成長企業の“Okta活用術” ディー・エヌ・エーとメルカリが語る実体験

ディー・エヌ・エーとメルカリは企業成長に伴い、従業員数や利用するツールの数が急速に拡大する中で、IDaaS製品「Okta」をどのように活用してきたのか。両社が実体験を基にした運用のポイントを語った。

[指田昌夫，ITmedia]

　Okta Japanは2023年5月24日、「Okta City Tour Tokyo 2023」を開催した。同イベントでは、ディー・エヌ・エーとメルカリのIT担当者が登壇し、「Oktaがもたらす利便性とセキュリティの両立、ディー・エヌ・エーとメルカリが利用する理由」と題したパネルディスカッションも実施された。進行は、Okta Japanの床田紘美氏（カスタマーサクセス部　カスタマーサクセスマネージャー）が務めた。

海外M&Aで生まれた課題　ディー・エヌ・エーのOkta採用までの道のり

　床田氏ははじめに、両社がなぜIDaaS（Identity as a Service）に「Okta」を導入したのか、そして導入後のビジネス成長段階においてOktaの役割はどのように変化したのかを聞いた。

　ディー・エヌ・エーの長谷川 淳氏（IT本部IT戦略部　部長）によると、同社は2012年、グローバル展開をきっかけにOktaを導入した。当時、国内でゲームがヒットし、市場を海外に拡大するために海外企業のM&Aに乗り出したという。

　「買収後のPMI（合併・統合後のプロセス）を実施する中で、本社のIT部門には社内ツールの統合とコミュニケーション促進というミッションが課せられた。ここでの主なテーマは、いかに本社のツールを海外のメンバーに使わせるかということだった」（長谷川氏）

　その際ボトルネックとなったのが、本社で使用していたオンプレミスのツールだった。海外から本社のオンプレミスに接続するには、閉域網を作るなどのネットワークの設定が必要になる。「ただし、会社を1社買収する度に、数百台のPCを設定して接続を図るようでは、時間がかかりすぎて許容できない。そのため社内システムは基本的にSaaS（Software as a Service）を利用するという方針が打ち出された」（長谷川氏）。

ディー・エヌ・エーの長谷川 淳氏

　ただ、SaaSの利用によって接続は容易になるものの、今度はIDの統合管理という課題が生まれた。Oktaの導入はこの課題の解消にもつながったという。「当時はオンプレミスが主流の時代だったため比較的ID管理がしやすかった。しかしSaaSを利用するとなると、インターネット経由でハブになるシステムが必要だ。そこで目を付けたのがOktaだった」（長谷川氏）。

　ディー・エヌ・エーの事業領域がエンターテインメントからスポーツ、ヘルスケアなどの社会課題分野に拡大していく中で、利用するシステム数も増えていった。長谷川氏によると、社内に新しい事業と組織文化が入ってくるとともに、社内で利用するSaaSも急増していった。IT部門では新たなツールと既存のツールの整合性やすみ分けを検討する必要が生まれ、セキュリティや権限の管理業務が爆発的に増加した。

　長谷川氏はこの経験から、増え続ける管理対象のシステムに対応するには、運用の「勝ちパターン」を作っておくことが重要だと語った。「当社で決めた勝ちパターンは『主要なツールは全てOktaを経由させるというルールの徹底』だった。グループ会社全体で、このルールを維持することを目指した。このシンプルな原則を守ることで、セキュリティが確保されて利便性が高まる。同時にIT運用の工数も低減できた」（同氏）。

自社の成長と歩調をそろえて、Oktaの機能も充実

　メルカリはスタートアップ時代、小さな組織だったためいわゆる社内IT部門が存在しなかったが、サービスとしてのシステム開発を担当するエンジニアの数は多かった。そのため従業員の先端技術に対する感度も高く、社内システムは最初からフルクラウドで、従業員は自分たちの生産性を上げるためにSaaSなどのツールを積極的に導入していた。

