統合ID管理基盤システム導入事例
SOMPOひまわり生命保険株式会社
Notes廃止を機にID管理を再設計。Entra IDによるシングルサインオンで、 セキュリティ強化と利便性向上を実現。
セキュリティ向上、社員の利便性向上を目的に2017年頃よりSSO(シングルサインオン)の検討を開始した同社は当時、Excel申請やNotesワークフローに依存したアカウント管理の運用負荷、ガバナンス強化が課題であり、ID管理方法の再設計が求められていました。そこで同社はSWJと共に、LDAP Managerを中核に据えた統合ID管理基盤・ID棚卸の構築および、SSOを段階的に実現。運用負荷を軽減しつつ、セキュリティ強化および社員の利便性を両立する環境を整備しました。
お客様プロフィール
SOMPOひまわり生命保険株式会社
本社所在地:東京都千代田区霞が関3‐7‐3 損保ジャパン霞が関ビル
従業員数:2,712名(2024年度末)
URL:https://www.himawari-life.co.jp/
SOMPOひまわり生命は、「健康応援企業」として、保険本来の役割(Insurance)とお客さまの健康をサポートする機能(Healthcare)を組み合わせた新たな価値「Insurhealth®(インシュアヘルス)」の提供を通じて、豊かな人生や夢の実現をサポートできる存在となることに挑戦しています。
同社は2017年頃、社員の利便性向上を目的としたSSOの実現に向けた検討を開始。しかし、長年にわたるアカウント運用管理に、大きな課題を抱えていました。
情報システム部 IT基盤グループ 課長代理の大岩一雄氏は、当時の状況を次のように明かします。
「当社では長年、入社・異動・退職などのアカウント情報について、人事部が Excel で申請し、アカウント受付担当が目視で内容を確認したうえでデータベースへ登録、各システムへ情報連携を行う。その後、各システム担当者が連携された情報を基に、手作業でアカウントを反映するという運用を行っていました。人手による確認や差し戻し、修正、システムへの反映などの作業負荷がとても高く、また、システムごとにIDや権限の情報が分散していたため、ガバナンス面でも不安がありました。」
こうした背景に加え、長年利用されてきたNotesのEOS(End-of-Service)が迫るという状況も重なり 、同社はSSO実現の前段階として、統合ID管理基盤の整備に本格的に着手することとなりました。
統合ID管理基盤の整備に向け、同社は複数の候補製品を比較検討。最終的に、エクスジェン・ネットワークス社のLDAP Managerを選定しました。
大岩氏は選定の決め手を、「当時のIDaaSは機能制限が多く複雑な環境には不安があった一方、LDAP Managerは開発次第で柔軟に要件に適合できる拡張性が高く、コスト面も納得感があった。」と語ります。
製品選定後、JBCC株式会社がプロジェクトパートナーに選定され、その後の実装工程においてLDAP Manager固有の設定や連携方式に実績・知見を持つシステムワークスジャパン(以下、SWJ)が実装パートナーとして参画しました。SWJは、ID管理システム、およびID棚卸の設計・構築や既存運用との整合性を踏まえた移行方式の検討といった実装工程を担当しました。
同社には100を超える業務システムが存在するため、ID管理導入時の負荷軽減効果だけでなく、SSO実現時の効果(利用者数が多く、利用頻度が高い)を勘案し14システムを初期スコープとして絞り込みました。
並行して大岩氏とSWJは、各システム担当者に現行運用と課題をヒアリング・整理を共同で実施しました。約5,000ID、管理に関わる部門や人も多い中、一見すると似たような業務でも、システムごとに必要とするユーザー属性、申請ルール、権限の扱いが異なるといった事実が明らかとなりました。
この間のSWJの支援について、大岩氏は「属人的な運用だったため新たな要望が後から出てくることも多かったのですが、SWJの粘り強い支援で一つ一つ整理し、把握、新ID管理システムへ実装することができました」と評価しています。
さらに、長年の運用が積み重なっているため、業務フローを標準化せず“現状のまま”新基盤側で吸収する必要があり、これが実装をさらに複雑にしました。
大岩氏とSWJはヒアリング・整理結果を基に、ID管理システムで扱う属性整理や権限・申請フローのパターン化、例外運用の扱い方などを整理し、連携仕様を確定。コロナ禍による中断を乗り越え、約1年半をかけて、2022年2月に統合ID管理基盤を本番リリースしました。
大岩氏は「結果的に設計や構築は複雑になりましたが、SWJには LDAP Manager の製品仕様上できること、できないことを丁寧に整理してもらえたため、当社としても意思決定しやすかった。製品仕様上できないことについては、スクリプト開発することで対応する等、守備範囲も広く、難しい前提条件の中で、最後まで着実に実現してもらえたと感じています。」と述べます。
STEP2|Entra IDを活用したSSOの実現
統合ID管理基盤のリリース後、約半年の期間を経て基盤を安定化させ、2023年にSSOの構築に取り組みました。
SSOの方式検討では、端末認証の基盤としてMicrosoft Entra IDを採用。LDAP ManagerからActive Directory、そしてEntra IDへ自動同期される仕組みを踏まえて、Entra ID上のアカウント情報を用いて、各システムへのSSOを実現する方針としました。
しかし、社内システムにはSAML非対応のものが多く、統一が困難という課題が浮上。大岩氏は「各部署のシステム担当者向けに勉強会を開き、対応できるものはSAML認証へ移行していただくよう依頼しました。」と、現場への啓蒙活動も実施。こうした働きかけにより、統合ID管理基盤と連携する14+αのシステムでSSOが実現しました。
このフェーズにおけるSWJの支援を大岩氏は「このタイミングで認証基盤や SSO に詳しいコンサルタントの方を紹介いただき、多くの助言を得られました。ローンチ後、新しいシステムとの SSO 連携は内製で対応できており、これも大きな成果だと感じています。」と評価しています。
統合ID管理基盤の構築は、アカウント管理業務に明確な成果をもたらしました。従来、Excelによる申請受付や手作業でのチェックに依存していたプロセスの一部が自動化され、運用担当者の属人化・作業負荷が大きく軽減されました。
作業効率の向上という点では、アカウント発行までのスピードが飛躍的に向上。期末や期初など大量の登録が求められる時期も、この改善が大きな効果を発揮しています。「申請で最終承認が取れれば、30分後にはアカウントが払い出せる。これまで期限的に間に合わなかった申請も拾えるようになり、業務への効果も得ることができました。」(大岩氏)
SSOの実現により、システム毎のID・パスワードを管理・入力する必要がなくなり、ユーザーの利便性は大きく向上しました。管理側もパスワード忘れなどの対応がなくなり、運用負荷は大きく減少しています。
また、Entra IDを基盤とした端末認証により、セキュリティも一段と向上しました。「会社が管理する端末でなければ Entra ID 、SSOにアクセスできない仕組みを実現し、結果として金融庁のガイドラインで求められる多要素認証も実現しました。」(大岩氏)
同社は現在、グループ全体でのMicrosoft 365への移行に伴い、Copilotなどの生成AI活用を検討しています。大岩氏は、「AI活用時代において、認証・権限管理はさらに重要度が高まります。こうした点も、SWJに相談できればと思います」と語ります。
大岩氏は最後に、SWJへの評価と期待を次のように述べました。「SWJは要件の整理や方式検討など、難しい場面も丁寧に伴走してくれました。担当者の“最後までやり切る”姿勢への信頼も高く、今後も認証や権限管理の高度化に向け、相談しながら進めていきたいと考えています。」
