NTTデータがゼロトラスト・アーキテクチャのさらなる強化のためOktaの最新プラットフォームにいち早く移行
100,000人以上のユーザーがOktaを利用
NTTデータの国内グループ企業約70社が利用する認証基盤を整備
約100の社内システムの認証基盤の切り替えを実現
- ゼロトラスト・アーキテクチャに基づくセキュリティ基盤
- 既存のシステムを活かした認証基盤の整備
- ゼロトラストをさらに強化するためのデバイス認証
- 大規模なOkta Identity Engine(OIE)への移行
- 大規模環境でのOktaの運用ノウハウをサービス化
ゼロトラスト・アーキテクチャを構築する上で重要な、あらゆるアプリケーションへの認証認可を行うアイデンティティ基盤としてOktaを導入
Oktaの柔軟性により、システム自体の統廃合を行なわずに、クラウド/オンプレミスシステムへのシングルサインオンと多要素認証を実装し、従来よりもクラウドサービス連携が容易にできる認証基盤を整備
Oktaの新プラットフォームであるOkta Identity Engine(OIE)に移行することで、ユーザーが使うデバイスとの紐付けを行うデバイス認証を実現し、モバイルワーク/テレワーク環境でさまざまなデバイスを柔軟かつ安全に活用できる環境を実現
入念な準備によるOIEへの移行により、移行に際してユーザーから寄せられる問い合わせの数も、あらかじめ想定された範囲内に留めることができ、大規模ユーザーのスムーズな移行を実現
大規模環境でOktaの運用を継続している中で得られた知見やノウハウを踏まえて、Okta導入に関するコンサル、デリバリ、マネージドサービスまでを一気通貫で提供可能に
「生体認証等を活用したパスワードレスの世界を創ることがセキュリティ強化の観点からもユーザーの利便性の観点からも重要です。OIEに移行したことで、パスワードレスの世界の実現に向け、大きな一歩を踏み出すことができました」
株式会社NTTデータ コーポレート統括本部 ITマネジメント室 髙橋 基信 氏
株式会社NTTデータ コーポレート統括本部 ITマネジメント室 宮田 久夫 氏(写真左)と髙橋 基信 氏(写真右)
国内でいち早くOkta Identity Engineへの移行を実現
株式会社エヌ・ティ・ティ・データ(略称 NTTデータ)は、システムインテグレーション事業とネットワークシステムサービス事業を中核として、「つくる力とつなぐ力を掛け合わせることで、企業・業界の枠を超えた新たな社会基盤や革新的なサービスを創出」する企業です。グループビジョンとして“Trusted Global Innovator”を掲げる同社は、日本を代表する企業であり、国内に70社を超える多数のグループ企業を擁しています。こうした中、同社はクラウド移行を推進すべく、ゼロトラスト・アーキテクチャに基づくセキュリティ基盤を2020年に構築し、その一環として、あらゆるアクセスの認証認可を行う認証基盤としてOktaを導入しました。さらに、2021年度にはOktaの最新プラットフォームであるOkta Identity Engine(OIE)に国内でもいち早く最大級の規模での移行を実現しています。このOIEへの移行を担当した、NTTデータグループの社内システムを担う情報システム部門であるコーポレート統括本部 ITマネジメント室の髙橋 基信さんは、「生体認証等を活用したパスワードレス世界を創ることがセキュリティ強化の観点からもユーザーの利便性の観点からも重要です。OIEに移行したことで、パスワードレスの世界の実現に向け、大きな一歩を踏み出すことができました」と語ります。
ゼロトラスト実現に向けた社内認証基盤の整備
NTTデータでは、従来より社内環境のオンプレミスシステムに対するユーザー名とパスワードを使ったアクセスを一元管理する認証基盤を運用していました。ITマネジメント室で、認証基盤システムを担当する宮田 久夫さんは、「従来のオンプレミス中心のシステムからクラウドへの業務システムへの移行が予定されていたため、クラウド化されたアプリケーションを安全に利用可能なゼロトラスト・アーキテクチャを実現できる認証基盤を整備する必要がありました」と話します。
この新たな認証基盤の選定においては、システム統合の容易性やデバイス制御の柔軟性など様々な観点から複数社のソリューションとの比較検討が行なわれました。その結果、Oktaは「複数の認証システムからの認証情報連携が可能」、「既存の認証基盤自体の統廃合を行なわずに認証連携が可能」、「Okta Integration Networkにより、多数のクラウドアプリケーションと連携可能」、「SaaSごと、かつデバイス端末種別ごとに認証ルール制御設定が可能」、「複数の二要素認証に対応」といった点が評価され、選定されました。髙橋さんは、特に既存のシステム構成にあまり手を入れずに導入できるというOktaのシステムデザインの柔軟性を高く評価したと言います。SSOを実現するための製品は市場に多数存在しますが、既存の認証基盤を活かした環境を構築できることがOktaの大きなアドバンテージになったとのことです。
Okta導入にあたっては、導入規模が約10万人のユーザーに及ぶことから性能トラブルが懸念されましたが、Oktaとの協力のもと性能試験を実施することで、トラブルの発生を未然に防止することができました。また100近い社内システムの認証基盤の切り替えが発生するため、切り替え時のトラブルも懸念事項でしたが、Oktaの協力の元、入念な事前準備を行なったことで、こちらも大きなトラブルなく、スムーズに切り替えが進みました。その一方で、グループ企業の数が70社におよび、かつそれぞれの企業ごとに端末やネットワークの設定が異なることもあって、それぞれの企業ごとのネットワークの疎通確認などには工数や期間を要しました。しかし、これらの経験を通じて、NTTデータは、大規模環境へのOkta導入に関して豊富なノウハウや知見を獲得し、同社の中核事業であるシステムインテグレーション事業に活かされています。
