日立製作所が約48万ユーザーのアイデンティティ管理とガバナンス強化をOktaで実現

巨大組織の認証基盤の要となるOkta

日本を代表する大手総合電機メーカーの日立製作所において、グループの連結子会社612社（2024年6月30日現在）、連結従業員やビジネスパートナーが使うアイデンティティ約48万という巨大組織のITを統制しているのが、ITデジタル統括本部です。同本部では、社内ビジネスユニットとグループ会社の独立性を尊重しながらグループ全体を俯瞰した共通のIT戦略の策定・推進を行い、全世界のユーザーへ最適なITデジタル技術を提供することで同社のビジネス成長を支えています。

ITデジタル統括本部では部門ごとにさまざまなIT＆デジタル施策に取り組んでいますが、その中で現在進められているのが「第3世代認証基盤」の構築です。「オンプレミス」がメインだった第1世代、「オンプレミス＋クラウド」のハイブリッド環境だった第2世代を経て、クラウドセントリックな認証基盤へリフトすることで、今後のグループ全体の継続的な成長・革新を支えることが目的です。

この新しい第3世代認証基盤で中心的な役割を担っているのが、Oktaが提供する「Okta Workforce Identity Cloud」（以下、Okta WIC） です。社内でクラウドサービスの利用が増加する中、優れたログイン体験の提供や煩雑なパスワード管理によるセキュリティリスクの低減、管理者の手間や運用コストを削減するために2017年8月に初めてOktaを採用。導入当初は主に「Single Sign-on（SSO）」の機能を中心に利用していましたが、その後「多要素認証（MFA）」、「Okta Workflows」、「Lifecycle Management」といった機能の活用を段階的に広げてきました。そして、第3世代認証基盤では、クラウドサービスやオンプレミスの業務アプリケーションのすべての認証と認可をOkta WICで統合しています。

「第3世代認証基盤ではMicrosoft Entra IDも採用していますが、あくまでディレクトリとして利用し、Okta WICに認証を一元化することでユーザーエクスペリエンスとセキュリティを担保しています。Okta WIC導入以前の第2世代認証基盤では別のIdPを採用していましたが、オンプレミスのサービスを前提としていたものだったため、クラウドとのハイブリッド構成にするとシステムが複雑化するという課題がありました。そこで、フルクラウドの認証ソリューションの導入を検討し、さまざまな製品を比較検討した結果、Okta WICを採用しました。日立グループがクラウドリフトを推し進める中で、Okta WICは当社の認証基盤の中心的な役割を果たしています」（ITデジタル統括本部 グローバルソリューション第2本部 次世代セキュリティ＆ソリューション部 主管 小野俊彦 氏）

オンプレ縮小によるコスト最適化とグリーン対応

第3世代認証基盤の構築にあたり、ITデジタル統括本部が掲げていた目標の一つに「コスト最適化」があります。従来のオンプレミスの認証サーバーを縮小してOkta WICに機能を集約して行くことで、ITの固定費を削減しつつ、柔軟にM&Aによる組織の拡大・縮小に追従できるよう、コスト構造の改革を行いました。

また、それによって、「グリーン対応」を実現することも狙いでした。日立グループでは「2024中期経営計画」において、これまで行ってきた事業ポートフォリオ改革から今後はサステナブルな成長へ経営の主軸を切り替えることを明らかにしており、ITデジタル統括本部でもクラウド化の推進にあたり、カーボンニュートラルを意識した製品選択を行っています。

「オンプレミス環境で稼働していたActive Directory（AD）の認証サーバーを縮小してOktaで認証を統合したことにより、年間約41トンものCo2を削減できる見込みです。以前はADの認証サーバーでも100台近くありましたので、それらをクラウド化するだけでかなりの効果が見込めます」（ITデジタル統括本部 グローバルソリューション第2本部 本部長 田中仁士 氏）

M&Aや事業売却の際の認証統合に役立つOkta

状況変化に迅速に対応するための「アジリティ強化」も第3世代認証基盤の目標の1つでした。世界で様々な事業を展開する日立グループでは数多くのM&Aや事業売却が行われますが、その際のスムースなIT環境の統合・分離にOkta WICが貢献しています。

