オンプレミス縮小によるコスト最適化とグリーン対応
新しいアイデンティティインフラストラクチャの構築にあたり、掲げていた目標の一つにコスト最適化があります。従来のオンプレミスの認証サーバーを縮小してOkta WICに機能を集約して行くことで、ITの固定費を削減しつつ、柔軟にM&Aによる組織の拡大・縮小に追従できるよう、コスト構造の改革を行いました。
また、それによって、グリーン対応を実現することも狙いでした。日立グループでは、これまで行ってきた事業ポートフォリオ改革から今後はサステナブルな成長へ経営の主軸を切り替えることを明らかにしており、ITデジタル統括本部でもクラウド化の推進にあたり、カーボンニュートラルを意識した製品選択を行っています。
「オンプレミス環境で稼働していたActive Directory(AD)の認証サーバーを縮小してOktaで認証を統合したことにより、年間約41トンものCO2を削減できる見込みです。以前はADの認証サーバーでも100台近くありましたので、それらをクラウド化するだけでかなりの効果が見込めます」(ITデジタル統括本部 グローバルソリューション第2本部 本部長 田中仁士氏)
M&Aや事業売却の際の認証統合に役立つOkta
状況変化に迅速に対応するためのアジリティ強化も第3世代アイデンティティインフラストラクチャの目標の1つでした。世界で様々な事業を展開する日立グループでは数多くのM&Aや事業売却が行われますが、その際のスムースなIT環境の統合・分離にOkta WICが貢献しています。
「日立グループ共通のアプリケーションを利用してもらうためには素早くアイデンティティを統合して認証を行う必要がありますが、M&Aを行った会社は独自のIT環境を持っています。数年前までは、当社に合わせてIT環境を入れ替えるのがM&Aを行った会社にとって現実的でしたが、最近は買収規模が大きくなり、当社と同等レベルのIT環境が整備されていてIT統合が一筋縄ではいかないケースも増えてきています。そうした中で、Okta WICを利用すれば、相手側のインフラストラクチャがオンプレでもクラウドでも"吸収"するのではなく、"連携"させることでアイデンティティの統合を図れるのが大きなメリットです」(小野氏)
M&Aを行った会社では業務ツールや認証システムもそれぞれ異なります。これらの提供業者の切り替えを強制してしまうとコストが発生し、業務への影響が出てしまいます。中にはビジネス上どうしても他のプラットフォームに移行できないこともあるでしょう。中立性を核とするOkta WICだからこそ、大規模エンタープライズにおけるM&Aにおいても、相手側のIT環境を大きく変えることなく、柔軟なシステム連携によってアイデンティティの統合や切り離しを素早く行うことができるのです。
「オンプレミスのアイデンティティインフラストラクチャを統合する場合、ネットワークを引くだけでも半年かかることがありますが、Okta WICを使えば1〜3ヶ月ほどで素早くアイデンティティ統合が可能です。認証を一元化し、その認証レイヤーで効率的なアイデンティティ管理や統一したセキュリティ対策を行える点がOkta WICを採用する一番の魅力です」(田中氏)
MFAやDevice Trustによってセキュリティを強化
セキュリティ強化の目標を達成するために、ITデジタル統括本部ではOkta WICでユーザー認証を行うだけではなく、多要素認証(MFA)の機能を導入。多要素認証アプリ「Okta Verify」を利用してユーザーがOktaアカウントにサインインしたり、Okta WICで保護されたリソースにアクセスしたりする際に、ワンタイムパスワード(OTP)やプッシュ通知による本人認証を行っています。
「当社ではゼロトラストのセキュリティモデルにシフトしています。SaaSを利用する際はエンドポイントと認証レイヤーでのセキュリティ制御が重要となります。そのため多要素認証を設定していますが、最近は多要素認証が突破される攻撃手法も出てきています。そこで昨年『Device Trust』を導入してデバイス認証によるセキュリティ強化を行いました。また、2024年12月までには『FastPass』によるパスワードレス認証や生体認証も実現していく予定です」(小野氏)
Identity Governanceを強化
現在ITデジタル統括本部では、日立グループ内で約48万ユーザーのアイデンティティを管理しています。セキュリティモデルがゼロトラストにシフトしていく中でアイデンティティのガバナンスの重要性が高まっていることから、ITデジタル統括本部ではアイデンティティの棚卸しやアプリケーションの利用申請・承認を効率的に行える「Okta Identity Governance」を導入しています。
「ゼロトラストセキュリティでは利用しないアイデンティティを残しておくと攻撃のターゲットになったり、不正利用されたりする可能性がありますので、定期的なアイデンティティの棚卸しが必要です。しかし、当社では48万ものアイデンティティがありますので、その利用状況を逐一チェックしていくのは現実的ではありませんでした」(小野氏)
