≡

• HOME
• ソリューション
• 製品情報
• 導入事例
• イベント情報
• 企業情報
• リクルート
• 

統合認証基盤（双日株式会社 様）

世界で活躍する“双日グループ”が新たな業務改善に挑む
巨大総合商社が抱えてきたシステム運用の課題とは？

双日株式会社は国内・海外を合わせグループ全体で400社余り、システムによっては利用ユーザが10, 000名の規模である。 グループ各社が利用するシステムは多岐にわたり、一元的な管理システムの設計・構築は単純にはいかない。 双日グループにおいて、“グローバル”で利用するシステムの統合運用基盤として求める、ID管理、シングルサインオン、ワークフローの特徴とは？

歴史ある商社としての「双日」

双日グループは、ニチメン株式会社と日商岩井株式会社の両社が、2003年4月に持株会社を設立し、 翌2004年4月に合併して誕生した会社である。両社は、開国、明治・大正期の産業革命、戦後復興、高度成長といった近代日本の発展の 過程で大きな役割を果たしてきた歴史ある商社として名高い。現在ではプラント、エネルギー、化学品、食料、農林資源、消費財など 各分野において幅広いビジネスを展開し、国内外の約400社の連結対象会社とともに世界の様々な国と地域に事業を展開している。 双日株式会社は、まさにグローバルで活躍する「世界基準の企業」である。

プロジェクトの背景

「今回のプロジェクトの狙いは、グループ全体での業務改善、すなわち利便性の向上と業務効率化にあります。 認証基盤、ID申請、システムへのシングルサインオン（SSO）とそれぞれに解決しなければならない課題がありました。」と ご担当者は話す。
双日では、スクラッチ構築した認証基盤のハードウェア更新やサポートの満了など、老朽化につながる問題に直面しており、 認証基盤の刷新が急務となっていた。また、業務面では、異動などの人事イベントで各システムにアカウントを作成する為の ID申請作業において、申請そのものが紙ベースの申請で実施され、人手を介した運用であったため、記載内容のチェックや ID登録業務など、システム管理者やサポートデスク側の運用負担も大きかった。
また、利用ユーザは申請の進捗状況が把握できず、いつシステムが利用可能になるのかなどの問合せ対応にも多くの運用工数を 必要としていた。さらに、双日では一般の社員でも最低五つのシステムを日常的に利用する必要があり、 それぞれパスワード情報が個別管理されているシステムに対するログイン行為の改善は、利用ユーザが強く求める情報系システムへの願いだった。
プロジェクトでは、システムの老朽化などの直面した問題の対応だけではなく、運用工数の改善や、紙・手動運用からの脱却、 さらに利用ユーザの利便性向上など多くの効果を実現するための抜本的な見直しから取り組み、新システムの計画に着手した。

新たなシステムの骨格

システム設計において重視した部分は三つあり、これが新たなシステムの骨格を成す。一つ目は老朽化した既存の認証基盤の刷新 およびActive Directoryとの連携によるパスワード情報の統合を目的とする新たな統合ID管理システムの構築、 二つ目は利用ユーザの利便性向上を目的としたSSOの導入、三つ目は紙運用からの脱却を目的としたID申請業務のワークフロー化である。

ID管理基盤の刷新とパスワードの統合

新しい統合ID管理システムは、機能を大きく二つに区分けすることができる。まずは、人事情報や組織情報などの源泉情報を取り込み、 会社や組織の所属や役職などの情報を元にして権限情報の生成を行い、組織異動や姓名変更ならびに利用システムの変更歴などの 履歴情報を管理する、源泉情報管理データベースとなるUser Management Database System(UMDS)である。UMDSは、情報管理だけではなく、 利用者に対して利用者自身の情報（所属情報などの基本情報や参照時点で利用権限を持つシステムなどのサービス情報）を提供する機能を有する。 双日および双日グループにおける特有の業務や情報の形態は、UMDSによるスクラッチ開発で柔軟に対応している。 また、世界中に展開しているActive Directoryや電子決裁システム、e-Learning、グループポータル（IBM Notesシステムで開発）など アカウントの連携先となる業務システムは多数存在する。これらの業務システムに対して、アカウントを伝搬するプロビジョニング機能には、 Micro Focus社のNetIQ Identity Manager（ NIM）が採用された。NIMの特徴は多くのシステムに対してイベント単位での連携が実行できるため、 配下のシステムに対してリアルタイムなID配信が可能である。さらに、NIMの機能である”Password Sync”を利用して、Windowsログインで変更した パスワード情報もリアルタイムでNIMに伝搬され、パスワード情報の同期を実現している。

