30,000人の従業員がOktaを活用し、スムーズに働き方を転換するNTTドコモ

コロナ禍でクラウドアプリケーションやモバイル端末の業務での活用が急速に進むなか、企業は従来のセキュリティの見直しを迫られています。これまでの働き方ではオフィスビルという物理的な壁がセキュリティの境界として機能していましたが、場所を問わず仕事を進めるのが当たり前になった今、物理的な場所にかかわらず、どこからでも安全に働ける体制づくりが必要です。実際、そうした対策に取り組んでいる企業では、業務効率が向上し、スピーディな成長を実現しています。

株式会社NTTドコモもその1社です。歴史ある大企業ほど、そうした新しい働き方への移行に苦労するのかと思いきや、同社はその移行をスムーズに進め、コロナ禍でもリモートワーク中心の業務スタイルに問題なく移行を進めてきました。2021年9月にはNTTがグループの従業員約32万人を対象に転勤や単身赴任を原則廃止する方針を発表しましたが、そうした働き方の転換にも柔軟に対応できる見通しです。

こうした取り組みを加速したのが2019年に導入したOktaです。導入から2年が経った2021年11月現在、ユーザー数は30,000人にまで増え、月間サインイン数も150,000回以上を超えました。それだけでなく、従来オンプレミスで使っていたアプリケーションもSaaS版に移行するなどクラウドアプリケーションの活用がますます加速しています。不安定な状況かつ大きな変化の真っ最中に、同社がここまでOktaをはじめとするクラウドアプリケーションの活用を進められた理由とは一体何だったのでしょうか。

Oktaは大企業での使い勝手が考えられたプラットフォーム

2019年の夏、NTTドコモではSlackを導入する準備に取り掛かりました。その際、企業向けにセキュリティが確保された上位プランではアイデンティティ管理プラットフォームが欠かせないことが判明しました。さらに社内のセキュリティポリシーでは、クラウドアプリケーションの利用にMFA（多要素認証）が必須でした。

当時、NTTドコモでは他社のアイデンティティ管理プラットフォームを使っていましたが、R＆Dイノベーション本部クロステック開発部の中村拓哉さんは「決して使いやすいとは言えなかった」と振り返ります。加えて、社外パートナーのアイデンティティを一元管理できない点も致命的でした。

ユーザー数の増加とともにサポート工数が上がると、もはや既存の複雑なプラットフォームに手をかけていられなくなりました。こうしてついに同社は新たなプラットフォームの導入に舵を切ったのです。

その候補として真っ先に挙がったのがOktaでした。当時すでに中村さんは、Oktaがガートナーのアクセス管理部門マジック・クアドラントでリーダーとして認定されてきたという実績を知っており、「アイデンティティ管理におけるグローバルのデファクトスタンダードと言えばOktaという認識だった」そうです。さらにアイデンティティ管理プラットフォームの比較記事などから情報を集めると、統合できるアプリケーション数が非常に多く、様々なアプリケーションがOktaを公式サポート対象としていることを知ります。そうして実際に機能検証で使いやすさを確認したあと、Oktaの導入に踏み切りました。

NTTドコモでは、クラウドサービスの導入時に200項目以上におよぶ社内のセキュリティ基準を満たすことが求められており、必要に応じて設定の変更や追加の開発を行うことで対応します。例えば、いくつかのクラウドサービスでは「サインイン失敗時も含めた完全なログを取る」といった要件を満たせないケースが出てくることがありました。それがOktaではデフォルトの設定でも全てのログの取得が可能となっており、中村さんは「デフォルトの状態でも多くのセキュリティ基準を満たす状態であったため導入が非常にスムーズであった」と話します。さらにそのログを一定期間保管するルールもあるのですが、それについても工数をかけることなく簡単に対応することができたそうです。

豊富なMFAで多様なリテラシーのユーザーに対応

グループで28,000人以上もの従業員を抱えるNTTドコモでは、従業員によってITリテラシーに大きな差がありました。特にイントラ内の業務システムを中心に利用して働いてきた従業員にとっては、業務でクラウドアプリケーションを使う機会がそれまで一度もなく、MFAにあまり馴染みがないというケースも多かったのです。

