IT Admin Blog>Keeper導入のきっかけは「SSO対応&使い勝手の良さ」一休の目指すユーザーファーストなセキュリティ
Keeper導入のきっかけは「SSO対応&使い勝手の良さ」一休の目指すユーザーファーストなセキュリティ
高級ホテルや旅館、レストランの予約サイト「一休.com」を運営する株式会社一休。
2016年にヤフーグループ入りし、2019年にZホールディングスが設立された際には同社の100%子会社となり、さらなる業容拡大に努めています。
そんななか、一休では「社員のセキュリティ意識の向上」を目的にKeeperを導入し、社内の情報管理やセキュリティ面の強化を図っているそうです。
株式会社一休 管理本部 社内情報システム部 兼 CISO室 コーポレートエンジニアの大多和 亮さんに、Keeperを導入した経緯や導入後の成果について話を伺いました。

各事業部ごとでパスワードを管理する体制に、情報漏洩リスクを感じていた

── まずは貴社の会社概要や事業内容について教えてください。
サービスの画像
大多和: 一休は Zホールディングスの一員として、高級ホテル・旅館の宿泊予約サイト「一休.com」や厳選レストランの予約サービス「一休.comレストラン」を主軸に、スパの予約サイト「一休.com スパ」やギフトチケット販売サービス「一休.comギフト」などを運営するWebサービス企業です。従業員数はおよそ330人ほど在籍しています。
私は社内で利用しているSaaSツールの管理やオフィスのファシリティ、パソコンやデバイスの管理を行っており、その傍らCISO室にも所属して社内の情報管理や個人情報保護、ISMS認証の運用などの業務にも従事しています。前職では社内SEの仕事をしていましたが、縦割りで仕事しているような感じでしたので、もっと幅広い業務に携わりたいという思いから一休へ入社しました。いわゆる“情シス(情報システム部)”の仕事は、一休に入ってから始めた形になります。
── ありがとうございます。ここからはKeeper導入の経緯についてお聞きしていこうと思いますが、具体的にはどのような背景があってKeeperを検討するようになったのでしょうか?
大多和: 実はKeeperを導入する前から、一部の部署では別のパスワードマネージャーを使っていました。ただ、主に権限の強いエンジニアや情シスが使ってパスワード管理を行っていたものの、他の営業部や管理部は使っておらず、社員が個別にブラウザの保存機能や付箋、エクセル、スプレッドシートなどで管理している状況でした。また、情シスの管理下にあるSlackやZoom、Google WorkspaceなどはSSO連携させていましたが、それ以外の内製で作っているシステムや事業部独自で導入しているツールなどに関しては管理が各事業部任せになってしまっていました。そのため、パスワードの使い回しや脆弱なパスワードを使っていたりと、一定のセキュリティリスクを感じていたのです。
── セキュリティリスクはどのようなものを想起されていますか。
大多和: 社内では基本的にSaaSのクラウドサービスを使っていますが、従来のオンプレミスとは異なり、IP制限をかけていないことが多いです。そのため、社員が部署異動や退職した際にもパスワードを使い回していたことでログインできてしまうリスクがありました。また、パスワードの使い回しは、1つでも漏洩してしまうと、他のシステムへのログインもされる危険性があるので、これは情報漏洩リスクになりかねないと思い、全社で導入するパスワードマネージャーを検討し始めました。

