで、ProAssuranceはユーザーが繰り返しMFAを求められない動的なポリシーを設定し、MFA疲労を軽減することができます。信頼済みデバイスからの認証で、ネットワークや所在地に大きな変化がなければ、ユーザーは業務を中断することなく作業を続けられます。
また、Okta FastPassのようなフィッシング耐性のあるパスワードレス認証方法は、適切なハードウェアを持つ限られた従業員に対してオプトイン方式で利用できます。これにより、セキュリティを強化し、ユーザーの摩擦を軽減することができます。Oktaは、シームレスかつセキュアなユーザーエクスペリエンスを実現するだけでなく、ニューヨーク州金融サービス局(NYDFS)のサイバーセキュリティ規制への準拠も保証します。
さらにチームは、SSOを実装してユーザーエクスペリエンスの向上と安全なオンボーディングを実現しました。SSOはユーザーにとっての中心的なハブとして機能し、一度ログインするだけで重要なアプリケーションに即時にアクセスできるようになります。このシームレスなエクスペリエンスはITチームにも恩恵をもたらし、ProAssuranceのエコシステムで新しいアプリをSSOにオンボーディングする作業も簡単になりました。「当社のテクノロジースタックが進化するなかで、パートナー企業から最初に聞かれるのは、新しいアプリやツールがOktaと連携できるかということです。パートナーが製品名を認識し、ツールとの連携を要望してくるようになった時点で、すでにOktaが私たちの業務の中心的な存在になっていると実感しています」とGwaltney氏は語ります。
オンボーディングとアクセスレビューを自動化し、セキュリティをシンプルに
ガバナンス面では、Okta Identity Governance(OIG)により、チームはアクセスの管理・監視・監査を一元的に行うことができます。まず、Okta WorkflowsとLifecycle Managementを活用し、オンボーディングとオフボーディングのプロセス全体を自動化しました。本人確認手続きを通じてユーザーを確認し、Workdayに追加すると、一連のWorkflowsによってOktaアカウントが自動的に作成され、業務開始に必要な全アプリへのアクセス権限がプロビジョニングされます。
機密性の高いアクセスをセキュアに保ちながらユーザーの利便性を高めるため、セルフサービスフォームにより、完全に自動化できない制限付きアプリケーションやレガシーアプリケーションに対する臨時のアクセス申請を効率化しました。こうした自動化により、ITチームが新規採用者1人あたりに要していた2時間以上の手作業が削減され、新入社員の生産性が高まり、ITスタッフはより重要なタスクに集中できるようになりました。「入社初日のアクセス付与は、今では完全に手放しで完結します。唯一手作業が必要なのは、パソコンを送ることくらいです」とシステムエンジニア・アーキテクトのBrian Foshee氏は語ります。
Oktaによるオンボーディングプロセスの統合は、M&Aの手続きにも大きく貢献しています。以前は新しい企業を買収するたびに、Active Directory(AD)の統合を手作業で行う必要がありましたが、Oktaの導入により、初日から新しい組織のADを連携できるようになり、大幅な時間とリソースの削減につながっています。
さらに、OIGはアクセスレビューや認定プロセスを通じて、ユーザーが適切な権限を持っていることを確認し、セキュリティとコンプライアンスを強化しています。Oktaを導入する前は、ProAssuranceではこうしたレビューに社内開発のWebアプリケーションを使用しており、全ユーザーデータをアップロードしたうえで、長いリストからアプリケーションごとにアクセス権を手作業で確認していました。
現在では、OIGを活用してレビュープロセスを自動化しており、これによりコンプライアンス要件の達成とデータ漏洩リスクの低減を実現しています。WorkflowsがServiceNowチケットの作成からアクセス権の取り消し、Microsoft Teamsやファイル共有などのアプリケーションでの自動削除までを一括で実行します。「以前はアクセス権の削除に1〜2週間かかっていましたが、OIGとWorkflowsを導入した今では、瞬時に完了します」とFoshee氏は話します。
このアクセス削除の自動化は、ProAssuranceのチームがITチケット対応に費やす時間の削減にも貢献しています。プロビジョニング解除の自動化のためにOIGを導入して以来、毎月のアクセス削除関連のヘルプデスクチケットは約85%減少しました。「今ではスタッフが何もする必要はありません。Oktaが必要に応じて自動的にアクセスを取り消してくれるので、ITチームがこれらの処理に費やす時間も労力も大幅に減りました」とFoshee氏は語ります。
セキュリティとユーザーエクスペリエンスの両立を、バックエンドのIAMで実現
ProAssuranceは将来を見据え、Oktaへのさらなる投資を通じて、セキュリティ態勢の向上とIdentity Security Fabricの強化を推進しています。その一環として、デバイスログイン時のセキュリティ層を追加し、NYDFSの新しい要件にも対応するため、Okta Device Access(ODA)の導入を計画しています。ODAを活用することで、ユーザーのデバイスが同社の高いセキュリティ基準を満たしていることを保証すると同時に、デバイスからアプリまで摩擦のないログインエクスペリエンスを提供できるようになります。
「セキュリティの観点から見ると、ユーザーにとって使いやすく、しかもよりセキュアなソリューションは稀です。この2つが両立することはあまりありませんが、Oktaを活用すればそれを実現できます」とGwaltney氏は話します。
ProAssuranceについて
ProAssuranceは、医療技術およびライフサイエンス分野における医療専門職賠償責任および製造物賠償責任に関する幅広い専門知識を備えた、業界をリードする専門保険会社です。また、米国東部地域における労災保険のプロバイダーでもあり、AM Bestから「A」(優良)の格付けを取得しています。ProAssuranceの最新情報については、proassurancegroup.comをご覧ください。投資家向けコンテンツはInvestor.proassurance.comでご覧いただけます。
