クラウドファーストの考え方
Thoughtworks 社でテクノロジー運用責任者を務める Phillip Ibarrola 氏の仕事は、自社の IT システムの効率性と安全性を高め、社員がアクセスしやすい環境を整えることです。このことが、ソフトウェアコンサルティングのグローバル企業である同社にとってきわめて重要な理由は、社員の生産性が収益に直接影響するためです。したがって、社員がどこにいても確実に仕事ができるようにする必要がありました。
仕事の多様化とオフィスの分散が進み、会社がますます成長する中で、Thoughtworks 社は IT システムを大きく変化させました。「私たちは、従来のオンプレミスのホスティング環境から脱し、クラウドファーストの組織に移行しました」と Ibarrola 氏は述べています。クラウドベースのアプリケーションとシステムによってすばやい規模の拡大が可能になり、社員が毎年 10 ~ 15% 増える状況でも、従来のソフトウェアと比べてコストを削減できるようになりました。「2011 年には、クラウドが未来の仕事のあり方だと考えていました。そして今も、クラウドこそが市場の進むべき道だと考えています」と Ibarrola 氏は話します。
オンプレミスからクラウドへの移行に伴い、Thoughtworks 社はベストオブブリードアプローチをテクノロジに適用し、適切なツールやサービスをさまざまなベンダーから入手して利用することにしました。その結果、Microsoft 社の製品のみを使用する組織ではなくなったため、Microsoft 社製のサーバーを廃止し、アプリケーションスタックを多様化して、社員の大半に Mac ノートパソコンを配布しました。
扱いにくい IT エコシステムを合理化
Microsoft社製デバイスが減り、クラウドベースのソフトウェアが増えるにつれて、Microsoft社のActive Directoryに依存していることが問題となってきました。「当社のインフラストラクチャの中で、Microsoft 社の Active Directory の重要性が薄れ、関心もなくなってきました。Active Directory が当社の変化に合わせて進化することはありませんでした」とIbarrola 氏は振り返ります。
その結果、IT 環境が複雑で扱いにくいものになりました。たとえば、あらゆるプロビジョニングが、手動のプロセスかカスタム構築された統合によって行われていました。「すべてが雑然としていました。システムを Active Directory にリンクする動作を不安定にする同期スクリプトが数多く存在しました。扱いが難しく、メンテナンスも困難でした」と、Ibarrola 氏は説明しています。必須アプリ以外は新入社員に自動では割り当てられず、部署ごとに管理されていることが多かったため、特に問題となりました。IT チームがまるで交通巡査のように、複数の関係者の調整を行わなければならなかったのです。
Active Directory が同期に失敗したりスクリプトが正しく動作しなかったりした場合は、IT 管理者が膨大な時間と労力を費やして根本原因を突き止めるまで、他の社員はその間無駄な時間を過ごすことになりました。Ibarrola 氏は、「Active Directory のエラーが原因で社員が認証システムを通過できなければ、金銭的に大きな損失となります。ビジネスにとって重要なアプリに社員がアクセスできず、タイムカードの入力やクライアントへの請求処理を手動で行うことができません。つまり、仕事ができなくなってしまうのですから」と説明しています。
さらに、「私たちは Active Directory に対する専門知識がなく、専門家を雇うこともできないため、Active Directory を管理できない状況は大きなリスクでした」と続けます。
また、ノウハウがないことがセキュリティに関する重大な懸念を生み出していました。「当社の創業は25年前であり、ネットワークセキュリティについては旧態依然としたモデルを採用していました。Windows に対する専門知識が乏しいため、Active Directory サーバーの監視を最大限に強化することがおそらくできていませんでした。もし何者かが Active Directory サーバーに総当たり攻撃を仕掛けても、そのことに気づかないか、手遅れになって初めて気づくことになっていたでしょう」と、Ibarrola 氏は話しています。
重いサポートの負担
こうしたリスクを軽減するため、Thoughtworks 社は多要素認証(MFA)ソリューションとして RSA 社の製品を導入しました。しかし、RSA 社の製品は社員の生産性に悪影響を及ぼしました。ヘルプデスクチケットの 35% 以上が、RSA 社の物理的なセキュリティトークンの問題に関する問い合わせで占められるようになったのです。社員は MFA のプロンプトの入力にかなりの時間を取られ、MFA やパスワードリセットの過程で 30 分以上システムからロックアウトされることもよくありました。
