IT Admin Blog>フルリモート環境への移行がパスワードマネージャー導入の決め手に。ヌーラボが取り組むセキュリティ対策 フルリモート環境への移行がパスワードマネージャー導入の決め手に。ヌーラボが取り組むセキュリティ対策
2004年に設立されたヌーラボは「チームで働くすべての人に」をコンセプトに、チームで楽しく仕事ができるようなサービスを開発している会社です。
そんな同社ですが、リモートワークを軸とした勤務形態への移行により低下した利便性の再強化のため、SaaSのパスワードマネージャーの必要性を感じるようになったそうです。
今回は株式会社ヌーラボで情報システム課に所属する市川一志さんと桶谷幸平さんに、Keeperを導入した背景や導入後の成果について話を伺いました。
フルリモート環境への移行がKeeper検討のきっかけに
── まずは貴社の会社概要や事業内容について教えてください。
市川: ヌーラボはチームのコラボレーションを促進するためのサービスを提供する会社です。今年で創業18周年を迎え、福岡をベースに東京、京都、そして海外にも複数の拠点を置いてビジネスを展開しています。私と桶谷は情報システム担当として、社内の従業員がセキュリティ面でも安心して業務に取り組めるよう意識しながら、日々仕事を行っています。
── ありがとうございます。まずはKeeper導入の背景について伺っていきたいのですが、具体的にはいつぐらいから検討されたのでしょうか?
市川: 2020年8月に、新型コロナの感染防止を鑑みて出社を前提としないフルリモートのワークスタイルへ変更したのが、Keeper導入の背景になっています。オフィスに出社するのもテレワークで働くのも従業員ごとに選べる環境を整え、オンラインで完結するような業務体制の構築をする必要があったのです。テレワーク環境でも安心して働けるような制度の設計のほか、SaaSのツールをフル活用してオンライン上でもパフォーマンスが発揮できるように取り組んできました。その中で、パスワードマネージャーの利便性を高め、セキュリティも強化するという観点で検討をするようになりました。
── フルリモート勤務を前提とした業務体制に伴って、セキュリティ面の向上も必然的に求められる状況だったと想像できますが、どのような課題やお困りごとがあったのでしょうか?
市川:フルリモート環境に移行する前から、パスワードマネージャーを自前で運用していました。ただ社外からパスワードマネージャーに接続するためには、どうしてもVPN接続をしなければならなかったのです。
これが利便性の低下を招く要因となり、パスワードマネージャーを利用する度にVPN接続を行う手間が生じたり、従業員から個別に「VPN接続ができない」という問い合わせがあったりと、運用面で煩雑さを感じていました。
クラウドの認証基盤であるAzure ADを使ったSSOを前提としていますが、SSOに対応していないサービスもあるため、今後もIDとパスワードの管理は必要となります。
その中で、既存のパスワードマネージャーではパスワードの使い回しやパスワード強度を可視化できないため、従業員に注意を呼びかけることしかできないことを不安に思っている状況でした。
一元管理のしやすさやポリシーの細かい設定、日英2言語対応が導入の決め手になった
── なるほど。そこでパスワードマネージャーを具体的に検討し始めたということなんですね。
市川: はい、おっしゃるとおりです。VPN接続を利用しなくても安全に利用でき、パスワードの利用状況などの監査ログが取得でき、パスワードの使い回しやパスワード強度を可視化できるツールが欲しかったのです。
加えて、自社で運用していたパスワードマネージャーの改修作業や保守運用のコストも減らしたかったので、「利便性の向上+セキュリティ面の向上+保守運用コストの低減」から導入を前向きに検討していきました。
── パスワードマネージャーのツールはいくつかありますが、Keeper導入の一番の決め手になったのは何でしたか?
市川: 決め手は複合的なものになりますが、Azure ADを使っているので、前提として連携可能なサービスであることがマスト要件でした。
また、パスワードの使い回しやパスワード強度を可視化でき、さらにはセキュリティポリシーのきめ細やかな設定が可能なサービスを求めていました。その点Keeperでは、権限周りの設定をワンタッチできるのはもちろん、ユーザーによってオンボーディングの設定を非表示にできたりとカスタマイズに優れていたのがよかったです。
また、当社特有の事情かもしれませんが、国内外に拠点を構えているゆえ、第一言語が日本語ではないメンバーもいるので、英語と日本語の両方に対応しているサービスだったことも決め手になっています。他のサービスと比較する際、いくつかの部門にも検証してもらったところ、日英対応しているKeeperが使いやすいという意見をもらったことで、迷いなくKeeper導入を進めました。
── 実際にKeeperを導入してみて、どのような効果を感じていますか?