導入当初に使っていたMFAの要素はOkta VerifyとGoogle Authenticatorのみでしたが、慣れない従業員からは「手続きせずに機種変更をしてしまった」「スマホアプリを消してしまった」などさまざまな問い合わせがあったそうです。さらに社内にいるガラケーユーザーがいずれの認証も対応できないという問題も浮上。そこで新たにSMS認証の要素を追加したところ、ガラケーユーザーやMFAにあまり馴染みのない従業員もスムーズにMFAを使えるようになりました。こうした柔軟性は、Oktaが豊富なMFAの要素を用意しているからこそ実現できたことです。中村さんは、「従業員のITリテラシーに幅があるなか、Oktaでは多様なMFAの要素が使えるため管理者の負担が大きく減っています」と話します。

多様なユーザーを取りこぼさないための工夫の1つに、Oktaの新規ユーザーに向けた説明書の作成があります。基礎知識の説明やFAQなどを記載したことで、不明点があっても従業員同士がお互いにサポートし合うようになり、管理側のサポート工数がほとんどかからなくなったそうです。

こうして2019年の秋の導入時点で500人だったOktaのユーザー数は、2021年11月には30,000人まで成長しました。しかし、ユーザー数が60倍になった今でも、管理工数は導入当初からあまり変わっていないそうです。「Oktaはセルフサービスが充実していて、MFAの登録や変更をユーザー自らがアカウント設定画面から実行できることもあり、現在30,000人のユーザーがいる状況でも必要なサポートは1日2～3件程度となっています」。

新規アプリケーションの導入ハードルが大きく低下

現在NTTドコモでは、OktaのSingle Sign-OnでSlackのほか、Google Workspace、GitHub、社内の独自システムなど計10個以上のアプリケーションを統合しています。Okta導入以前はそれぞれのアプリケーションごとにアイデンティティやパスワードを管理していたのが、今では「従業員がログインのことを何も気にせず使っている状態」になっていると中村さんは話します。

さらに大きな効果として、中村さんは「新しいアプリケーションの認証をOktaに丸投げできること」を挙げます。「アカウント管理の大部分をOktaに任せる前提でいられるようになり、システムの担当者はそのほかの領域に専念できるようになりました。Oktaを導入したことが、クラウドアプリケーションの活用を加速させていると感じます」。

現在も新規アプリケーションとの統合は進んでおり、直近ではこれまでオンプレミス版で使っていたConfluenceやJIRAをSaaS版へ移行するのに合わせて、認証基盤をOktaに切り替える予定です。この流れについて中村さんは、「Oktaを利用していたからこそ、SaaS版への移行の議論も進んだ」といいます。さらに従業員からも「新しいアプリケーションを導入するので、認証基盤としてOktaを利用したい」という問い合わせが来るようになったそうです。

アイデンティティ管理はすべてのセキュリティ対策の基本

コロナ禍終息後もリモートワークが基本となる同社では、今後もOktaの活用を積極的に進めていく予定です。特に中村さんが優先的に進めたいのがUniversal Directoryと社内のディレクトリとの統合です。さらにLifecycle Managementで、ユーザーの所属組織によって各アプリケーションへアカウントをプロビジョニングする仕組みを整えていくほか、デプロビジョニングによって従業員の退職や異動に伴うアカウント解除を効率よく確実に進め、セキュリティを向上させたいと考えています。

MFAのさらなる活用も視野に入れています。現在はユーザーのログインのパターンに基づいてリスクが高いと判断した場合にのみ認証を要求するAdaptive MFAの導入に向けて技術検証をしています。今後はFIDO（Fast IDentity Online）によるパスワードレス認証の活用も見据えています。

Oktaを導入して2年が経つ今、同社の業務環境は大きく変わりました。中村さんは「クラウドアプリケーションを企業活動で使っていくことはもはや当たり前であり、そうした状況でアイデンティティ管理は中心的なコンポーネント」だと話します。NTTドコモではこれからも新たな働き方を積極的に実現するため、すべてのセキュリティ対策の基本としてアイデンティティ管理を押さえつつ、クラウドアプリケーションの活用を推進していく予定です。

注：プロビジョニングとはライフサイクル管理の一部をなす概念で、従業員が入退社または異動するとき、あるいは社外パートナーがプロジェクトに参加する際に、それぞれのアイデンティティに対してアクセスできるアプリケーションの割り当てを行うこと。またデプロビジョニングとはその解除を行うことを指します。