≡

• HOME
• ソリューション
• 製品情報
• 導入事例
• イベント情報
• 企業情報
• リクルート
• 

統合認証基盤（ソニー生命保険株式会社様）

アイデンティティ情報に基づいた認証基盤を中核にグループウェア「uP」サイトを本格稼動

情報システムサービスとインフラにより営業活動を強力に支援するソニー生命保険株式会社（以下、ソニー生命）では、この度「ロータス ノーツ／ドミノ」からWebベースのグループウェア環境に刷新し、「uP（アップ：ユニバーサル・ウェブ・プラットフォーム）」サイトの名称で2005年4月より稼動を開始した。新システムでは、職種の異なる6000ユーザを対象としており、個人ごとのアイデンティティ情報に基づいた正確なアクセスコントロールとタイムリーなID管理を実現するためにシステムの中核にメタディレクトリによる認証基盤を導入した。

ノーツをリプレース理想の業務プロセスは、認証基盤を中心とした複数パッケージから

ソニー生命は、生命保険業界で最初に「ライフプランナー制度」を導入し、コンサルティングによるオーダーメイドの生命保険を提案するなど、常に革新の時代をリードするリーディングカンパニーである。また、お客様に正確かつタイムリーなサービスを提供する基盤として、全拠点のネットワーク環境やひとり1 台のパソコン配備などの情報システム環境も生命保険業界で最も早く整備している。このソニー生命の業務システム、事務プロセスの改革をミッションとし、特に情報インフラの企画、構築を担当する業務プロセス改革本部　情報システム2 部　IS 企画2 課の三氏に「uP」サイトにおける認証基盤構築について伺った。
ソニー生命では、ライフプランナーによる住宅ローンの取り扱いなどの商品の多様化に伴い、正確な情報をお客様に提供できる更なる快適なシステム環境が要求されていた。
10 年ほど前から4000 名の社員が日々の業務に利用していたノーツのグループウェア環境を、3 年前にWeb ベースへ移行する検討に入った。
「ノーツなどの統合型のグループウェアは機能が多い分、仕事の流れがある程度決まってしまい、理想の業務プロセスを追求す妨げになるとのことから自社で必要な機能を持つ複数のベンダーのパッケージ・ソフトを組み合わせることとした。」（後藤氏）
そこで問題となったのが、ユーザのパスワード管理と入力操作であった。利用するパッケージ・ソフトを起動する度にパスワード入力をしなくてはならず、10 個ものパスワードを記憶しなければならないユーザもいた。そこで複数のパッケージ・ソフトに対するSSO（シングルサインオン）システムの導入検討を開始した。同時にそれら個々のシステムの持つアカウント情報やその有効性を的確にコントロールする必要性に着目し、メタディレクトリによるユーザアカウントの統合管理基盤を形成しシステムの中核に据えることにした。
｢この“ユーザアカウントの管理”は、後回しにされがちなシステムであるが、個人のアイデンティティ情報に基づいたアカウント管理は、ユーザビリティの向上だけでなく正確なアクセス権限の付与や失効アカウントの即時対応など、情報漏洩対策としても重要な要素であり導入は自然であった。」と後藤氏は説明する。

グループウェアの置換えと認証基盤を同時に構築

新グループウェア環境は、ポータル、ドキュメント管理、ワークフロー、メール、SSOの異なるベンダーのパッケージ・ソフトから構成された。その認証基盤となるメタディレクトリは、各社の製品を比較検討した結果、3 年前の時点で既に多くの構築実績が紹介されていたNovell eDirectory とNovell DirXML で構成することとなった。
通常、認証基盤の構築では、連携先のサブシステムで必要となる部署、役職や職種といった属性情報の洗い出しからメタディレクトリのロール情報の設計を行い、各サブシステムに対してのドライバ開発を行うが、「本件ではノーツからグループウェアの置換えと平行して、認証基盤の構築作業を開始することとなり、一つのサブシステムの問題点がSSO や認証基盤まで波及する場合があった。」と小出氏は開発時の苦労話を紹介する。
このように連携先サブシステムと認証基盤の同時構築という特異な環境での開発となり、しかもメタディレクトリの設計は、そのパフォーマンスや連携するサブシステムの追加時の拡張性に影響を与えるので、検証を重ねながらの開発となった。アカウントの連携先は、上記のパッケージの他Windows認証システム、ホストなど10 のサブシステムとなったがLDAP 未対応の連携先もあり、直接連携できない場合はXML やCSV などのテキストファイル形式での連携とした。
また、正規入社と途中入社、定期人事異動と不定期な人事異動、自己退職と定年退職など人と組織の変更タイミングがそれぞれの状況により異なるために、ユーザ情報反映のタイミングが問題となった。
「退職の場合は直ぐにアカウントの削除が必要となりアカウントの即時同期が求められ、定期的な変更であれば、予め変更データを登録して反映タイミングをスケジューリングできる事前登録システムが必要であった。これは、メタディレクトリ内部のeDirectoryに事前登録のユーザオブジェクトを持つことにより、DirXML にイベントを起すタイミングを調整することで解決した。」と斉藤氏は説明する。
認証基盤の導入により、本社内勤社員、ライフプランナー、サポーター、パートナー、協力会社社員の異なる職種である6000 名のアカウントの連携管理が可能となり、入社や退職、人事異動時には人事システムのユーザ情報の変更・削除をメタディレクトリに対して反映するだけで、連携する10 のサブシステムのアカウント情報も即時同期させることが可能となった。

ソニー生命「uP」サイトシステム構成図

予想以上の効果によりアカウント管理の社内版ASPも視野に

今後一定の平行運用期間を経てノーツのデータベース内のデータを順次「uP」サイトへ移行する予定である。ブラウザから「uP」サイトを立ち上げてSSOによる認証を通れば、他のアプリケーションを起動することなく必要な情報にアクセスできるので、ユーザの反応は予想した以上に良いものであった。
また、「今回のメタディレクトリによる認証基盤の構築により、手作業でのアカウントデータの入力処理は無くなり自動同期が可能となったため、異動時期になれば作業負荷は従来に比べて大幅に削減できるであろう」と当初の期待以上の効果が見込めると言う。（斉藤氏）
パートナーと呼ばれる代理店は、これまでアクセス管理ができずにノーツには参加していなかったが、新システムではパートナーのアカウントも管理対象としており、正確なアクセス管理により「uP」サイトの利用が可能となった。次フェーズではこのパートナーに対するスキーマの拡張を行う予定である。
また、「現在、異なるID で管理されているソニーグループ全体の健保組合とのSSO 連携も検討しており、更に、給与明細のWeb照会サービスなど社外委託しているサービスに関するパスワード管理はユーザ任せとなっているが、これも連携することにより、社内版アカウント管理のASP サービスへも展開したい。」と後藤氏は今後の展開と希望を語った。
最後に今回の認証基盤の設計・開発から構築まで担当したアクシオに対して「アイデンティティ管理ソリューションのプロフェッショナルとして、今後のシステム拡張や運用フェーズにおいてもそのノウハウに大いに期待しており、またマルチベンダとして構築する立場からの製品情報やアドバイスを提供する言わば製品に対する“目利き役”としても期待している。」（後藤氏）とのことであった。

関連製品

ユーザプロフィール