Thoughtworks 社の社員の多くはリモートでノートパソコンやモバイルデバイスを使用して仕事をしていますが、このこともさらなる懸念を引き起こしていました。IT チームが初めて BYOD(個人が所有するデバイスの持ち込み)ポリシーを策定しようとしたとき、Ibarrola 氏は「BYOD とモバイルデバイスの管理を実施したら、信頼とオープンさを旨とする当社の企業文化にどのような影響があるだろうか」と考えました。そこで Ibarrola 氏とチームは、自社とクライアントの重要なデータを保護し、ポジティブなユーザーエクスペリエンスを提供するモバイル戦略を策定しようと決意しました。
オープン規格を採用するベンダーを検討
Ibarrola 氏は、成長を続ける組織と既存の戦略をITチームがサポートするには、大規模な変革が必要であることに気づいていました。そこで、SaaS を活用してサポートの負担を減らそうと考えました。「当社は急速に成長していたため、オンプレミスからクラウドへの移行に踏み切りました。従来のオンプレミスソフトウェアでは、社内の IT チームがこの成長に対応できなかったからです」と Ibarrola 氏は説明します。
IT チームはまず、重要なビジネス生産性アプリケーションの問題に取り組みました。2,000 人を超える社員のアプリケーションを、Microsoft 社のオンプレミスビジネススイートから Google Apps に移行したのです。次に、RSA 社の扱いにくい MFA ソリューションがもたらす問題と、社員がアプリケーションにアクセスできなくなる問題に対応しました。Ibarrola 氏は、自社のクラウドへの移行を完全にサポートできる、優れたアイデンティティ管理システムを探しました。「IT チームのためだけでなく、エンドユーザーのためにも、状況を改善する取り組みを行う必要がありました」と振り返ります。
Ibarrola 氏は、オープン規格を採用することが、相互運用性を確保し、ベストオブブリードなアプローチでアプリケーションを利用できるようにするための最適な方法だと確信していました。「探していたのは、オープン規格をサポートし、クラウドを迅速に採用できるシングルサインオンソリューションでした」と Ibarrola 氏は話しています。
クラウドアーキテクチャで安全なアイデンティティ管理を実現
Ibarrola 氏は、さまざまなアイデンティティおよびアクセス管理ソリューションを検討した結果、Okta Identity Cloud を採用しました。「Okta は群を抜いてすばらしいソリューションでした。あらゆる要件を満たし、間違いなく真のクラウドアーキテクチャと言える製品です」とその理由を説明しています。Ibarrola 氏はまた、OktaのAdaptive MFA が提供する柔軟性も評価しています。「Okta を利用することでユーザーエクスペリエンスにもたらされた最大のメリットは、多要素認証です。以前のソリューションと比べて、設定がはるかに簡単でした」
ThoughtWorks 社の IT チームは、Okta の Universal Directory のおかげで、柔軟なクラウドベースのユーザーストアを導入し、ユーザー属性のカスタマイズ、整理、管理を行えるようになりました。さらに、Okta Lifecycle Managementとアクセス要求ワークフローを導入し、アプリケーションのプロビジョニングのセルフサービス要求をビジネスオーナーに委任するプロセスを自動化しました。「その結果、ユーザーエクスペリエンスが向上し、より短時間でスムーズかつダイレクトに対応できるようになりました」とIbarrola氏は話しています。また、ITチームはユーザーとビジネスアプリケーションオーナーの単なる仲介役ではなくなったため、プロセス全体が合理化されました。
Active Directory への依存を解消
Ibarrola 氏とチームは、Okta Identity Cloud の配備によって、Microsoft 社の Active Directory をインフラストラクチャから削除できることも確認しました。「Active Directory の利用をやめたいと考えていました。不安定で、リスクがあるからです。その上、より優れた代替手段がありました」と Ibarrola 氏は話しています。また、Active Directory を廃止すると、IT 環境全体が合理化され、セキュリティが強化されるだけでなく、コストも削減されます。Ibarrola 氏は次のように説明します。「これはもう 1 つのメリットでした。エンタープライズ契約から Active Directory を取り除くことで、Microsoft 社の製品にかかるコストを全体的に削減できました」
Ibarrola 氏の戦略は 2 段構えでした。まず、Active Directory のインフラストラクチャに依存するアプリケーションやその他のリソースを新たに追加するのをやめました。「これによって、移行の管理が簡単になりました。明確な線引きが必要だったのです」と Ibarrola 氏は振り返ります。