市川: パスワードマネージャーを利用する際のVPN接続がKeeperを導入したことで不要になった分、利便性が向上したのを実感しています。また、管理者として従業員のパスワードにおける使用状況をダッシュボードで見ることができるので、非常に管理しやすくなりました。
これでもし、何か問題が発生した際はすぐに対処できる体制が構築できたと思います。
加えて、パスワードマネージャーを自前で運用していた頃は、セキュリティ機能を上げる場合にどうしても開発コストがかかっていました。
やはり、お客様向けの機能の開発がどうしても優先順位が高く、パスワードマネージャーの機能改善に割けるリソースが取りづらい状況でした。なので、なかなか改善しようとしてもハードルが高く、実現できずにいたのです。
それがKeeperを導入したことで、このような問題を解決することにつながり、運用保守コストも削減することができました。
Keeperを活用する上で気に入っている機能や改善してほしい部分
── Keeperを活用するなかで気に入っている機能はありますか?
桶谷: 利用者目線で思うのは、「スマートフォンで使えるようになった」のが非常に大きな変化だと思っています。これまでは毎回VPN接続を行い、ブラウザでパスワードマネージャーにアクセスしていました。それが、Keeperの場合はモバイルアプリが提供されていたので、とても利用しやすいと感じています。
また入社後のオンボーディング時でも、既存のパスワードマネージャーは一度ログインをしてもらってから、パスワードの共有ができるフローでしたが、Keeper導入後は入社前に事前にパスワードがシェアされた状態を自動で創出できたので、スムーズに業務開始できるようになったのが、効率化にもつながっていると感じています。
市川: 気に入っているのはパスワードの使い回しや強度をすぐに把握できること。そして、パスワードの自動生成機能は業務効率化につながり、パスワードのシェアも逐一する必要がないので、社内ユーザーの体験向上にもつながっていると思います。
── Keeperを使っていて、わかりにくいところや困っていることはありますか?
市川: 管理画面で各ユーザーが保有するパスワード数やボルトの登録数、オーナーアカウントのパスワードをいくつ共有しているかなどの表示をしてもらえると嬉しいですね。退職者が出たときに、管理者側で事前にこれらの情報を把握できれば、アカウント削除の有無を判断したり引き継ぎ依頼をしやすくなるからです。
現状の管理画面だと各ユーザーがどのくらいパスワードを管理しているか。あるいはオーナー権限を持ったパスワードを誰に共有しているかがわかりづらく、この点をもっと可視化してもらえると助かりますね。
桶谷: 所有者権限を移行するとき、元の所有者から一切の権限が消えてしまうのが少し不便に感じています。一応、引き継ぎをしている最中はリード権限だけ持っておきたいという要望があり、所有者を変えても元所有者にリード権限が残る仕様だったら、ありがたいなと思っています。
各ツールの連携や運用体制を構築し、さらに情報セキュリティを高めていく
── Keeperに今後期待している機能などはありますか?
市川: 先ほどもお伝えした、ユーザーの所有するパスワードの可視化について、すでにグローバルでは展開されている「コンプライアンスレポート機能」(詳細はこちら)に期待しています。この機能があれば、オーナーアカウントのパスワード共有の数がわかるようになり、今後、退職時のアカウントの移譲に関する調整なども容易になっていくのではないかと考えています。
── MSP経由ではまだ含まれていない機能なので、現在問い合わせている最中です。コンプライアンスレポート機能が使えるようになったら、改めて周知させていただきますね。最後にですが、今後、情報セキュリティの観点からどんな取り組みをしていきたいと考えていますか?
市川: Keeperも含めてですが、ツールを導入しただけでは意味がないと思っています。各ツールを有効活用することで初めて生産性の向上や業務効率化、本当の意味でのセキュリティ強化につながる。例えば、月1でパスワードの使用状況や強度をレポート化し、全従業に通知することでセキュリティ意識の向上を図ったりと、今後は具体的なアクションも実行できるように取り組んでいきたいですね。
桶谷: コロナ禍が収束しても、フルリモート勤務は継続していく可能性が高いので、自宅からでもオフィスと同様の利便性で、セキュリティ面でも安心して業務できる社内インフラ環境の構築がもう少し続くと思っています。次のフェーズとしてはツールごとの連携や、ログを分析して問題を検知したら素早く対応できる体制づくりをしていきたいと思います。