パスワードレス認証の全社導入を約1ヶ月で達成!
成功の鍵となる導入プロセスとは?
2012年から10年に渡りCloudGateをご利用いただいている株式会社ウエディングパーク様。
2022年3月には約1ヶ月という短期間でパスワードレス認証の全社導入をされました。今回は導入の経緯から社内導入プロセスなど、これからパスワードレス認証を導入される企業様必見な成功の秘訣を伺いました。
CloudGate導入のきっかけはシングルサインオン
ー 御社は2012年にCloudGateを導入されました。当時の導入経緯をお聞かせください。
株式会社ウエディングパーク
経営本部 コーポレートIT室
室長 西朗様
西様: 弊社はもともとサイバーエージェントの子会社で、当時は設立間もない若い会社でした。私が入社した頃から社内システムがあまり多くなく、業務の大半はクラウドサービスを利用しておりました。そのため、会社の成長に合わせて従業員がどんどん増え、セキュリティ強化やパスワード運用の煩雑さなどが伴ってきたときに、我々としては早いタイミングでSSO(シングルサインオン)に移行しやすい環境にあったと思います。
SSOの製品をいくつか見させていただきましたが、海外製品よりも、カスタマイズなど先々いろいろなものと接続した際に対応してくれそうなベンダーが良いと考え選定を行いました。費用面も考慮しましたが、最終的には比較的国内のベンダーで相談にのってくれそうなISRさんのCloudGate(現:CloudGate UNO)を選びました。
SalesforceのMFA必須化で、パスワードレスの全社導入へ
ー 今回、パスワードレス認証の全社導入に踏み切られたきっかけをお聞かせください。
西様:「ゼロトラスト」という言葉が流行り出した頃から比較的ゼロトラストを導入しやすい環境にありましたので、一つずつ認証と認可についてクラウドサービスの紐付けを始めているタイミングでした。そんな中でSalesforceからMFA(多要素認証)を必須化するという通知が届きました。弊社ではSalesforceを受発注システムや勤怠管理などでカスタマイズして活用しています。Salesforceの認証方法だけをMFAにしてしまうと固有の運用が発生する可能性がありますので、そうであればCloudGate UNOで連携している全てのサービスも一緒にパスワードレスに移行させよう!と、全社導入に踏み切りました。
ご担当者様:パスワードレス認証の方が、セキュリティ強度も社員の利便性もかなり上がるということも、実施の決め手になりました。
ー パスワードレス認証の導入にあたり、注意された点はありますか。
西様:パスワードレスに踏み切る際に一番ネックになったのが「認証器をどうやって管理するか」でした。
幸い、弊社は1年半ほど前からWindowsに関してはWindows Helloの顔認証や指紋認証が搭載されている機種に統一していました。Macに関してはすべてのPCにTouch IDが搭載されていたため、パスワードレス認証に必要な機器が搭載されていない一部のWindowsを利用する社員に絞って、どのように認証させるかを決めていました。Windows Hello対応の機器でもカメラだとちょっと大袈裟な感じになってしまうので、取り外しや持ち運び時にも邪魔になりにくい指紋認証リーダーを優先して検証を行いました。
ご担当者様:
Windows Hello対応の機器は5種類ほど検証を行いました。
選定のポイントとしては、検証時にスムーズに認証できたもので、つけっぱなしでも壊れにくく、費用的にも高価すぎないものを選びました。