次に、Active Directory の各コンポーネントを置き換える作業を戦略的に実施しました。Ibarrola 氏とチームは、Active Directory に依存していたアプリケーションとリソース(プリンターやネットワークを含む)をすべて特定しました。「きわめて詳細なリストを作った後、まず優先リストを作成しました。次に、コンポーネントを 1 つずつ無効にして、Active Directory が利用できない状況を徐々に作り出し、社員を Active Directory から遠ざけるようにしました」
Active Directory の廃止プロセスは慎重に計画して実行する必要がありましたが、そうするだけの価値は十分にあったと Ibarrola 氏は話しています。「Active Directory を利用した認証を廃止したことは、すでにメリットをもたらしています。Active Directory が当社のインフラストラクチャの重要な要素ではなくなったため、不安が大幅に軽減されました」
ネットワーク機器と Wi-Fi 機器は今も Active Directory に接続されていますが、半年後には Active Directory が Thoughtworks 社から完全になくなると Ibarrola 氏は予想しています。
時間と費用を節約
Thoughtworks 社は現在、100 を超えるクラウドアプリを Okta に接続しています。「当社はかなり前から、コアサービスのほとんどでクラウドファーストのアプローチを採用しています。初めて G Suite に移行したのは 2008 年のことで、Okta、Zoom、Box などを早くから導入したことも誇りに思っています。当社の分散化された多様な仕事環境でコラボレーションを可能にするこうしたツールは、すべてクラウドで管理されています。これが未来の仕事のあり方なのです」
また、Okta Lifecycle Management で 16 のアプリを管理できるようになったため、手動のオンボーディングとオフボーディング、それにトラブルシューティングが不要になり、1,000 時間以上の時間を節約できました。
オンボーディングは、予測可能性が以前よりはるかに高まり、エラーが起こりにくくなりました。新しい社員の初出社日には、必須のアプリが正しくプロビジョニングされています。社員が辞めた場合は、IT チームがすぐにその社員のアクセス権を取り消し、データと知的財産権を保護できるようになりました。さらに Thoughtworks 社は、Okta のレポート機能を使用することで、監査への備えを進めています。また、効率的なオフボーディングが、クラウドベースのアプリケーションにコスト上のメリットをもたらしています。「アクセス権を適切なタイミングで取り消すことで、ライセンスやサブスクリプションにまつわるコストを管理できます」と Ibarrola 氏は指摘します。
ThoughtWorks 社では、Okta の適応型多要素認証の使用によって、パスワードや MFA の資格情報のリセットに利用されるヘルプデスクチケットの数を合わせて 90% 削減し、800,000 ドルを節約しました。さらに、プッシュ機能付き Okta Verify と柔軟なポリシーフレームワークを使用することで、エンドユーザーも MFA のプロンプトに入力する時間を大幅に短縮できました。その結果、社員の生産性が 400,000 ドル以上向上しています。Thoughtworks 社自体も、セキュリティの改善によって、200,000 ドルのコストを削減できました。また、Okta のおかげで、コストがかかっていた 25 のアプリの統合メンテナンスが不要になりました。RSA 社製品の廃止により、さらに 50,000 ドルの節約が実現しています。しかも、システムの停止回数が減少したため、生産性が 300,000 ドル向上しました。
Ibarrola 氏は、「Okta は当社のすべての認証機能になくてはならないものです。あらゆる監視機能と分析機能を備えているため、私たちは以前よりはるかに確信が持てるようになりました。当社はパスワードとメインのアイデンティティストアに Okta を使用しています。このような情報は、自社で保護するより、Okta の専門チームに保護してもらったほうがはるかによいからです」と話しています。
さらに Ibarrola 氏は、Thoughtworks 社にまだ残っているオンプレミスの Linux サーバーのために、Okta のアドバンストサーバーアクセスを実装する準備を進めています。「パートナーとして、そしてベンダーとして、Okta はすばらしい取引相手です。現状や今後の計画をすべて明らかにしてくれます」と Ibarrola 氏は語っています。
Thoughtworks 社について
Thoughtworks社は20年以上の歴史を持ち、情熱と目標を持つ社員が集まったグローバルなソフトウェア企業です。シカゴの小規模企業としてスタートした同社は、7,000人以上の社員を抱える企業に成長し、14カ国に43のオフィスを構えています。