「日立グループ共通のアプリケーションを利用してもらうためには素早くアイデンティティを統合して認証を行う必要がありますが、M&Aを行った会社は独自のIT環境を持っています。数年前までは、当社に合わせてIT環境を入れ替えるのが現実的なM&Aもありましたが、最近は買収規模が大きくなり、当社と同等レベルのIT環境が整備されていてIT統合が一筋縄ではいかないケースも増えてきています。そうした中で、Okta WICを利用すれば、相手側の認証基盤がオンプレでもクラウドでも"吸収"するのではなく、"連携"させることでアイデンティティの統合を図れるのが大きなメリットです」（小野氏）

「M&Aを行った会社では業務ツールとしてMicrosoftを利用している場合もあれば、Googleを利用している場合もあります。また、採用している認証システムもそれぞれ異なります。そのため当社に合わせて業務ツールや認証システムを強制してしまうと、切り替えコストが発生し、業務への影響が出てしまいます。中にはビジネス上どうしても他のプラットフォームに移行できないこともあるでしょう。だからといって、会社ごとに異なる複数の認証システムを私たちのほうで管理するのは現実的ではありません。そのため、相手側のユーザビリティを重視し、業務ツールやクラウドIdPはそのままの状態でOkta WICと連携させてアイデンティティを統合するというアプローチを取っています」（田中氏）

「中立性」を核とするOkta WICだからこそ、大規模エンタープライズにおけるM&Aにおいても、相手側のIT環境を大きく変えることなく、柔軟なシステム連携によってアイデンティティの統合や切り離しを素早く行うことができるのです。

「オンプレミスの認証基盤を統合する場合、ネットワークを引くだけでも半年かかることがありますが、Okta WICを使えば1〜3カ月ほどで素早くアイデンティティ統合が可能です。認証を一元化し、その認証レイヤーで効率的なアイデンティティ管理や統一したセキュリティ対策を行える点がOkta WICを採用する一番の魅力です」（田中氏）

MFAやDevice Trustによってセキュリティを強化

第3世代認証基盤のもう一つの目標として掲げているのが、「セキュリティ強化」です。ITデジタル統括本部ではOkta WICでユーザー認証を行うだけではなく、「多要素認証（MFA）」の機能を導入。多要素認証アプリ「Okta Verify」を利用してユーザーがOktaアカウントにサインインしたり、Okta WICで保護されたリソースにアクセスしたりする際に、ワンタイムパスワード（OTP）やプッシュ通知による本人認証を行っています。

「当社では昨年からゼロトラストのセキュリティモデルにシフトしています。SaaSを利用する際はエンドポイントと認証レイヤーでのセキュリティ制御が重要となります。そのため認証レイヤーで多要素認証を設定していますが、最近は多要素認証が突破される攻撃手法も出てきています。そこで昨年『Device Trust』を導入してデバイス認証によるセキュリティ強化を行いました。また、2024年12月までには『FastPass』によるパスワードレス認証や生体認証も実現していく予定です」（小野氏）

「Okta Identity Governance」でアイデンティティのガバナンスを強化

現在ITデジタル統括本部では、日立グループ内で約48万ユーザーのアイデンティティを管理しています。セキュリティモデルがゼロトラストにシフトしていく中でアイデンティティのガバナンスの重要性が高まっていることから、ITデジタル統括本部では2024年4月からアイデンティティの棚卸しやアプリケーションの利用申請・承認を効率的に行える「Okta Identity Governance」を導入しています。

「ゼロトラストセキュリティでは利用しないアイデンティティを残しておくと攻撃のターゲットになったり、不正利用されたりする可能性がありますので、定期的なアイデンティティの棚卸しが必要です。しかし、当社では48万ものアイデンティティがありますので、その利用状況を逐一チェックしていくのは現実的ではありませんでした」（小野氏）

そこでITデジタル統括本部では、Okta Identity Governanceを用いてOkta上のアプリケーションやグループに不必要なアイデンティティが割り当てられていないかをチェックし、利用していないアカウントは停止してユーザーに通知するといった自動処理をOkta Workflowsと連携させて実施しています。

「これまでは管理者がOkta上で目視してラストログインを確認したり、スクリプトを組んで使用していないアイデンティティを抽出したりする必要がありましたが、Okta Identity GovernanceによりOkta上でグループやユーザー、アプリなど任意の条件を設定し、スケジュールを組んで定期的にアイデンティティの棚卸しを実行できるので、大幅に負荷を軽減できます」（小野氏）