また、指紋認証がしづらいという社員もおりましたので、Windows Hello対応の顔認証カメラの検証も行いました。
ー 基本的にはPC内蔵の認証器をお使いとのことですが、外付けの機器はどのように管理されていますか。
西様:外付けの機器はマウスなどと同様に消耗品扱いにしています。指紋リーダーやカメラ単体で紛失してもさほど問題になりづらい点と、外付けの機器まで資産管理をすると業務を圧迫する恐れがありますので、ほぼ備品扱いにしています。
部署ごとに足を運び、パスワードレスの必要性を説明
少人数部署から切り替えることでQAを蓄積
ー パスワードレス認証の社内導入プロセスをお聞かせください。
ご担当者様:パスワードレス認証の導入は部署ごとに行いました。はじめにエンジニアなどの開発部署から、後半に人数の多い営業部の導入をしました。はじめに各部署の定例会でパスワードレス認証に切り替える目的や背景などをお伝えして、切り替え方法や手順を案内した上で部署ごとにスケジュールを分けて順次プロファイルの切り替えを行いました。
その後、社員各々にWindows HelloやTouch IDの登録とCloudGate UNOへの認証器登録をしてもらいました。社用スマホを持っている社員にはCloudGate Authenticatorの設定もお願いしました。私の方では、管理者サイト(CloudGate UNO Admin Site)から全員分の登録確認をし、期限までに切り替えできるよう、未登録者へのプッシュを行いました。全員分の登録を確認できた段階で、部署の切り替えタイミングで順次パスワードレス認証にプロファイルの変更を行いました。
導入プロセス
ー 部署ごとに導入されようと思われた理由をお聞かせください。
ご担当者様:以前、端末証明書を導入した時にも同じように社員にインストール作業をお願いしていました。
その際、部署ごとに導入して良かったため、今回も部署ごとに導入することにしました。
部署単位のメリットとして、一度に対応する人数が限られることと、ITスキルの高い開発部署から導入することでQAがこちらに蓄積できる点があります。そのため、問い合わせが殺到することがなくスムーズに手順書などの改修を行うことができました。また、「この問い合わせには、こう対応する」ようなノウハウも、時間をかけることでわかることもあり、それらの点が前回も今回も上手くいったと思います。
前回の端末証明書は、導入までに1ヶ月半ほどかかり、今回のパスワードレス認証も1か月半での全社導入を考えていました。検証を2022年1月下旬に始め、全社導入を始めたのが2月下旬で、2022年3月中旬までに全社導入を目標としてスケジュールを引いていました。後半、想定外の作業が発覚したりと立て込んでしまったため、可能であればもっと余裕をもったスケジュールを立てられれば良かったかもしれません。
西様:もともとは我々も開発部門にいて、コミュニケーションが取りやすかったこともあり、導入のテストケースとして協力を仰いでいました。そのため、最初に導入した開発部でこちらの運用上の抜け漏れを多少解消できた上で、人数の多い部署の導入ができた点も大きかったかもしれません。
ー 徐々に人数の多い部署に導入されたんですね。
西様:そうですね。営業系でしたり、人数の多い部署は最後の方に導入してもらいました。一斉に間違ったことやわかりづらい案内をしてしまうと一気に止まってしまったり、問い合わせが殺到してしまうので。担当者は元々同じ部署だったので、話を聞きながらマニュアルなどもだいぶ直したよね?
