28事業のシナジーを生み出すためにOkta顧客ID管理製品で認証システムを統合

3

OktaでECサイト・アプリを刷新し、利用者数が3年連続で増加

1

約1カ月で「OAuth 2.0」に準拠した認証システムを構築

28

Oktaで28事業の認証を統合してシナジーを生み出す

  • 宅配システム「トドック」のECサイトおよびアプリのリニューアル
  • ユーザビリティとセキュリティを両立したDXの実現
  • 「グローバルでNo.1」という理由からOktaを選択
  • Oktaなら国際基準の品質のよい認証システムを素早く構築できる
  • 一度のログインで複数事業へ連携できる認証システムをOktaで構築
宅配システム「トドック」のECサイトおよびアプリのリニューアル

2020年4月にトドックのECサイトやアプリのユーザ認証のためにOktaを利用開始し、その後、セキュリティ面の考慮やログインの保持などにも活用

ユーザビリティとセキュリティを両立したDXの実現

Oktaの認証システムを用いたECサイト・アプリの利用者数は3年連続で増加し、2022年には利用率が3倍に。しかも、その間、起きたセキュリティインシデントの件数はゼロ

「グローバルでNo.1」という理由からOktaを選択

グローバルで打ち勝っている製品はそれだけセキュリティアタックを受けていて、それだけソフトウェアアップデートをしているということ。その業界・そのカテゴリのNo.1の製品を選択するのがポリシー

Oktaなら国際基準の品質のよい認証システムを素早く構築できる

OAuth 2.0を理解してコードに落とし込むにはエンジニアの能力が必要となるが、OktaであればOAuth 2.0に準拠した認証の仕組みの作り方がドキュメントになっているので簡単に構築可能

一度のログインで複数事業へ連携できる認証システムをOktaで構築

今後、電力や店舗、宅配、給食といった28の事業で持つECサイトの認証システムを統合することで、セキュリティのリスクを減らし、利用者の利便性を向上

「Oktaの顧客ID管理製品のメリットは、国際基準のセキュリティ品質を担保した認証システムを簡単に開発できることです」

生活協同組合コープさっぽろ デジタル推進本部 システム部 樋口 修也 氏

coop 1

ユーザビリティとセキュリティを重視したDXを実現

年間3000億円規模の売上高を誇り、1万人以上の従業員と190万以上の組合員を抱える生活協同組合コープさっぽろ(以下、コープさっぽろ)は、2020年3月にデジタル推進本部を設置し、本格的なDX(デジタルトランスフォーメーション)に取り組んでいます。全国の生活協同組合の中でも非常に大きな組織であるコープさっぽろがDXに注力するのは、長年運用してきた古びたシステムや基盤を改善し、業務そのものや組織、プロセス、企業文化・風土を変革するため。“コープさっぽろがもっと使いやすく、買い物しやすく、働きやすく”を目指し、多彩なバックグラウンドを持つ優秀なIT人材を社外から招き入れ、デジタルの力で“レガシーな地方の巨大小売業”からの脱却を図っています。

そんなコープさっぽろでデジタル推進本部が真っ先に取り組んだのが、宅配システム「トドック」のECサイトおよびアプリのリニューアルです。トドックは、カタログから選んで注文したコープこだわりの商品を組合員の自宅まで届ける宅配サービス。2009年からはECサイトやアプリからもオンライン注文可能ですが、若年層に親しみにくいUIやUX、システムの老朽化、セキュリティ面の改善、パスワード忘れへの対応などが求められていました。

「北海道は全国平均を上回る速さで高齢化が進んでおり、『自宅から半径500m以内に生鮮食品販売店がない』そして『自家用車も保有していない』という65歳以上人口が多くいます。そうした買い物弱者に向けて生活インフラを届ける役割をトドックが今後も担うためには、若年層を積極的に取り込む必要があります。一定の組合員数を維持し続けなければ、現在の週1回の配送無料宅配が困難になるかもしれないからです」(デジタル推進本部 システム部 樋口 修也 氏)

 そこでコープさっぽろが導入したのが、Oktaの顧客ID管理製品「Okta Customer Identity Cloud」(以下、Okta CIC)です。2020年4月にトドックのECサイトやアプリのユーザー認証のために利用開始し、その後、セキュリティ面の考慮やログインの保持などにも活用。具体的には、UIやUXの改善に加えて、ブルートフォースアタックなどの攻撃に対応するためのセキュリティ機能や、パスワード忘れの問題を解決するためのSNS認証およびパスワードレス認証の実装を行いました。その結果、2019年からECサイト・アプリの利用者数は3年連続で増加し、2022年には利用率は3倍にも達しました。しかも、その間、起きたセキュリティインシデントの件数はゼロ。企業や事業の性質上、一度でも信頼を損なうことができない中、Okta CICによってユーザビリティとセキュリティを両立したDXを実現したのです。

coop 2

「グローバルでNo.1」を選ぶことがポリシー

ECサイトやアプリへ認証・認可の機能を組み込むことは自社開発でも可能ですが、コープさっぽろではそれを選択しませんでした。

「今はデジタルの世界ですから、その中でサービスを提供しようとすると、ログインをどうするかという問題が多くの企業の悩み事として立ちはだかります。そうしたとき、各企業でスクラッチで作っている場合ではないというのが私の考えです。企業内で構築するとエンジニアの力量によってセキュリティの度合いが決定されてしまいますが、専用のソリューションであれば自社開発をしなくても機能が追加され、最新のセキュリティに対応してくれます。ですから『安全を買う』という意味で、グローバルで定評のある製品を探していたのです」(執行役員 デジタル推進本部 本部長 長谷川 秀樹 氏)

