美しいビジネスソフトウェア
Xero社は、クラウドベースのグローバルなスモールビジネスプラットフォームです。同社のキャッチフレーズ「美しいビジネス」は、使いやすく、楽しめる製品の提供を自負する表現です。
それは、同社のITチームが守る基準でもあります。煩雑な手動のITプロセスは、Xero社のやり方と相反します。ITチームは、Xero社の社員が楽しく働けるようにするため、革新的で応答性に優れたツールを提供する企業と積極的に提携しています。
言うまでもなく、チームは堅牢なITセキュリティを保証する責任も担っています。これら両方の課題に対処するには、統合されたアイデンティティ管理を確立する必要があり、これがゼロトラストセキュリティ戦略の基盤となります。
美しいとは言いがたいアプリケーションのプロビジョニング
Xeroは、これまでもクラウドベースのアプリを好んできましたが、当初、ITチームはMicrosoft Active Directory(AD)を従業員プロファイルの信頼できる情報源として使用していました。
Xeroの内部ITソリューションアーキテクトである Dan Bowden氏は、手探り状態だった当時のプロビジョニングを振り返り、「新しいユーザーのセットアップは、Active Directoryに追加することで行いました。職務が似ていると思われる既存のユーザーを見つけて、そこから新しいユーザーに適したグループを推測し、適切なアプリケーションへの適切なアクセス権を付与しようと試みました」と語ります。
同社の革新的でクラウド重視の従業員は、常に新しいアプリケーションを求めているため、クラウドアプリの数が急速に増えていきました。小規模なITチームは、すぐに、組織として成長するためにはアプリケーションのプロビジョニングプロセスを改善する必要があると気付きました。
ITチームは、理想的なアイデンティティ管理プラットフォームを探す過程で、もちろんセキュリティと使いやすさを重視しましたが、文字通り「美しい」製品を求めてもいました。Microsoft Active Directoryとのシームレスな統合は不可欠でした。
優雅なアイデンティティ管理をいち早く導入
市場を簡単に調査しただけでも、Oktaを選ぶべきことは明らかでした。Bowden氏は次のように説明します。「私たちは、いわゆる新しもの好きです。その当時、Oktaのような製品はあまりありませんでした。」
チームが2013年に Okta Single Sign-Onを実装して以降、Xeroでの導入は順調に進み、毎朝Oktaにログインして仕事を開始するのが従業員の日課になりました。現在、同社がOktaと統合したアプリケーションは200を超えています。以前はIT部門が新しいアプリをデプロイするのに何日もかかっていたのが、今では2時間未満、場合によっては30分もかからずにデプロイできるようになりました。
利用できるアプリが1か所にまとまっていて、個別にパスワードを覚えなくてもアクセスできるというのは、大きな改善でした。Xeroにとって、Microsoft Active Directory Federation ServicesとDirSyncを即座に解約できたことは、多額の年間ホスティング料金の節約にもつながりました。
Xeroチームは、Adaptive Multi-Factor Authentication(aMFA)も導入してコンテキストに応じた従業員アクセスを可能にすることで、同社のセキュリティ目標であるゼロトラストに従うと同時に、美しくシンプルなアクセスを実現しています。Okta Verifyを使用するようになってからは、スマホに表示されたプロンプトに応じてタップし、承認するだけです。Xero社のオフィスにいる場合は、社外にいるときや新しいシステムからログインするときに比べ、表示される多要素認証プロンプトが少なくなります。
自動ライフサイクル管理への道筋
Oktaを導入した当時、XeroのITチームは、従業員プロファイル情報の情報源としてADを使用し、データを手動で追加・更新していました。OktaはADと緊密に統合できるため、導入されるクラウドアプリケーションが増え、ADに依存するオンプレミスのアプリケーションが使われなくなるにつれ、プロファイルのソースとしてもADを使用しない方向に移行できました。
急成長を遂げる企業にとって、ITの最優先事項の一つが、自動化です。チームは、ADの代わりに Workdayをソースとして使い、情報を Okta Universal Directoryに保存するようになりました。また、Okta Lifecycle Managementを使ってオンボーディングとオフボーディングのプロセスを自動化するようにもなりました。
「今では、WorkdayからOktaへとプロビジョニングを行い、ユーザーの作成プロセスを自動化しています」と、Bowden氏は言います。ピープルエクスペリエンスチームのスタッフがWorkdayに従業員情報を入力すると、そのデータがUniversal Directoryに流れ込み、そこから Slack、Google Apps、Office 365、Salesforce など、24の一般的なアプリケーションにプッシュされます。従業員をWorkday内の場所や配信グループに配置すると、必要なアプリケーションへの自動プロビジョニングが適切な構成で開始されます。
Bowden氏は、「Oktaがアプリ内のユーザー情報をすべて更新してくれるので、15種類のシステムにログインして変更を加える必要がなくなりました。更新を1回行うだけで、すべてのアプリケーションに反映されます」と述べています。