ご担当者様:はい、手順自体の流れが変わったわけではありませんが、問い合わせが多かったエラー時の対処法などは手順書に入れ込んだり、間違いやすいポイントなどはどんどん直していきました。
ー やはり人数の多い部署は苦労されましたか。
ご担当者様:そうですね。3月という多忙な時期にお願いしていたこともあり、部署のプロファイル切替日に間に合わない人も一部いましたが、根気強く、個別に細かくサポートすることで、全社導入の目標期日である3月末には全社員の切り替え作業を終えることができました。
一人ひとりへの丁寧なフォローで、スケジュール通りに全社導入達成
ー パスワードレス認証を全社導入するにあたり、成功のポイントをお聞かせください。
西様:今回は担当者がマニュアルなども含め、だいぶ手間をかけて導入しました。このチームは何日以降に切り替わるけど、進捗が芳しくない等は管理者サイトで確認して、未登録の社員、一人ひとりに声を掛けたりと相当手間をかけてくれました。そこが上手くいったポイントだと思います。
また、パスワードレス認証を導入するにあたって社員と敵対しても仕方がないので、なぜパスワードレス認証を導入するのか、導入する目的を明確にしつつ、導入することで日々の認証が便利になるという社員側のメリットをベースにチームでも説明資料を作成しました。
社員からは「とても便利になった」と評判
ー 導入後の効果を教えていただけますか。
西様:社員からは切り替え直後から、顔や指紋での認証が簡単ということで「とても便利になった」と好評です。パスワード認証の頃は、タイプミスで認証が失敗してしまったり、パスワードを忘れてしまうこともあったようで、認証にかかる時間が短くなって嬉しいという声もありました。
ご担当者様:管理者側の効果としては、定期的にあったパスワードリセット依頼が無くなり、その工数が減りました。パスワードレス認証でスムーズに認証できるようになったことで認証状態保持期間を短くしましたが、問題なく運用しています。
2019年にCloudGate UNOを導入したときは、自社システムとのSSO連携やプロビジョニングができたことで、利便性が向上したと感じておりました。今回、パスワードレス認証を導入したことでセキュリティを更に高めることができて良かったですね。
これからパスワードレスの検討される企業様は
PINコードの取り扱いにご注意を
ー 今後パスワードレス認証を導入される企業様にアドバイスなどございますか。
西様:パスワードレスになったことで、パスワードを覚える必要がなくなりましたが、逆にPINコードが分からないという社員からの問い合わせが新たに増えました。Windows Helloの場合、顔や指紋が正しく認証されなかった場合にPINコードを聞かれる仕様になっていますが、登録時のPINコードを覚えていない社員が一定数おりました。今後、Windows Helloでパスワードレス認証の導入を検討されている情報システム部門の方がいらしたら、設定マニュアル等にPINコードは絶対に忘れないよう注意書きなどの記載が必要だと思います。
ー PINコードと言われると、これが後からどう使われるのか分からないユーザーさんも多いと思います。クレジットカードの暗証番号くらい大切なものなんですよ、という伝え方をするとイメージを掴みやすいのかもしれないですね。
西様:あとはアトピーなど、慢性的に皮膚が荒れてしまう人を考慮していませんでした。そこは事前に考慮すべきだったと思います。
ご担当者様:指紋認証が難しい方には、Windows Hello対応カメラで顔認証していただいています。
ー Windows HelloやTouch ID以外にも、パスワードレス認証ができる認証器がございます。これから導入される企業様も、推奨の認証器で認証ができなかったユーザー向けに、異なる認証器の検証も必要かもしれないですね。
将来的にはすべての認証をCloudGate UNOで一元管理
ー 最後に、今後の展望をお聞かせください。
西様:現状、認証という意味ではActive DirectoryとCloudGate UNOの二重になっているため、それらを統合させるかが今後の課題です。将来的にはCloudGate UNOで一元管理したいと考えています。
ご担当者様:使っているサービスの中には未だCloudGate UNOとSSO連携できていないものもあるので、それらもすべて連携させて一元管理したいと考えています。また、プロビジョニングできるサービスが限られているので、もしプロビジョニングできるサービスが増えれば順次対応して、よりスムーズなアカウント開設や削除連携ができるようにできたらと考えています。
ー Active DirectoryとCloudGate UNOの連携も可能ですので、連携をご検討の際には是非ご相談ください。また、プロビジョニングにつきましても、引き続き対応を進めさせていただきます。今後もCloudGate UNOをどうぞよろしくお願いします。本日はありがとうございました。
もっと詳しく知る
株式会社ウエディングパークは、「結婚を、もっと幸せにしよう。」という経営理念のもと、2004年に結婚式のクチコミ情報サイトをスタート。結婚準備クチコミ情報サイト『Wedding Park』をはじめ、複数のウエディング専門メディアを運営するほか、インターネット広告代理事業、DX支援事業、教育事業などウエディング×デジタル技術活用の領域で様々な事業を展開しています。
