business

新しい境界線をIDaaSで再定義する - 誰もが安全にアクセスできるために

アサヒグループホールディングス株式会社 清水様ご講演 聴講レポート

Apr 26, 20211 min read

2021年4月10日、Developer eXperience Day(CTO/VPoE Conference 2021)がオンライン形式で開催されました。

ビジネスや政治の世界においてもDX(デジタルトランスフォーメーション)の重要性が叫ばれる中、特に開発者視点からDXを捉えたこのイベントは、平井 卓也 デジタル改革担当大臣によるオープニングセッションを皮切りに、ゲストスピーカーを含む計30セッションが展開され、2,000名におよぶ聴講者が参加する盛況なものとなりました。

本ブログでは、イベントセッションStream Bで実施された、アサヒグループホールディングス株式会社 日本統括本部 システム統括部 マネージャーの清水博氏によるAuth0導入事例紹介「新しい境界線をIDaaSで再定義する - 誰もが安全にアクセスできるために」のご講演内容を、聴講レポートとしてご紹介させていただきます。

アサヒグループの紹介:

急激にグローバル化が進行するアサヒグループ 酒類事業(アサヒビール株式会社等)、飲料事業(アサヒ飲料株式会社等)、食品事業(アサヒグループ食品株式会社等)、さらに国際事業などを展開する146社におよぶ連結子会社を擁するアサヒグループホールディングス株式会社をコアとするアサヒグループは、「期待を超えるおいしさ、楽しい生活文化の創造(Deliver on our great taste promise and bring more fun to life)」をミッションに掲げ、日本、欧州、豪州の3つの地域を中心に、生活に関わる消費財を提供するグローバル企業です。

グループの特徴について清水氏は、「2020年の段階でアサヒグループ全体の売り上げは、約2兆3千億円に達していますが、日本を除いた海外での売り上げがその4割に迫る勢いであり、急激にグローバル化が進んでいる状況です。また、全社3万2~3千人の中で、1万6千人を超える社員が日本国籍を有していないという構成になっています。私見では、今後5年ぐらいの内に、英語がグループの公用語となるのではないかと考えています」と話していました。

さらに、「今回のテーマである認証・認可について考えると、アサヒグループは、日本だけではなく、様々な国からのアクセスをコントロールする必要があり、このグルーバル化という流れも、私達がAuth0とお付き合いする1つのきっかけになったと考えています」と強調します。

Auth0にたどり着くまで:

巨大グループのIT環境が抱える様々な課題 昨今、DXというキーワードに象徴されるようにデジタル化が加速する中、アサヒグループでも最先端のデジタルテクノロジーを取り入れ、新商品の開発や新たな働き方の創造に活かしていこうという機運が高まってきました。

しかし一方で、その長い歴史や巨大な企業規模に伴って発生する課題も少なくありませんでした。 「アサヒグループは、130年以上の歴史を持つ企業であるため、未だ紙文化も点在し、また古いIT資産も数多く存在します。システム環境はオンプレミスが主体で、約400におよぶアプリケーションの内、現在もまだ9割以上がオンプレミス環境で稼動しているため、社員を含めた誰もが安全にアクセスできるという形態には、ほど遠い状況でした」と清水氏は話します。

アサヒグループのIT環境が抱える課題

  • AzureADをID基盤として利用、IPフィルタリングにより社外からのアクセスが制限

  • アプリケーションSSO方式が個別最適化されている

  • API認証がAPIキーとIPフィルタリングでの実装となっている

  • SSOを実装できているが、トークン検証は行っていない

  • アプリの形態ごとに適切な認証/認可方式が定まっていない

  • ユーザーのシステム利用状況が把握できていない

※清水氏の講演資料より

認証・認可の考え方が混在

また、認証と認可の違いを明確に把握していなかったという問題もありました。 「相手が誰かということから、アクセス対象を決めていました。つまり私、清水であれば、どんなアプリケーションへのアクセスを許可するかという形で、認証と認可が混在している状況でした。オープンな認証・認可の世界に進むためには、Auth0でも明確に定義されているように、認証と認可をしっかり分離する必要があり、この概念を持っていなければいけないというという考えに、私達もたどり着きました」(清水氏)。

しかし、認証・認可とセキュリティは表裏一体の関係で、どうしても相反する状態にあり、どこから着手すべきか、という点についても正直、分からなかったと清水氏は回想します。アサヒグループはメーカーであるため、飲料や食品を作るプロは数多く在籍しますが、ITのプロという立場の社員は存在しない状況でした。清水氏は「私達だけで認証・認可について理解することは困難であり、同時に技術追随が非常に重要だと痛感しました」と話します。

オープンな認証プロキシとしてのAuth0

認証・認可のベストプラクティスは存在しないのではないか?という疑問さえ抱えてしまったアサヒグループですが、そのベストプラクティスを探し求める過程で、1つの考え方が浮上します。「社内でID管理に使用しているAzureADやActive Directoryなどではなく、何らかのオープンな認証プロキシが必要であるという考えに至りました。これを活用することで、私達だけではなく、取引先や得意先、最終的には消費者による接続においても、同様のセキュリティポリシーを適用できるようになるものです」(清水氏)。