そこで2024年4月より、Okta Identity Governance(OIG)を用いてOkta上のアプリケーションやグループに不必要なアイデンティティが割り当てられていないかをチェックし、利用していないアカウントは停止してユーザーに通知するといった自動処理をOkta Workflowsと連携させて実施しています。
「これまでは管理者がOkta上で目視してラストログインを確認したり、スクリプトを組んで使用していないアイデンティティを抽出したりする必要がありましたが、Okta Identity GovernanceによりOkta上でグループやユーザー、アプリなど任意の条件を設定し、スケジュールを組んで定期的にアイデンティティの棚卸しを実行できるので、大幅に負荷を軽減できます」(小野氏)
ハブアンドスポークによってアイデンティティ管理を効率化
ITデジタル統括本部が今後注力していくのが、グローバル全体のITレイヤーの整備です。日立グループでは大規模なM&Aが行われていることもあり、ビジネスポートフォリオが大きく変化しています。今まではITデジタル統括本部が中心となりオペレーションも担ってきましたが、時差の関係などで現地からの要望にタイムリーに応えられない場合が出てくるなどの課題に直面しています。
このような課題への対応として、Oktaの「Hub & Spoke」構成を活用していくことを検討しています。Hub & Spokeを利用すれば、本社側(Hub)でアイデンティティやセキュリティ、監視、全社共通で利用するアプリケーションの一括管理を行いながら、各拠点や事業部門(Spoke)ごとに独自利用するアプリケーションの設定が可能となります。
「統制や運用コストの観点で、グローバルで単一テナントでの管理が理想であると考えていますが、M&Aでの事業統合や事業分割などの実際のビジネスシーンを考えると、柔軟な対応が必要となります。そのため、テナント構成のベースラインとして、統制していきたい認証などの機能はHub側でコントロールできるようにしていく予定です。もちろん、ビジネスや各国の法律対応のため、Spoke側にも権限の適切な委譲が必要になります」(小野氏)
大規模エンタープライズ環境に最適なアイデンティティソリューション
ITデジタル統括本部がOkta WICを導入当初から長きにわたって採用し続ける理由を尋ねると、それは「テクノロジー」によるところが大きいと言います。
「Okta以前に使っていた認証ソリューションはオンプレミスを前提としていたものだったため、クラウドの最新テクノロジーへの対応が遅れがちでした。Oktaはクラウドネイティブなので、最先端技術のキャッチアップがとても早い。また、Oktaの動向を参照することで、最新トレンドにキャッチアップできることがOktaを継続採用する一番の理由です」(田中氏)
「業務の土台としてのインフラをクラウド化し、アジリティを強化することができるのか当初は大きな不安を感じていました。しかし、Okta WICを利用して、ITインフラならびにサービスのクラウド化がスムーズに進んでいます。今ではOkta WICは当社のクラウド中心のITインフラに欠かすことのできない重要なコンポーネントになっています」(小野氏)
また、ITデジタル統括本部では「キャパシティ」、そして「サービス設計」の面で、Oktaが大規模エンタープライズ環境にもしっかりと対応できる点も高く評価しています。
「これまでのITインフラをクラウドリフトする過程で直面した課題は大きく2つあります。1つは、多くのユーザー数を抱える基盤を一気にクラウド化することにより、想定外の負荷を原因としたキャパシティ不足、もう1つは、規模が原因で発生する運用課題へのベンダー側の対応経験不足です。そうした課題にも真摯に向き合い一緒に取り組んでいただける点がOktaを採用している理由の一つでもあります」(小野氏)
「Oktaとは単にサービスを使う側と提供する側という関係ではなく、しっかりとしたパートナーシップを構築できていることが、安定したインフラの構築につながっています。引き続き今後も当社の意見に耳を傾けていただきたいですし、さまざまな新しい提案をいただけると期待しています」(田中氏)
日立製作所について
明治43年、小平浪平創業社長と彼の志に共感した数名の若いエンジニアたちによって最初の一歩を踏み出した日立製作所。「優れた自主技術・製品を通じて社会に貢献する」を企業理念として、社会インフラに関わる幅広い分野においてデータとテクノロジーでサステナブルな社会を実現する社会イノベーション事業を推進しています。エネルギーや鉄道で脱炭素社会の実現に貢献する「グリーンエナジー&モビリティ」、産業流通、水インフラ、家電・空調システム等の幅広い領域でプロダクトをデジタルでつなぐ「コネクティブインダストリーズ」を通じて、グローバルで社会イノベーション事業のさらなる進化と成長をめざしています。