SSO対応と使い勝手の良さがKeeper導入のきっかけに

── 既存で使っていたパスワードマネージャーを拡張し、全社で展開する選択肢もあったかと思いますが、最終的にKeeperを選んだのはどのような理由からですか。
一休 大多和さんの写真1
大多和:以前から使っていたパスワードマネージャーを全社展開する構想もありましたが、一番の課題だったのはマスターパスワードの運用でした。仮に、利用者が増えることでマスターパスワードを万が一忘れてしまった場合などの対応などを考えると、運用上の負担となる懸念があり、またパスワードマネージャーの検討段階においては「SSOが対応している製品かどうか」を基準に選定していき、Keeperに着目しました。
また、弊社ではMicrosoft Sentinelの環境を導入していて、SIEM(シーム)連携やログ情報を収集したいという要件がありました。Keeperはその点がクリアできていたため、導入するきっかけになりました。もちろん、コスト感も他の製品に比べて安かったのでメリットに感じましたが、一番はエンジニアだけでなく全社に展開するので、使い勝手の部分を最も重要視していましたね。
── Keeper導入後については、どのような効果を感じていらっしゃいますか?
大多和: パスワードマネージャーを全社に展開していたことで、ユーザーである従業員からも「パスワードの共有や強固なパスワードを考える手間がなくなった」と好評をいただいています。Keeperではプロビジョニングを設定しているので、オンボーディングの段階でユーザーである社員が何かアクションしなくても、部署やロールに紐づいたパスワード共有ができます。また、拡張機能を入れておけば強固なパスワードを自動生成し、パスワードの入力の手間も省ける。こうしたKeeperの機能面は、セキュリティを高めつつ、普段の業務改善にもつながっている点が、導入前と比べて成果だと感じている部分です。
── Keeperを導入することで、自然と従業員のセキュリティに対する意識も変わりましたか。
一休 大多和さんの写真2
大多和:そうですね。ユーザーには「何かあれば、Keeperでパスワード管理してください」と啓蒙しています。Keeperを導入してからまだ半年くらいなので、まだまだ道半ばではありますが、個別で付箋やエクセルなどでパスワードを管理する状況から、パスワードマネージャーを利用して管理する体制を整えている段階です。

ツールを使っている意識がなくても、自然と社内セキュリティが高まっている

── 管理者目線で気に入っている機能や実際の活用方法について教えてください。
大多和:「セキュリティ製品を使っている」という意識をせずに、自然と社内のセキュリティが高まっていますね。これまでユーザー自身が、パスワードを覚えたり強固なパスワードを考えたりしていましたが、Keeper導入後はそれが不要となったので、使い勝手のいいパスワードマネージャーだと思っています。
── Keeperを使っていてわかりにくいところ・困っているところはありますか。
大多和:パスワード所有権というのが独特で、まだ少し慣れない部分があります。例えば、部署Aの認証情報を部署Bに移すときに、所有権が違うのでフォルダの移動がなかなかできなかったり、退職者が出たときに所有権を移管しておかないと、退職者のアカウントを削除した際に管理していたパスワードのフォルダがまるごと消えてしまったりと、その点に関しては慣れないといけないと感じていますね。また、管理者承認のリクエストが毎日来ていて、その処理が負担に思っています。
── 管理者承認については自動承認をするサーバーを立てる「Keeper Automator」というサービスがあるので、こちらで解決できるかもしれません。今後、Keeperに期待している機能は何かありますか。
大多和:先ほどもお伝えしましたが、現状はフォルダの移動が若干しづらいと感じているので、Google ドライブのようにドラッグ&ドロップできると、部署やチームごとの認証情報の移動がスムーズになり、より便利になると思っています。
使い勝手がよくなれば、さらなる業務効率化につながりますし、管理者側の負担も軽減されるのではないでしょうか。

ユーザーファーストなセキュリティ実現に向け、将来的にはVPN接続をなくしたい

── 最後に、情報セキュリティの観点からどんな取り組みをしていきたいと考えていますか?
一休 大多和さんの写真3
大多和:ユーザーファーストなセキュリティ実現に向けて、現在はいろんな施策をやっていて、Keeperもその一貫で導入しました。リモートアクセス環境としてはVPNを採用していますが、ユーザビリティの面で考えるとVPNをなくしていきたいと考えています。リモートワークが普及したことで、オンプレサーバーや社内IP、ファイルサーバーにVPNを介して外部からアクセスする際、通信速度も若干遅くなってしまったり、VPN接続するちょっとした煩わしさが生じたりと、課題だなと感じている部分もあります。ユーザーがVPNの操作を行わずにかつセキュリティも担保できるようになれば、ユーザビリティの向上にもつながる。ユーザーファーストなネットワークとセキュリティの体制構築に向けて、今後も尽力していきたいと考えています。

Keeper managed by ZUNDA について

ZUNDA株式会社は Keeper Security Inc 認定のMSP代理店として、パスワードマネージャーKeeperを法人・組織の皆様にお届けしております。
組織におけるパスワードの管理の効率化やセキュリティの向上を実現すべく、日本語による充実のサポートと運用管理(マネージドサービス)を日本のお客様に提供します。
詳しくはKeeper managed by ZUNDA 紹介サイトをご覧ください。