「Okta」を選んだアサヒグループが考えるアクセス管理の難しさ

今回は「「Okta」を選んだアサヒグループが考えるアクセス管理の難しさ」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　企業向けアイデンティティー（ID）管理のサービスプロバイダーであるOkta Japanは5月にオンラインとオフラインの両方でイベント「Okta City Tour Tokyo」を開催した。イベントでは、Identity as s Service（IDaaS）である「Okta」の更新内容や顧客事例が披露。「アサヒが考える、境界線の再定義で実現される新しい世界とは」と題された講演にアサヒグループジャパンが登壇した。

　アルコー飲料や清涼飲料水などを提供し、誰もが知るアサヒグループだが、アサヒグループジャパン DX統括部マネージャ 清水博氏によると「（売り上げの）4割強が海外で、ロンドンを中心に西欧や中欧が主要」。約3万人を数える従業員も国内以外に欧州や東南アジア、オセアニアに散らばっている。

　そのためアプリケーション開発や多様なアクセス管理を求められるが、オンプレミスのActive Directoryで管理していた状態だ。情報システム部門から見たシングルサインオン（SSO）は「プロジェクトや業務改革では、業務要件に含まれていない。だが、グローバル展開する上でアクセス制御は国内外におよぶ」（清水氏）ため、約3年前に自社アプリケーションの認証・認可から着手した。

　アサヒグループは開発過程で認証と認可を分離する必要性に気づいたものの、最善なシステムを築くには最新技術への追従など高コストになると判断にいたり、Oktaにたどり着く。Okta導入で「自社にとどまらないアプリケーションの認証・認可に衝撃を受けた」（清水氏）

　上図はアサヒグループジャパンで構築したシステム構造である。Office 365や自社アプリケーションを含むSoE（Systems of Engagement）領域のモダン化は完了しているが、業務データを記録するSoR（Systems of Records）はオンプレミスのデータセンターで管理している。

　両者を接続するための中間領域を抽象化して、Oktaを配置することで「すべてのアプリケーションが認証・認可対象」（清水氏）とした。社外からの社内アプリケーション利用を可能にし、企業サイトやキャンペーン紹介などを行う消費者（BtoC）向けサイトのID管理にも活用。範囲は卸業者など企業間取引（BtoB）領域にも拡大させている。

　清水氏は「アクセス管理のトレンドに自社では追従できない。Okta単一ではなく全体のアーキテクチャーにひも付け、中長期のセキュリティビジョンやゼロトラスト戦略に目を向ける」と持論を述べた。