塩野義製薬は他IDaaS製品からなぜOktaに乗り換えたのか？

医療用医薬品や検査薬を専門に製造販売事業を手掛ける塩野義製薬は、HaaS（Healthcare as a Service）企業を目指してIDaaS製品「Okta」を導入した。既存の認証プラットフォームにどのような課題を抱え、なぜOktaに乗り換えたのか。

[指田昌夫，ITmedia]

　テレワークやハイブリッドワークといった働き方が定着してきた昨今、どこからでもセキュアにアクセスできる環境を構築することは企業にとって必要不可欠になっている。そしてこの鍵を握るのがIDaaS（Identity as a Service）だ。

　Okta Japanは2023年5月24日、「Okta City Tour Tokyo 2023」を開催した。同イベントでは、事例セッションとして塩野義製薬の那須 真良樹氏（DX推進本部　IT&デジタルソリューション部　IT&デジタルソリューションユニットITフロンティアグループ）が登壇し、「アイデンティティへの投資がもたらす、多様なパートナーと協奏できるセキュアなIT環境」と題して講演した。

塩野義製薬はなぜ他製品からOktaに移行したのか？

　塩野義製薬は以前から別のIDaaS製品を使っており、そこからOktaに切り替えてちょうど利用を開始しようとしている。那須氏は「稼働はこれからのため、使った上での印象や効果、課題は話せないが、本講演では当社がなぜ、別の製品からOktaに切り替えたのかを中心に紹介したい」と話す。

　塩野義製薬は、大阪に本社を置く創業146年目の老舗製薬企業だ。同社は医療用医薬品や検査薬を専門に製造販売を実施しており、2022年、新型コロナウイルス感染症（COVID-19）の治療薬である飲み薬「ゾコーバ」を国内の製薬企業で初めて発売した。

　同社は2030年に向けて「新たなプラットフォームで、ヘルスケアの未来を創り出す」というビジョンを掲げている。新たに構築するヘルスケアプラットフォームの上で、多様なパートナーと協業するHaaS企業を目指す宣言だ。

塩野義製薬の那須 真良樹氏

　「当社はこれまで創薬型製薬企業として、医療機関に自社で開発した医薬品を提供してきた。しかし今後は単に薬を作るだけでなく、外部のパートナーとコラボレーションしながら、目の前の患者のニーズに応えるサービスを提供する企業になりたいと思っている」（那須氏）

　こうしたプラットフォーム実現のために社内で設立されたのが、那須氏が所属するDX推進本部だ。那須氏は同社で長年ITインフラやセキュリティを担当しており、その経験を生かしてビジョンを実現するプラットフォームの構築を担っている。

　特に医薬品企業として強固なセキュリティ基盤は必要不可欠だ。同社では2019年から、ゼロトラストセキュリティの構築を進めている。既存のセキュリティサービスの更新時期に合わせ、デバイストラストやネットワークトラスト、EDR（Endpoint Detection and Response）によるエンドポイントセキュリティなどを順次導入し、2022年にプロジェクトを完了した。

社内外のパートナーが共に安心して働ける環境を作る

　塩野義製薬はゼロトラスト構築が一段落したところで、次に認証および認可の再構築を進めることになり検討を開始した。

　「認証・認可は、貴重なリソースに対するアクセス制御を適切に実施するために不可欠だ」と那須氏は言う。この目的自体は新しいものではないが、どうして再構築が必要だったのか。

　那須氏によると、HaaS企業への変革が関係している。同社の内部リソースにアクセスする人が、従来は従業員中心だったが、これからは外部パートナーが多数参加するようになる。リソースの置き場所も、社内中心からクラウドに移行が進んでいる。

　「ここ数年、企業のITインフラに対する考え方は大きく変わった。リソースへのアクセスについて、社内中心だったものを社外のパートナー企業との連携を想定した形に変える必要がある。リソースの管理もパートナーとの共同管理になるだろう。そのため、手動管理では追い付かなくなり、動的な管理ができる仕組みを作らなければいけなかった。これは多くの企業でセキュリティ担当者が悩んでいることだと思う」（那須氏）

　IT部門にはこうした状況変化に対応するため、適切なアクセス管理を実施し、安心安全なIT環境を実現することが求められた。「社内の人が引き続き安心安全、かつ利便性の高い環境で仕事ができること。それに加えて社外のステークホルダーが、当社に対して信頼感や安心感を抱いてもらえること。この両立を目指して、新たな認証基盤の検討を始めた」（那須氏）。