こうして認証プロキシとなるIDaaSを検討する中、浮上したのがAuth0でした。アサヒグループでは、他社も含めた評価を実施し、熟慮の上Auth0の採用を決定しました。なお実施にAuth0採用の決め手となったポイントについては、清水氏の講演の進行と同様、最後にご紹介したいと思います。

アサヒモダナイズアーキのご紹介とAuth0のロードマップ 2027年に向けたアーキテクチャの変遷 「アサヒグループでは、2027年までに現状のデータセンターを含めて、全てのITアーキテクチャを刷新するという計画があります。その中で、図に示すように様々な新しいサービスを導入していきますが、上段に存在するのがモダンアーキテクチャレイヤーで、全てがパブリッククラウド上に実装されており、SaaS、PaaS、さらにIaaSなども対象になります。一方、下段はレガシーアーキテクチャレイヤーで、完全撤廃するまで存在するオンプレミスのレガシーなアプリケーションレイヤーです。そして中段にあるのが、Auth0を含む抽象化レイヤーで、認証・認可にあたって、オンプレミスのプライベート領域および、パブリック領域に対して共通のポリシーを適用します」(清水氏)。

diagram

※清水氏の講演資料より

ロードマップ:現在

認証プロキシに関連したロードマップについて見ていくと、現在はSalesforceやOffice365などパブリックに存在するサービスに対して、認証基盤であるAuth0を適用するための構築作業を進めている段階になります。

ロードマップ:来年以降

来年以降は、社員や得意先以外の一般消費者に対する外部認証という領域についても実装を行う予定となっています。例えばキャンペーンや会員サイトといったアサヒのサービスに対しても、外部のidp経由でアクセスできるようにします。

ロードマップ:将来

2027年に向かう過程では、当初、レガシーなオンプレミス環境も混在する状況が続きますが、2024~2025年ぐらいには、全体が非常にシンプルな構成になり、アサヒのプライベートネットワークの外にidpが存在し、Auth0を中心としたオープンな認証プロキシを経由してサービスを利用するようになります。またこれにより、現状のような会社支給の端末ではなく、様々な端末を自由に使用できるようになる見込みです。そして、ほとんどのデータがクラウド環境に置かれるようになり、最終的に現在のアサヒのプライベートネットワークは廃止される見込みです。

この段階での利用形態について清水氏は「社員であればAuth0経緯でネットワークに入ってアプリケーションにアクセスし、取引先や一般消費者の場合には、Lineなどの外部のidpを使ってAuth0に認証・認可のリクエストを行い、対象アプリケーションにアクセスするといったアーキテクチャを私達は考えています」と話します。

まとめ:なぜAuth0に決めたのか

提供機能よりもビジョンを重視 最後に清水氏は、なぜ認証プロキシとしてAuth0を選んだのかという点に触れ、次のように話します。「ここ数年のガートナーのマジッククアドラントの『アクセスマネジメント』分野を見ると、Auth0はチャレンジャーと位置付けられています。しかし、自社の経営会議で経営層に説明する際、私達は『未来のリーダーはAuth0になるだろう』と説明したことを憶えています」

また、Auth0を選択する際には、〇、×、△を使った他社との比較は意味を持たなかったと強調します。「もちろん、各種ライブラリの完備や実装コスト、さらに実装の容易さなども評価のポイントにはなりましたが、それ以上にAuth0のビジョンや将来性について、非常に際立ったものを感じ、高く評価しました。私達が考えている今後のグローバルな進め方や、対消費者における様々なアクセスコントロールの考え方と、Auth0の考え方が一致したという点が最も重要でした」

そして最後に清水氏は「皆様もAuth0を検討する際には、Auth0がどこを目指しているサービスなのかという点に注目いただくと、非常に参考になるのではないかなと思います」と話し、今回の講演を締めくくりました。

アサヒグループホールディングス株式会社 日本統括本部 システム統括部 マネージャーの清水博氏の講演内容をレポートさせていただきましたが、いかがだったでしょうか。

今回の導入事例には、多くの企業が直面している、または今後遭遇する可能性のある課題が明確に示されています。特にグローバル企業や長い歴史を持つ企業の皆様であれば、決して“対岸の火事”とは言えない切実な課題と、その解決の糸口が垣間見られたのではないかと思います。

今回ご紹介したアサヒグループ様の取り組みが、皆様が抱える課題解決への一助となれば幸いです。

なお、Developer eXperience Conferenceでの弊社Auth0のセッション「認証はAuth0にお任せください!Auth0のご紹介とアサヒグループとLegalForceのAuth0活用事例」資料は、下記のサイトからダウンロードいただけます。Auth0のご紹介と料金体系、またアサヒグループとLegalForceの事例資料が含まれておりますので、ぜひご利用ください。 資料ダウンロードはこちら→ https://info.auth0.com/jp-dx-2021