企業におけるSaaSの利用が加速している。業務系の国産SaaSも普及してエンドユーザーの選択肢も広がっているが、その裏側ではアイデンティティ(ID)とパスワード(PW)の管理、複数SaaS間のシングル・サインオン(SSO)をどう確保するかというセキュリティ面での新たな課題も生じ、情報システム部門における悩みの種になっている。
そこで今回、クラウド人事労務ソフト「SmartHR」を提供する株式会社SmartHRのプロダクトマーケティングマネージャー 高松泰嗣氏と、ID・アクセス管理サービスの「Azure Active Directory(Azure AD)」を提供するMicrosoft Corporation Azure AD Strategic alliance team Program Manager 佐藤沙里那氏が、効果的なSaaS利用の管理、セキュリティ対策の実装などについて語り合った。
Azure ADサービス初期からのパートナーシップ
―両者の関係性について教えてください。
高松氏SmartHRは2019年にSAML2.0の認証方式に対応したのですが、その時から正式にAzure AD連携を開始しまして、今のようなパートナーの関係となったのはそこからですね。以降、マイクロソフトさんには色々とサポートしていただいています。
佐藤氏マイクロソフトには様々なプロダクトやサービスがあるので、製品によって見方が変わってくるのですが、Azure ADの観点では、SmartHRさんはしっかりAzure ADと連携してエンドユーザーに使っていただいており、とても重要なパートナーです。
高松氏ありがとうございます。
佐藤氏Azure ADでは、エンドユーザーがSSOの構築やプロビジョニングの展開を簡単におこなえるようにするために、サービス連携している外部のソリューションをまとめた「アプリケーションギャラリー」を用意しているのですが、SmartHRさんはまだ私のような日本を担当する人間が見ていない、日本ではサービスが本格化していない時期から製品連携してギャラリーにも登録され、初期からのパートナーとして一緒に活動させていただいています。
SmartHRがAzure ADと連携するメリットとは
―SmartHRは直接ユーザー部門が選定して導入するというイメージですが、サービスの機能面以外のところでAzure ADと連携している価値や、連携していることでユーザー企業に伝わるメリットとはどういう部分になるのでしょうか?
高松氏ご指摘の通り、SmartHRを導入する際は人事や労務の担当者と直接我々が商談をさせていただくケースがほとんどです。ただし、SmartHRは人事・労務部門だけで完結するサービスではないんですね。給与明細の配布や年末調整の情報を回収するなど、従業員の方々に直接触っていただくサービスでもある訳です。すると従業員規模が数百、数千名という企業では、誰がどこでどんなシステムやSaaSを使っていて、どんなパスワードを設定しているか管理が困難になります。そのため人事・労務の担当者が導入を検討する際に、情報システム部にセキュリティ面のチェックを依頼し、製品の選定にも参加する形になります。
―情報システム部門としては管理しなければならないものが増えるので、現場がSaaSを活用することには慎重になりますよね?“待った”がかかることもあると聞きます。
高松氏そこで我々は、セキュリティ対策が万全なIdentity Provider(IdP)という認証サービスで管理をしましょうと提案することがあります。この時にAzure ADであればMicrosoft 365などのマイクロソフトのクラウドサービスを利用していれば、SmartHRを導入する時に別途サービスを契約しなくて済むだけでなく、情報システム部門が懸念するセキュリティの課題も解消されます。その結果、情報システム部門への負担が少なくなります。これは多くの情報システム部門担当者様から喜ばれています。
―Azure ADは無料で使えるんですか?