自動化をさらに進める
Oktaの、すぐに使える自動のライフサイクル管理機能は、Xeroに大きな変化をもたらし、オンボーディング・オフボーディングプロセスの95%が不要になりました。しかし、Xeroは95%という数字に満足しませんでした。ゼロトラストの目標を大規模に達成するためには、手動のプロセスに伴うリスクを最小限に抑える必要があったからです。
2020年、Oktaは、Platform Servicesの提供を発表しました。これは、Okta Identity Cloudの中核となる基本的なサービス指向テクノロジーであり、Okta製品、API、SDKを使った迅速なイノベーションを可能にします。
Oktaのカスタマーサクセスマネージャーである Sriram Sundaresanは、プラットフォームサービスの先駆けとも言える Okta Workflowsが、Xeroのような顧客を想定して開発されたことを知っていました。Workflowsを使用すると、IT部門は、APIを通じてOkta製品の機能をサードパーティのアプリケーションやシステムに接続するカスタムのビジネスプロセスを作成し、アイデンティティ中心の複雑なプロセスをコードなしで自動化することができます。
Sundaresanは次のように言います。「Xeroのようなテクノロジー企業にとって、自動化は重要です。XeroはWorkflowsを使い始める前からライフサイクル管理に長けていましたが、Workflowsこそがゲームチェンジャーです。」
これには、Bowden氏も同意しています。「退職手続きにはまだ多くの手作業があったので、そこでWorkflowsの実装を開始しました。Workflowsのおかげで、手作業を1つずつなくすことができました。」
すばやい生産性の向上
現在、Bowden氏は、すべてのライフサイクル管理プロセスに目を通して成果を特定し、ITチームと従業員の両方の生産性を迅速に向上させています。スプレッドシートを見たり、システムにログインしたりしないとオンボーディングまたはオフボーディング手順が完了できない作業(たとえば、Googleカレンダーの所有権をマネージャーに移すなど)が、すべてWorkflowsで自動化できるようになりました。
Oktaのユーザーは、Workflowsによって、Oktaの機能・プロセスを個々の要件や例外に合わせてすばやくカスタマイズできます。たとえば、Xeroは、Asanaのプロビジョニングの際にWorkflowsを使ってOktaに組み込まれている承認要求を回避しています。
「私たちはAsanaのエンタープライズライセンスを所有しているので、新しいユーザーをプロビジョニングしても追加費用はかかりませんし、社内のサポートチームが関与する必要もありません」とBowden氏は言います。Xeroは、ユーザーがアプリケーションを自分でプロビジョニングできるようなセルフサービスプロセスを設定することで、従業員生産性の障害物を取り除き、セルフサービスを介してAsanaをスタッフに提供してから1週間の間に450件のサポートチケットを回避することができました。
Bowden氏は、「ワークフローの設定に費やした時間は、約3日で元が取れました」とコメントしています。
技術的負債の削減とセキュリティの改善
さらに、Workflowsを通じて、技術的負債やオンプレミスのフットプリントを減らし、セキュリティを改善することができました。スクリプトの作成に長けた人材が揃うBowden氏のチームも、カスタムのPowerShellスクリプトを次々に作成してサーバー上で更新し続けるより、Workflowsを使ってプロセスを自動化する方が得策であることをすぐに理解しました。
Bowden氏は、「全部スクリプトにしてしまおうかと思いましたが、すぐに、スクリプトの管理を担当しなければならないチームや、サポートチームなど何らかの形でスクリプトに対応しなければならなくなる他の部署の人たちのことが頭に浮かんだのです」と言います。
「ワークフローを見れば、スクリプトを使ったときよりずっと短い時間でプロセス全体を把握できます。プロセスを必要とする人たち、あるいは新しい職務を引き継ぎ、すばやく情報を集めなければならない人たちにとって、学習曲線がはるかに簡単かつ効率的になります。」
Workflowsはより安全でもあります。スクリプトでプロセスを自動化する場合、カスタムコードにサードパーティAPIを呼び出すためのキーやトークン、パスワードを埋め込む必要があります。トークンは、会社のサーバー上のファイルに保管されますが、効果的に保護することにあまり注意が払われないのが普通です。Workflowsはオンプレミスのコンピュータやサーバーではなく、Oktaプラットフォームで実行されるため、APIトークンは自動的に保護・更新されます。
Workflowsにより、Xeroは、ソフトウェアやオンプレミスインフラストラクチャを追加することなく、既存のクラウドサービスを動的でカスタマイズ可能な方法で接続することができます。Bowden氏のチームは、社内でのADの必要性を減らし、すべてをクラウドに移すことに取り組んでいるため、Workflowsは引き続き大きな役割を果たすでしょう。
美しいビジネスを目指して
Workflowsは、Xeroのビジネスプロセスをより美しくすることにも貢献しています。PowerShellスクリプトがうまく行かなかった例として、Bowden氏は、あるユーザーが非アクティブになったときのことを話してくれました。