メルカリの吉川 崇氏

　メルカリの吉川 崇氏（コーポレートエンジニアリングチーム）は「私が入社したときにはすでにOktaが導入済みだったためこれは推測になるが、好きなツールを入れれば入れるほど、管理が立ち行かなくなる。そこでID管理ツールを導入する際も、先端的な機能を備えたOktaを選んだのだと思う」と話す。

　フリマアプリで創業し、急成長したメルカリはその後「メルペイ」などのFinTech事業にも乗り出して株式上場も果たした。吉川氏は「上場は大きな変化だった。当社のコンプライアンスやセキュリティの水準が一段高まるタイミングだったが、ちょうどOktaも企業として成長しており、製品機能が充実してきた。歩調をそろえる形で、共に成長してきたような印象を持っている」と語る。

ディー・エヌ・エーとメルカリはなぜOktaを使い続けるのか？

　ディー・エヌ・エーとメルカリの両社とも、Oktaの使用期間は10年前後という長期にわたる。使い続けるポイントとは何なのだろうか。

　メルカリの吉川氏はさまざまなニーズに応える豊富な機能を挙げる。「シングルサインオン（SSO）やプロビジョニングなどの基本機能は、一通り使っている。セキュリティではデバイス認証も導入していて、会社が認めたデバイス以外はアクセスさせないようにしている。今後はID管理の自動化に向けてワークフロー機能の導入を検討中だ」（吉川氏）。

　ディー・エヌ・エーの長谷川氏は「当社は基本的な機能だけだが、それだけで十分“セキュリティの最後のとりで”として活用できていると思う。当社では、新しいツールを導入する際には、Oktaと連携できることが条件の一つになっている。この原則を守ることでセキュリティと利便性の両立を図っている」と語る。

　長谷川氏がOktaを評価している点は2点ある。1つ目は設定の柔軟性だ。「アクセスしてくる人の所属や属性、どこから入ってきているかなどの細かい条件によって、どのツールをどういう権限で使えるか、詳細に設定できる。全てをOktaに通すというルールを問題なく実行するには、Oktaがどれだけ柔軟な設定に対応できるかにかかっている。その点では非常に満足している」（長谷川氏）。

　もう一つは可用性だ。認証システムがダウンしてしまえば仕事が止まってしまう。長谷川氏によると、ディー・エヌ・エーではこれまで10年以上Oktaを使ってきたが一度もダウンしたことがないという。

　「当社では、万が一Oktaがダウンしたときに備えて、バックアップのID管理システムを用意している。バックアップが正常に動くことを定期的に確認しているが、これを本番で使ったことは1回もない。非常にいいことではあるが複雑な気分でもある」（長谷川氏）

アイデンティティー管理の真価はメンテナンス次第

　長谷川氏はOktaをはじめとしたID管理ツールの導入について「長く使ってきたことで一つ言えるのは、IDaaSはできるだけ企業が小さいうちから導入すべきということだ。なぜなら従業員数が増えると、事業の幅が広がり使いたいツールの種類も増える。セキュリティのリスクは『従業員×ツール数』で決まってくる。企業が小さなうちから手を打って、『成長期』に備えるべきだ」とアドバイスした。

　「もし従業員数が変わらないとしても、デファクトスタンダードとなるツールは変化していく。新たなツールにすぐに対応できるように、セキュリティの勝ちパターンを作っておくことが賢明だ」と長谷川氏は付け加えた。

　吉川氏は続いて「Oktaを入れただけでは全てうまくいくわけではない。最初はなぜ導入するのか、中長期的にどのように活用していくのかを十分考えておくべきだ。これを怠ると会社の規模が大きくなってきたときに苦労する。逆に言えば、価値を理解していれば、長期で使っていくことに十分応えてくれるツールだと思っている」と話した。

　これに長谷川氏は同意し「Oktaはメンテナンスフリーではない。状況に応じて設定を見直す必要がある。ID管理はメンテナンスしてこそ高いセキュリティを維持できるツールだ」と語った。

　パネルディスカッションで交わされた両社の話から、成長企業のシステム担当者は、ビジネスの勢いを止めないために、ID管理にしっかり取り組むべきだということが分かった。