なお、Okta Workflowsに関してはOkta Identity Governanceとの連携のみならず、日立グループ全体で140を超える自動化フローを作成し、ビジネスプロセスの自動化に役立てています。

「Hub & Spoke」によってアイデンティティ管理を効率化

ITデジタル統括本部が今後注力していくのが、グローバル全体のITレイヤーの整備です。日立グループでは大規模なM&Aが行われていることもあり、ビジネスポートフォリオが大きく変化しています。今まではITデジタル統括本部が中心となりオペレーションも担ってきましたが、時差の関係などで現地からの要望にタイムリーに応えられない場合が出てくるなどの課題に直面しています。

このような課題への対応として、Okta WICの「Hub & Spoke」機能をビジネスのフェーズに合わせて活用していくことを検討しています。Hub & Spokeを利用すれば、本社側（Hub）でID管理、セキュリティ、監視や全社共通で利用するアプリケーションの一括管理を行いながら、各拠点や事業部門（Spoke）ごとに独自利用するアプリケーションの設定が可能となります。

「基本的には統制や運用コストの観点で、グローバルで単一テナントでの管理が理想であると考えていますが、M&Aでの事業統合や事業分割などの実際のビジネスシーンを考えると、柔軟な対応が必要となります。そのため、テナント構成のベースラインとして、統制をしていきたい認証などの機能はHub側でコントロールできるようにしていく予定です。もちろん、ビジネスや各国の法律対応のため、Spoke側にも権限の適切な委譲が必要であり、今後どのようなテナント構成が最適かを見定めていきたいと考えています」（小野氏）

大規模エンタープライズ環境にも最適なOkta

ITデジタル統括本部がOkta WICを導入当初から長きにわたって採用し続ける理由を尋ねると、それは「テクノロジー」によるところが大きいと言います。

「Okta以前に使っていた認証ソリューションはオンプレミスを前提としていたものだったため、クラウドの最新テクノロジーへの対応が遅れがちでした。Oktaはクラウドネイティブなので、最先端技術のキャッチアップがとても早い。また、Oktaの動向を参照することで、最新トレンドにキャッチアップできることがOktaを継続採用する一番の理由です」（田中氏）

「業務の土台としてのインフラをクラウド化し、アジリティを強化することができるのか当初は大きな不安を感じていました。しかし、Okta WICを利用して認証基盤をクラウドリフトすることで、他のITインフラならびにサービスのクラウド化がスムーズに進んでいます。そうした事実がOkta WICを採用して良かった点であり、今ではOkta WICは当社のクラウド中心のITインフラに欠かすことのできない重要なコンポーネントになっています」（小野氏）

また、ITデジタル統括本部では「キャパシティ」、そして「サービス設計」の面で、Oktaが大規模エンタープライズ環境にもしっかりと対応できる点も高く評価しています。

「これまでのITインフラをクラウドリフトする過程で直面した課題は大きく2つあります。1つは、多くのユーザー数を抱える基盤を一気にクラウド化することにより、想定外の負荷を原因としたキャパシティ不足、もう1つは、規模が原因で発生する運用課題へのベンダー側の対応経験不足です。そうした課題にも真摯に向き合い一緒に取り組んでいただける点がOktaを採用している理由の一つでもあります」（小野氏）

「Oktaとは単にサービスを使う側と提供する側という関係ではなく、しっかりとしたパートナーシップを構築できていることが、安定したインフラの構築につながっています。引き続き今後も当社の意見に耳を傾けていただきたいですし、さまざまな新しい提案をいただけると期待しています」（田中氏）

日立製作所について

明治43年、小平浪平創業社長と彼の志に共感した数名の若いエンジニアたちによって最初の一歩を踏み出した日立製作所。「優れた自主技術・製品を通じて社会に貢献する」を企業理念として、社会インフラに関わる幅広い分野においてデータとテクノロジーでサステナブルな社会を実現する社会イノベーション事業を推進しています。金融・官公庁・自治体・通信向けITサービスやお客さまのDXを支援する「デジタルシステム＆サービス」、エネルギーや鉄道で脱炭素社会の実現に貢献する「グリーンエナジー&モビリティ」、産業流通、水インフラ、家電・空調システム等の幅広い領域でプロダクトをデジタルでつなぐ「コネクティブインダストリーズ」を通じて、グローバルで社会イノベーション事業のさらなる進化と成長をめざしています。