「3~4台のサーバーが関係していて、スクリプトが一体何をしているのか、誰も理解していませんでした。」スクリプトの目的がユーザーの無効化であることを考えると、それは好ましい状況ではありません。不特定多数宛てのSMTP通知がIT部門に送信され、フラグが付けられたり人事部やマネージャーに転送されたり、というスクリプトは、Xeroがプロファイルの情報源としてWorkdayを使用するようになると完全に不要になりました。
Bowden氏が、Workflowsを使ってプロセスからすべてのサーバーを取り除き、ADではなくOktaを開始情報のソースにすることで、即座に精度が改善されました。今では、誰かが休職したり、何らかの理由でログインを停止したりすると、SlackやSMTP以外のメールを介して明確でわかりやすい通知が送信されます。通知は、ITから転送されるのではなく、該当するマネージャーに直接届きます。
Bowden氏は次のように言います。「結局、プロセスがオンプレミスのインフラに依存しなくなり、メッセージングがエンドユーザーにとってはるかに快適になり、サポートチームが関与しなくて済むようになったのです。プロセスは、どこから見ても100倍良くなりました。」
完全クラウド化へ
ADを廃止することがXeroの焦点となったのは、コロナ禍で従業員の多くがリモートワークに切り替えたのがきっかけでした。
Oktaと手を組むことで、リモートワークへの移行は大幅に簡単に、安全になったとBowden氏は言います。オンプレミスソリューションの大部分がすでにクラウドに移行済みだったこともあり、会社のVPNを介してログインする人は少数でした。ITアーキテクチャチームの一員であるBowden氏ですら、「VPNに一度も接続しない日が多かった」と言います。
完全クラウド化を目指すXeroの取り組みは、最終段階にあります。Bowden氏は、「Googleの同期サーバーを廃止し、GoogleテナントをOktaから直接管理するようになりました」と言います。Xeroは、今後数か月以内にオンプレミスのConfluenceとJiraの各アプリケーションをクラウドに移行する予定です。
また、オンプレミスのWi-FiネットワークをOkta RADIUSソリューションで保護することを検討したり、ADに依存するプリントサーバーの回避策を探ったりしています。Okta Integration NetworkのメンバーであるPrinterLogicは、間違いなく候補となります。
Bowden氏は言います。「新しいアプリを見つけたとき、私たちはさまざまな条件について検討します。なかでも、『SAMLに対応しているか、Oktaでできるか』という点をまず一番に考えます。Oktaでさっと検索して、そのアプリケーションがヒットし、Oktaで検証済みなら、当面の条件はすべて揃ったも同然です。Oktaで検索してもヒットせず、SAMLにも対応していないなら、基本的に却下です。」
デバイスをゼロトラストに包み込む
Bowden氏にとっては、OktaでのIAMの一元化から、適応型MFAの実装、クラウドへの移行、プロセスの自動化まで、すべてが、ゼロトラストというセキュリティビジョンを確立するためのステップです。次の段階では、デバイスをアイデンティティの囲いに入れ、アクセスに関する決定が各ログインの完全なコンテキストの中で行われるようにします。つまり、ユーザーやアプリケーションだけではなく、ネットワーク、デバイスのステータス、場所なども認識した上で決定を行うのです。
最近、Okta Platform ServicesがOkta Devicesのベータ版を発表した時点で、Sundaresanは、XeroをOkta FastPass機能に登録しました。この機能は、きめ細かい、コンテキストベースのアクセス決定を可能にすると同時に、どのデバイス、どの場所からでもOktaが管理するアプリにパスワードレスログインできるようにします。
Bowden氏は言います。「これには本当に感激しました。FastPassによってユーザーエクスペリエンスが大幅に改善され、セキュリティも向上しました。」
成長を共にするパートナー
Xeroでの7年間のほとんどをOktaと共に歩んできたBowden氏は、SundaresanやカスタマーサポートチームのことをXero ITの一員のように考えています。「OktaチームもSlackに参加しているので、Xeroの従業員と変わりなくチャットができます。とてもオープンで、便利で、役に立っています。」
尊敬の念は一方通行ではありません。Sundaresanは、長年にわたって密な関係が築けたことの一因として、両社の類似点を挙げています。「どちらの会社も、同じような成長の過程にあり、無駄のないアジャイルなアプローチで業界を支配し、撹乱しようとしています。Xeroはそれをスモールビジネスプラットフォームで実践し、Oktaはアイデンティティで実践しているのです。」
Xeroチームは、長年にわたってOktaに貴重なフィードバックを提供し、新しい機能への道筋を示してきた、強力な支持者です。また、Xeroアプリを通じて、美しいスモールビジネスプラットフォームを求める企業に対し、簡単なOkta統合を提供してもいます。
今日、XeroのIT部門では、40人の社員が全社をサポートし、全世界200万の加入者に美しいビジネスを提供することを可能にしています。Oktaは、成長を続けるXeroが顧客事業に集中できるよう、支援しています。
Bowden氏は次のようにコメントしています。「私たちは会社としてのOktaを本当に尊敬していて、Oktaがやっているのなら、うちでもやるべきだ、と考えています。」
