1. SSO/IDaaSのGMOトラスト・ログイン
  2. 導入事例
  3. 株式会社プレステージ・インターナショナルさま

導入事例

個人任せのIDパスワード管理を統括。
信頼されるサプライヤーとしてIDaaSで現場を管理

株式会社プレステージ・インターナショナル
情報セキュリティ室 室長

川野 研一 さま

株式会社プレステージ・インターナショナル
情報セキュリティ室 スーパーバイザー

仁部 友裕 さま

職種によって「ワンタイムパスワード」と
「クライアント認証」を活用。
働き方や環境にあった形で従業員に負荷なく認証強化を実現

今回必須要件の「多要素認証」はどのような手段・運用で実装していますか。

(仁部さま) BPO拠点内でフリーシートの共有デバイスユーザーと、個人貸与の職種かによってGMOトラスト・ログインでの多要素認証手段を使い分けています。フリーシートで共有デバイスを利用するユーザーの場合は「クライアント証明書」を使って、GMOトラスト・ログインの企業IDが含まれている証明書がインストールされているPCからであればいずれのPCからでも利用を許可されている状態をつくっています。個人毎のクライアント証明書を1台1台にインストールすることは現実的ではないので、この使い方は自社のようなデバイスを共有する環境がある場合に有用だと思っています。 個人にPCを貸与している従業員においては、「スマホワンタイムパスワード」を適用しています。スマホやPCなど複数のデバイス環境を利用することも加味し、柔軟かつ初期の稼働がスムーズな手段にしています。

GMOトラスト・ログインを利用して、効果を感じていただいている変化はありますか。

(川野さま)まず大きく変わった点としては、今までパスワードを何かしらでリスト化してコピー&ペーストしていたようなユーザーが、1クリックでログインできるようになったことで工数削減に繋がったと感じています。 結果として、個人がIDパスワードを覚えたり管理する必要がなくなった分、IT部門へのパスワード忘れやリセット依頼といった影響も各段に減少していると思っています。 これまでIDパスワードの管理方法は個人任せだったため、会社として管理方法を統一化して提供することで、余計な管理負担を減らし、組織としてスマートな環境づくりに繋がっていると思います。

GMOトラスト・ログイン導入時のハードルなどはありましたか。

(仁部さま) 弊社の場合、レガシータイプのアプリケーションが非常に多いんですね。検証時にGMOトラスト・ログインで対応しておらず、SSOができないアプリケーションがいくつかあったことで初期ハードルになるかと思いましたが、サポート・開発の方とお話ししアプリのカスタマイズに対応してもらえたことでクリアすることができました。

(川野さま)運用面に関しては、当初ユーザー部門からも既存運用が変更になることへの不安も上がっていました。この不安の声に対しては、営業部門と連携してTISAXで必須条件である点や、セキュリティ強化の必要性という背景もあることを説明をして、理解と協力を得られたことで現時点までも特段問題も起こらずに運用できています。

GMOトラスト・ログインの活用を含め、今後のセキュリティ対策への取り組みや展望がございましたらお聞かせください。

(仁部さま) 現在IT部門で1人、GMOトラスト・ログインの管理・運用担当を置いているのですが、アカウント発行を今後自動化したいと考えています。初期フェーズとしては、ひとまず受付申請を電子化しようとしていて、次のフェーズとして申請情報からGMOトラスト・ログインのアカウントを自動発行できるようにして、IT部門の手間も削減できるようにしていく方向で考えています。

(川野さま) 組織としては、クライアント様が多数いらっしゃる分、ある程度1つ大きな基盤システムを持っているものの、それ以外のクライアント様に関しては個別でシステムが立っています。且つ、オンプレミスとクラウドがそれぞれ立っていたり、一部はクライアント様からシステム提供を受けているケースもあったりと、プラットフォームとして均一に運用することがなかなか難しい点があります。

また、自社で取得しているISO認証に準拠した運用をしているものの、当然そこでよしと言っていただけるクライアント様と、それ以上のものを要求されるクライアント様がいらっしゃいます。今回のオートモーティブ事業部ですとTISAXという業界基準のようなものがある分、当然要求内容が変わってくれば実装が必要なツール、ソリューションも変わってきますので、どううまくクライアント様の要求に応えながら対応していくか、という調整はプロジェクトごとに判断して対応していく必要があるのかなとは思っています。

GMOトラスト・ログインの導入を検討されている会社に一言お願いします。

(川野さま)そうですね、大きくは2つで、1つは「製品比較はしっかりと行うこと」はまずお伝えしたい点ですね。
各社さんで重要視されるポイント、比較ポイントはいくつかあると思いますが、プライオリティが高い点・譲れない点、逆に落としてもいい点も変わってくると思います。一度フラットな視点で製品比較はした方がいいかなと思います。

2つ目としては、我々の導入経験からできるご提案とすれば、「ユーザー部門への説明と理解を得ること」は非常に重要です、という点です。 今回は、事業上クライアント様に関わるTISAXの認証という経緯がありましたが、往々にして、IT部門やセキュリティ部門は独断で製品を選定して導入してしまう傾向があると思うんですね。でも、実際に利用するのはユーザー部門であってユーザーが利用しづらい製品を導入してしまうと当然効率も落ちますし、効果もなかなか生み出せなくなります。 もちろんユーザーとしては既存の運用変化を好まないとも思いますが、導入背景や理由、「ユーザー視点でいい機能を入れます」「こう改善をします」と説明するかどうかで、ユーザーの受け止め方も初動も変わってきます。私も仁部も元々IT部門の出身なのでこういったケースを非常に多く経験してきましたので、既存の運用から変更する際の説明は重要と考えています。 十分にユーザー部門に理解・同意を得ることができていたことで、今回のGMOトラスト・ログイン導入に関しても非常にスムーズでしたし、運用も大きな混乱もなく開始できたと思っています。 このような運用の初動や定着の面で、会社・組織としての説明は、新たな環境づくりやサービス導入の鍵になるかなと考えます。

貴重なお話をお聞かせくださり、ありがとうございました。