佐藤氏Azure ADはMicrosoft 365(Office 365含む)をご利用のお客様はサービスに標準で含まれているので、個別に購入いただく必要はありません。プレミアムライセンスもありますが、SmartHRさんのようなサードパーティのアプリとの連携はどのライセンスでもご利用いただけますので、Microsoft 365(Office 365含む)を使っていれば、SmartHRの機能を使いたい、連携したいという場面で追加費用が掛かることはありません。
PWの使い回し問題と個別カスタマイズ要求に
―改めて、SmartHRを導入する際に情報システム部門が懸念するポイントを教えてください。またそれをAzure ADを介することでどう解消されるのでしょうか。
高松氏SmartHRを導入することで、情報システム部門が管理するサービスが増えます。その際にPWの使い回しが発生する可能性があり、セキュリティを確保する観点から心配事が増えてしまいます。またPWに関しては、各社のセキュリティポリシーに合わせるため、例えばPWの文字数を増やしたいなどの個別カスタマイズ要求も出てきます。
SaaSという仕組み上個別対応は難しいことが多いのですが、Azure ADと連携することでPWに関するリスクを回避するだけでなく、多要素認証や条件付きアクセスといった高度な認証機能も活用できるようになります。つまり、お客さまのセキュリティ要件に合わせた管理とアクセス制御が可能になるのです。
佐藤氏Azure ADに関して、高松さんからIdPとしてのご紹介がありましたが、私たちとしてはセキュリティ対応の面をしっかりお伝えしたいですね。サイバー攻撃手法は高度化・複雑化し、日々進化しています。ですので、SmartHRさんのようなSaaSベンダーには、自らの領域にしっかり注力していただいて、セキュリティの部分は私たちに任せていただけるように、しっかり製品開発をおこなっています。
ゼロトラストのコンセプトを備えたAzure AD
―具体的にAzure ADはセキュリティ面でどこが優れているのでしょう。
佐藤氏話の流れでPWのところからお伝えしますと、PWを忘れた場合や漏えいのリスクがある場合にはすぐPWを変更する必要がありますが、Azure ADにはシステム担当者の手を借りなくても各々がすぐ対応できる「パスワードリセット」機能があります。1分程度で自分のID/PWを変更して登録ができます。その際に入力時に何文字以上とか、推測されやすいPWをはじくなど、安全性に配慮した機能も備わっています。
このほかにエンドユーザーから評価が高いのが、「条件付きアクセス」(※Azure Active Directory Premium Plan1以上で利用可能)の機能です。現在はユーザーが管理する情報が増え、BYODで会社の資産にアクセスする端末も増え、SaaSを10-20種類と利用することも珍しくありません。これら全てを情報システム部門が管理して、誰がどこにアクセスしているか把握することは非常に難しくなっています。
その際にAzure ADのID管理下に情報を置き、条件付きアクセスを利用することによって、ユーザーごとのアクセスコントロールやセキュリティの強度の調整、安全と評価されたデバイスだけを特定のファイルやデータにアクセスさせるなどといったアクセス制御を、自動的に行えるようになります。
―ゼロトラストのアプローチですね。
佐藤氏そうです。条件付きアクセスを活用していただければゼロトラストのコンセプトに合わせたユーザー管理が可能になります。さらにAzure ADを介して連携していただくだけで、自社のゼロトラストの世界観をSmartHRのサービスにも適用することができます。
つまり、SmartHRさんにはお客さまがより使いやすいプロダクトにすることを目指していただいて、そこの下支えとなるセキュリティの領域はマイクロソフトが守っていくという形が形成されている訳です。これがまさにパートナーシップだと思っています。
高松氏そうですね。佐藤さんのお話を伺って、非常に心強く思います。SmartHRでもセキュリティを強化する計画もロードマップに入れてありますし、導入に際しても人事・労務担当のお客さま向けにセキュリティチェックシートを用意するなど、十分に対策はしています。ただし我々のサービスはIdPではないので、そこは頼れるパートナーの力を最大限活用させていただきながら、人事・労務面で使いやすいソフトウェアサービスを作っていくことに軸足を置いていきます。
―セキュリティ面以外にマイクロソフトでは、SmartHRユーザーがAzure AD連携の仕組みを実装する際の支援はしているのでしょうか。
佐藤氏Web上でガイダンス的なチュートリアルを用意し、簡単にSmartHRとAzure ADがSSOできるための準備をお手伝いしています。
高松氏ちなみに私もAzure ADとSmartHRの連携を設定してみたのですが、チュートリアル通りに操作すればすぐに連携できました。恐らくシステム担当者であれば、何の問題もなくできるレベルかなと。
佐藤氏そうですよね。
高松氏慣れていない他部署の方でも、テキスト通りに進めていただければSSOを設定していただくことは可能だと思います。
日本企業の安全なSaaS活用のお手本に
―今後の両社の展開については何か考えていますか?
佐藤氏Microsoft 365ユーザーの中には、SmartHRを利用している方も多くいらっしゃるそうなので、今後も機能面含めて密接に連携させていただければと考えています。また、SaaSそのものを利用されるお客さまがさらに増えることを望んでいます。これから様々なお客さまが新しい働き方を求めてSaaSの利用を増やし、ID管理をしっかり考え始めているところだと思いますので、SmartHRさんと共に様々な情報を発信させていただきたいです。
高松氏そうですね。我々としても今後、Azure ADとの連携をもっと強化していきたいと考えています。例えば、Azure ADの新機能での対応などの面でも今後も密にやり取りができればいいですね。エンタープライズ企業とのお付き合いが増えつつある中で、セキュリティ面での問い合わせや要望も増えてくると思うので、そういう時にお客さまにしっかりとしたセキュリティを提案するための情報をいただけると有難いです。これからも仲良くしてください(笑)
佐藤氏こちらこそ是非よろしくお願いします!(笑)。Azure ADがグローバル製品である中で、国内担当としては日本のお客さまに満足していただけるものを届けることが重要だと思っています。SmartHRさんには、早い段階からパートナーとしてご一緒させていただいていますので、今後も最新機能のところもそうですが、これから日本企業が安心して安全にたくさんのSaaSを利用する一歩目のところを一緒に作っていけるものと期待しております。私たちもSmartHRさんとの連携を通じてお客様の安心安全かつ快適な環境構築を支援していきたいので、引き続きよろしくお願いします。