デバイス認証の強化のためOIEへの移行を実施
NTTデータでは、Okta導入によって、既存のシステム構成にあまり手を加えない形で約100のクラウド/オンプレミスシステムへのシングルサインオンと多要素認証(MFA)を実装し、従来よりもクラウドサービス連携が容易にできる基盤が整備できましたが、その一方で改善したい課題もありました。その1つが、デバイス認証の強化です。ゼロトラストをさらに進める上での同社のセキュリティ要件においては、ユーザーとデバイスとの紐付けを行う必要がありました。Oktaの新プラットフォームとして提供が始まったOIEではモバイルデバイス管理(MDM)と連携し、配付された証明書を使って安全なデバイスとして認定されたPCやスマートフォンなどにクラウドサービスへのアクセスを制限できる機能が実装されています。これにより、モバイルワーク/テレワーク環境でさまざまなデバイスを柔軟に活用しつつ、セキュリティも強化できるようになりました。ゼロトラスト・アーキテクチャに基づくセキュリティ強化に継続的に取り組んでいるNTTデータにとってOIEの機能導入は必須であったため、クラシック版のOkta導入から約1年でOIEへの移行を実施することになりました。
なお、OIEは新しいプラットフォームとして、現在では新規でOktaを導入する場合には最初からOIEが提供されていますが、従来のクラシック版を利用中の顧客企業に関しては、運用中の認証基盤を新しい環境に移行することに不安を感じるユーザー企業も少なくないため、移行の準備が整ったところから段階的に移行を進めています。NTTデータの移行の場合は、新機能を活用したいという明確な意図があったことに加え、同社が顧客企業向けにゼロトラストに基づく安全なIT環境を提供する立場であることから、OIE移行のために必要なプロセスやノウハウを早期に経験しておきたいという強い意向があったため、いち早く移行に取り組むことになりました。
OIEへの移行に際しては、トラブルを起こさずにスムーズに移行を実現することが大きな課題でした。これは、NTTデータの環境が極めて大規模なことも理由の1つとなっています。この点について髙橋さんは、「仮にエラー発生率が1%だったとした場合、10万人ユーザーがいれば1,000人がエラーに遭遇するという計算になり、その対処はかなり大変な作業になります」と説明します。充分に低いように思える1%のエラー率でも大規模環境では無視できないということから、同社では移行のためにしっかりと技術的な検証や、システム間の連携テストなどを行ない、リスク要素を事前に洗い出しては確実に潰していくという作業を積み上げていきました。この作業にはOktaも事前検証のためのPoC環境を提供するなどの形で協力しており、実際の移行に際してユーザーから寄せられる問い合わせの数も、あらかじめ想定された範囲内に留めることができ、結果としてはスムーズな移行が実現できました。
さまざまなシステムを利用するための入口となる認証基盤では、トラブルが発生すると即座にユーザーのログインが不能になるなどの業務停止トラブルに直結してしまう可能性が高いので、慎重な対応が求められます。今回の移行について髙橋さんは「他社ソリューションの過去のバージョンアップでは、今まで出来ていたことが出来なくなってしまうようなことが多々あり、結果ユーザーを混乱させてしまうことがありましたが、OIEへの移行に関してはユーザーからの『なにか急に動かなくなった』などの問い合わせは全くなく、いままでできていたことが急にできなくなったというクレームが聞こえてこなかったことは素晴らしかったと思っています」と振り返ります。
Oktaの運用ノウハウをサービス化してユーザー企業に提供
ランサムウェア攻撃などを仕掛けるサイバー犯罪者の攻撃テクニックも高度化しており、深刻な被害を受けてしまった例が多数報道されています。こうした攻撃に対応するには、特にユーザーアクセスの入口となる認証基盤ではサイバー攻撃を受けることを想定した高度なセキュリティ対策が不可欠となります。主流の考え方となってきたゼロトラスト・アーキテクチャに関しても、一旦導入すればそれで終わりといった性格のものではなく、継続的に進化し続けていく必要があります。同社では、今後、OIEへの移行によって可能となった、生体認証等を活用した「パスワードレスの世界」を構築していくことや、更なるSaaSツールとの連携強化なども検討していると言います。
また、NTTデータではOktaの導入で実現したセキュアな認証基盤の設計/運用のノウハウや知見をもとに、「ゼロトラストセキュリティ」をベースとしたオファリングを提供しています。Oktaは同社の戦略的セキュリティパートナー企業のうちの1社となっており、ゼロトラストに基づく強固なセキュリティを実現したいユーザー企業に対して両社のパートナーシップに基づくサービスを提供可能です。
具体的には、NTTデータが社外のお客様向けに提供するデジタルワークスペースオファリング「BizXaaS Office®(BXO)」のひとつ「BXO Managed IDaaS」で2020年からOktaが採用されており、同社自身がOktaを導入/OIEへの移行を実施し、大規模環境で運用を継続している中で得られた知見やノウハウを踏まえてOktaの導入に関するコンサル、デリバリ、マネージドサービスまで一気通貫でご提供可能です。
NTTデータの強みとして、宮田さんは、「今回の移行に際して実際に行なった準備作業には、エンドユーザーに周知したり、手順書やマニュアルを作成したりといったサポートの部分が多く含まれていますが、こうしたプロセスを10万人以上の規模の環境できちんと準備して成功させた実績があることです」と言います。OIEへの移行はNTTデータとOktaとの連携でスムーズに実現しましたが、この経験がユーザー企業にもサービス化されて提供されることで、セキュリティ強化を望むユーザー企業に取ってもメリットとなることは間違いないでしょう。
「BizXaaS Office」は日本国内における株式会社NTTデータの商標です。