権限委譲と集中管理を両立するHub＆Spoke構成

　次に那須氏は既存の認証基盤からOktaに切り替えた理由について話した。

　理由の1つ目は、Oktaで実現できる「Hub＆Spoke構成」だ。そのイメージは、全社共通のアプリを管理するテナントを中心に設置し、その周りに日本や米国、欧州各拠点の複数テナントを連携させる構造を採用する。これによって、各拠点で使うローカルのアプリと全社共通アプリの権限を柔軟に管理できる。

Hub＆Spoke構成のイメージ（出典：塩野義製薬の発表資料）

　同社は従来、グローバル本社で一括してシングルサインオン（SSO）環境を運用していたが、各拠点の個別ニーズにスピーディーに対応できないという課題を抱えていた。加えて現地のID管理を本社が実施することに限界を感じていた。

　Hub＆Spoke構成によって、Spokeテナントの各リージョンでローカルアプリを認証できるため、権限委譲が可能になる。一方のグローバル共通アプリは、引き続き本社が集中管理できる。「この構成を採りながら、グローバル規模で運用できる製品を検討し、Oktaが最も優れていると判断した」（那須氏）。

　Oktaを選んだ2つ目の理由が、ユーザーフレンドリーであることだ。「ファストパスの機能があることなど、エンドユーザーにとって使い勝手がいいことがポイントだと思っている。同時に管理者にとっても使いやすいことが重要だ。IT領域のスペシャリストが多くいるわけではない当社のような非テック企業では特にそこが大事になる。私が実際にOktaを使ってみたところ、管理者視点でもユーザーフレンドリーだと感じた」（那須氏）。

ユーザーと管理者にフレンドリーであることもOktaを選んだ理由だ（出典：塩野義製薬の発表資料）

　那須氏は特に、Oktaが多くのSaaS（Software as a Service）との連携が可能で、すぐに実装できる点を高く評価している。

　「IT部門としては、現場の要求に応じていろいろなアプリを連携したいと思っている。だが、標準的な認証プロトコル同士を連携すればいいと技術的には分かっていても、実際に連携してみるとうまくいかないことがある。われわれには非常に手ごわく、時間がかかる。それが最初から実現できていることは、今後製品を使っていく上でも非常にありがたい」（那須氏）

　那須氏は加えて、「一度連携できたとしても運用中にトラブルが起きることもある。その対応にも時間がかかることが多い。認証に関するそうした懸念を、Oktaを使うことでシンプルにできる点に魅力を感じている」と話した。

　同社では、OktaのHub＆Spoke構成を本社とグローバルグループ企業との認証連携から使用する予定だ。今後は国内において外部パートナー企業との連携にも利用する計画を立てている。外部企業とのコラボレーションやM&Aなどの際に迅速に対応できるのではないかと期待しているという。

　那須氏は今後利用したい機能について「アクセス権限の管理は、一定の状態にとどまっているものではない。企業活動を進めるうちに、運用は変化していく。誰に何の権限を与えるかの管理は煩雑になりがちだ。この作業を簡略化するため、Oktaのプロビジョニング機能を活用したいと考えている」と展望を語った。

ツール連携の深みがセキュリティ運用の効率化を決める

　権限の動的な管理に加えて、他のセキュリティ製品との連携によるリスクベースのアクセス制御も視野に入れている。この点でもOktaの連携情報の粒度の細かさに期待している。

　多くの有名なSaaSは、他のSaaSと連携できるかと聞くと、基本的には「できます」という答えが返ってくる。しかしその連携がどこまでできるのかは、製品によって異なる。セキュリティの観点では、過検知や誤検知を判断して調整しながら運用しなければいけないため、どんな情報を連携できるかは非常に重要になる。

　「この辺りは、機能を表に書き出して比較してもなかなか分からないところだ。しかしセキュリティの運用を深いところまで詰めていったときに、大ざっぱな連携しかできないツールではお手上げになる。Oktaは、連携についてしっかりした情報が提供されており、細かいところまでカスタマイズできるツールだと認識している」（那須氏）

　那須氏は最後に、同社のセキュリティアーキテクチャを示して、セキュリティ構築がまだ開発中の部分が多く、これからも開発が続くことを示した。「新たなツールの導入、日々の運用の改善などやるべきことはたくさんある。ただ、どういう形になっても、各ツールの連携がスムーズにできることが非常に重要だ。これからも、Oktaをはじめ各ツールの情報収集、意見交換をしていきたい」と語った。