coop 3

そして、数あるソリューションの中から、「グローバルでNo.1」という理由で、Okta CICを選びました

「企業がサービスを導入する際には、いろいろな製品を比較検討すると思います。そこで私が重要視しているのは、その業界、そのカテゴリのNo.1の製品を選ぶことです。もちろんNo.1の製品でなくてもパンフレットや説明資料には同じことが書いてあるかもしれませんし、お抱えのベンダーが同様のソリューションを提案してくることもあるでしょう。しかし、それらを選ぶ理由はどこにあるのでしょうか。クラウドでいえば『AWS』のように、グローバルで一番使われていて、一番セキュリティが高くて、一番使いやすい製品を選んだほうがいい。グローバルで打ち勝っている製品というのは、それだけセキュリティアタックを受けていて、それだけソフトウェアアップデートをしているということなのですから。常にグローバルでNo.1の製品を選ぶことをポリシーとしているので、必然的にOkta CICにたどり着きました」(長谷川氏)

パフォーマンスを引き出す充実したリソース

Okta CICで実際に認証システムを開発するにあたり、コープさっぽろがもっとも大きなメリットとして感じたのは、国際基準の品質のよい認証システムを素早く構築できる点です。

「認可フレームワークである『OAuth 2.0』に準拠した認証システムをいちから自社構築すると、要件定義や設計、開発、テストで3ヵ月はかかると思います。一方で、Okta CICならばOAuth 2.0に準拠した形で、1週間で作成することができました。OAuth 2.0を理解してコードに落とし込むにはエンジニアの能力がかなり必要となりますが、Okta CICであればOAuth 2.0に準拠した認証の仕組みの作り方がドキュメントになっているので簡単に構築できます」(樋口氏)

coop 4

また、組合員の方々に出資をしてもらうことでサービスを運営しているコープさっぽろでは、まさに銀行に似たような形でセンシティブな情報を取り扱う必要があることから、迅速に開発した認証システムが「運用実績のある安全な仕様でセキュリティ担保された形である」という信頼性も重要だったと言います。

「たとえば、“身に覚えのない注文がある”という問い合わせを受けたとき、通常はまず不正ログインを疑いますが、Okta CICであればセキュリティはしっかりとしているのでその可能性は低いと判断でき、それ以外のことから調査を開始できます。また、たとえば“ログインできない”という問い合わせがあった場合も、管理コンソールから詳細なログを確認できますし、GUIで操作できるのでエンジニアではない人も対応に当たれます。運用の観点からいくと、管理コンソールがあることは非常に大きいと思います」(樋口氏)

coop 5

加えて、ドキュメントやサポートが充実していることも大きなメリットだと言います。

「コープさっぽろに来て初めてOkta CICを使ったのですが、問い合わせ対応やシステムの不具合を回収する際に、日本語のドキュメントがしっかりしていて、とても使いやすく感じました。たとえばAPIを叩いて情報を取得しなければならない場合、ドキュメントにそのやり方が記載されているので、それを参照しながら簡単に解決できます。また、たとえドキュメントに載っていなくても、サポートに問い合わせたり、ユーザコミュニティのフォーラムの情報を参照したりすればすぐに解決のためのヒントが得られます。製品がいくらよくても、使い方がわからなかったらパフォーマンスは出せません。ですから、パフォーマンスを出すための充実したリソースがあることはOkta CICの大きなメリットだと思います」(デジタル推進本部 システム部 和泉 僚 氏)

coop 6

一度のログインで複数事業へ連携できるシステムを構築

自社サービスの入り口となるユーザーのログイン画面。ともすれば、企業によって軽視しがちな認証基盤の構築をコープさっぽろが重視するのは、認証こそがすべてのオンラインサービスの始まりだからです。

「“誰であるか”の認証さえ担保してしまえば、決済の機能を追加するなど、WEBでできることが格段に増えていきます。逆にいえば、認証ができていないとユーザーに対して何も価値提供できないのです」(樋口氏)

コープさっぽろでは、開発工数の削減によって創出された時間を、カテゴリ機能や通知機能を実装するなどのWEBサイトやアプリの機能強化に費しています。また、Okta CICの管理コンソールを使えばログイン人数や注文情報をCSVで書き出して集計できるので、マーケティング分析にも役立っています。

「新しい機能を実装したときにユーザー離れがないかなどの調査に利用したり、新たなマーケテイング戦略を行った際に顧客単価を割り出し、PDCAのチェックの部分に活用しています」(和泉氏)

そして、今後は、Okta CICで構築した認証システムをトドックのECサイトやアプリにとどめるのではなく、さらに広げていく予定です。

「コープさっぽろでは電力や店舗、宅配、給食といった28の事業を展開しており、さまざまなECサイトが存在します。これまでのように各事業部でサービスの認証情報を持っているとセキュリティのリスクがありますし、利用者の利便性もよくありません。各サービスに個別にログインするのではなく、一度だけログインすればすべてのサービスにアクセスできる環境を構築したいと考えています」(樋口氏)

Okta CICを用いて認証を統合することで、28事業のシナジーを生み出す。これこそが、コープさっぽろでOktaを導入した真の目的です。そして、それを実現するために、コープさっぽろは組織構造の形をも変えました。これまで事業部ごとに独立してシステム構築していた環境から、デジタル推進本部がすべての事業部のハブとなり、デジタル(D)で事業の横串(X)を刺して、ユーザーに最適化された開発を行う環境へ。コープさっぽろが目指すDXは、一歩ずつ着実に前へ前へと進んでいるのです。

coop 8