海外拠点におけるSSO利用の課題

国内の多くの企業でも社内システム利用においてSSOを導入するケースは多いが、やはり国内利用を想定した設計やデザインとなっている。 双日および双日グループは海外にも多くの拠点があり、SSOの仕組みを海外でも、国内同様に利用したいという要望がある。 しかし、リバースプロキシ型のSSO方式では、アプリケーションを利用する度にSSOサーバとの通信が発生してしまう。 国内通信では問題にならないが、海洋を越え、国際ネットワーク網を経由し、SSO処理を行う場合、大きな遅延が生じてしまう。 海外にSSOサーバを構築すれば、コストや管理も増え、デメリットが大きくなってしまう。プロジェクトではこうした悩みを解決すべく、既存システムの活用もなされた。
グループポータル内で完結していたSSO機能を新規のSSOシステムと連携転用できるようプログラム開発し、独自認証方式として融合させた。 この既存システムは今後も使われ続ける予定であり、独自認証方式の採用はレスポンス問題を大幅に改善した。 まさに一石二鳥となる工夫であり、国際ネットワーク網でも遅延の影響を受けずにSSO環境が利用できることになった。 また外出先からPCを用いたシステム利用においてもVPN経由の統合Windows認証を実現したほか、スマホやタブレットを用いた アクセスにおいてもSSOログイン画面からのログイン利用を可能とし、社外でもその利便性は損なわれない。
なお、SSO基盤としては、ID管理との親和性を重要視して、ID管理と同様にMicro Focus社のNetIQ Access Manager（NAM）を採用した。 ログイン画面やパスワード初期化および変更画面は、製品が提供する画面を利用せず、利用者が使い易く、双日のパスワードセキュリティポリシーに準拠できる専用の画面を提供した。

ID申請ワークフローの一元化

双日および双日グループでは、IDやシステムの利用に関わる申請を全て“紙”で運用していた。 紙申請では、承認者不在による承認行為の遅れや承認者の妥当性が不透明などの課題や、組織変更や人事異動などの業務イベントが 発生した場合の、大量申請処理に多くの手間と時間を必要とした。また、申請者が利用できるシステムや申請状況を確認する仕組みも 存在していないため、申請内容が重複した申請書が回覧されてしまうのも運用工数を増加させる問題となっていた。
プロジェクトでは、双日グループにおける申請処理業務を、正確に把握する調査が開始された。長期間に渡る調査検討で国内外における 申請の流れや最適なフローの検討を進め、新たな機能を盛り込んだ“双日独自”のI D申請ワークフローを実装することが出来た。
紙からの脱却と題すID申請ワークフローデザインとして次のような特徴をもつ。申請機能では、新規申請を行う際に、 申請対象者の所属会社および組織や役職、雇用区分などの要素から、申請対象者が利用すべきシステムは起案時から“利用対象”としていることで、申請忘れを防止する。 また、申請対象者は自身が既に持つ権限を確認しながら申請を行うことが可能であり、また、申請後から最終承認までの間は、同一申請対象者の 申請ができないようにしているため、重複した申請書の回覧を防止する。このような防止策は、年間の申請書数を削減することができ、 ID申請に関わる運用工数の削減効果を生み出している。
また、承認機能では、国内および海外の管理職種の違いや国内グループ会社の規模や役割の違いから承認ルートに相違点が発生しており、 複雑な承認フローとなっていた。このため、一部の会社やシステムにおいては承認フローの統一を図り、また、次の承認者に回覧する際には、 様々な条件により対象の承認者を変える“次承認者条件設定機能”で対応した。また、この複雑な承認状態を申請者が確認できるように、 “視覚化されるフロー図”を組み込み、現在の処理状況をわかりやすくする工夫や配慮がなされた。
さらに、設計段階で潜在的な課題として挙げられたのが、発令された所属組織と実際に勤務している所属組織が異なるということだった。 このため、発令された所属組織では利用しないシステムを必要とする場合があり、システムの承認者では、その妥当性が判断できない事態が発生していたため、 都度、申請者に確認しなければならなかった。そのため、新たな試みとして、ユーザの実際の勤務地が異なる場合、ユーザ自身の所在地（業務部署）も登録する申請機能を設けた。 この機能の実装により、承認行為も発令所属上長と業務所属上長の両方の承認者に回覧することができるため、確実な承認を実現した。 当然、これらのシステム利用権限や所属情報は、利用者プロファイル画面と呼ぶ機能でいつでも確認することができる。

プロジェクト全体を振り返って

プロジェクトのご担当者は「当初の要件整理段階と実装に向けた設計・構築段階においては、実際には大きな乖離があったと思っています。」と話す。 「当初、調査活動やあるべき理想のシステムに関してプロジェクト内でもたくさん意見交換し、吟味いただきました。 しかし、実稼働システムにつき、実際に各担当者と協議していく中で、“グローバル企業はあるべき論だけでは、運用は狙いどおりにいかない”ということも 実感させられました。リアルな現場のオペレーションを理解し、さらに深く検討した上で何度も変更を重ね、利便性の向上やシステム担当の運用工数削減への貢献、 グループ全体の認証基盤構成の最適化と刷新ができたと感じています。」プロジェクトの最後には活動全体を省みる全体分析も実施している。 長期間にわたる貴重な経験を他のプロジェクトの準備にも生かせるよう、目標到達状況や時系列でのイベント確認など多角的な視点に立った確認作業も行われた。

お客様の声

「プロジェクトでは大変お世話になりました。長期間にわたるプロジェクトを私どもと一体となって推進いただけましたことに 感謝申し上げます。これからも良きパートナーとして、ご支援いただければ幸いです。」

関連製品

ユーザプロフィール