セキュリティ、アクセスコントロール、社内IDとの連携、クラウド導入の課題を解決するには
記事をお気に入りリストに登録することができます。
クラウドに魅力を感じながらもいまだに導入に踏み切れない企業も少なくない。たとえば、クラウド型のメールサービスを利用する場合、自社のセキュリティポリシーとクラウドサービスが合致しなかったり、自社内のIT環境とは異なるため、ID管理などの面で新たな管理負荷が生じてしまうことが、大きなハードルとなっていることが多いようだ。今やコスト削減効果以上に、運用負荷の軽減や可用性の向上、マルチデバイス対応といったことが期待されるクラウドサービスを最大限活用するにはどうしたら良いのだろうか。
クラウド導入の目的がシフト
クラウドソリューション事業部
エンタープライズ営業統括部
第3営業部 第3グループ
マネージャー
中村 昌平氏
中でも、昨年来、大きな動機として挙げられるのがBCP(事業継続計画)やDR(惨事復旧)用途での利用だ。従来、多くの企業が首都圏に本社機能を持ち、自社で何らかのサーバを抱えていた。しかし、電力供給の不安定化などにより、自社サーバの運用・管理は難しさを増している。そうした中で安全に事業を継続するための仕組みとしてクラウドを選択する企業が増えているのだという。
メールやグループウェアなどのクラウドサービスの動向について、ソフトバンク・テクノロジーの中村 昌平氏は次のように語る。
「各社のパブリッククラウドサービスが出そろい、サービスや価格はかなり横並びになってきた印象です。そのため、企業ではユーザーにどう受け入れられるのか、導入時のラーニングコストも含めて検討する企業が増えています。こうした中、マイクロソフトの提供するクラウドサービスであるOffice 365は、オンプレミス(社内システム)と変わらないインターフェイスが好評を博しているようです。ビジネスの現場では一般的なOffice製品に準じるというのは、思った以上に重要視されますね。」
他のクラウドサービスでもOutlookをインターフェイスに使えるものはあるが、マイクロソフトのExchange Serverと完全な互換性がある訳ではない。Officeスイートの移行を含め、これまでのオフィスワークのノウハウをそのまま生かそうと考えれば、やはりマイクロソフトのソリューションが最良の選択となるようだ。
Office 365利用に隠された課題
クラウドソリューション事業部
ソリューション技術統括部
第1技術部 部長
池田 和人氏
「利便性とセキュリティは通常、トレードオフの関係になります。たとえばクラウドサービスは場所や端末を問わずに使えるのが魅力ですが、IDとパスワードさえ知っていればインターネット上の好きな場所からアクセスできてしまいます。メールサーバなどのアクセスを社内に限定するポリシーを策定している企業は少なくないと思いますが、Office 365にはこうした機能が備わっていません。」
なぜこうした細かい機能がないのか。実は“お国柄”の問題がある。アクセスコントロールなどの細かいアクセス制御は実は日本企業特有の要望とも言われる。そのため、グローバル展開するクラウドサービス全体で対応を期待するのは難しい。またパスワードの複雑性や変更期間など、セキュリティの要となるポイントでも、自社ポリシーに柔軟に合わせることはできない。
こうした課題に応えるべく、ソフトバンク・テクノロジーが開発・提供しているのが、クラウドサービス「Online Service Gate」だ。クラウドサービスを自社ポリシーに合わせて活用するためのアクセスコントロール機能、セキュリティ機能を提供するもので、Office 365の前身となるBusiness Productivity Online Services(以下、BPOS)の時代からスタートし、既に述べ3万ユーザに利用されている。
そしてクラウド利用のもうひとつの課題が、多重化するID管理だ。
「多くの企業では自社内などで既にActive Directory(以下、AD)によるID基盤などを持っています。こうした企業が新たにOffice 365を利用し始めた場合、社内とクラウドの双方のIDを管理しなければなりません。たとえば社員が退社した場合、社内のADとOffice 365のIDを削除する必要があります。その結果、IT管理者の負担を増やしかねない状況にもなっています。」(池田氏)
マイクロソフト側でもこうしたID連携の問題に対して、独自の解決策を提供している。それが「AD同期サービス」だ。社内に専用のサーバを用意することで、社内ADとOffice 365を連携することができる。
ただし、その連携は決して容易とはいえない。そもそも、Active Directory Federation Servicesを社内に構築しなければならず、その安定的な運用のためには5台ものサーバが必要とされている。また、マルチフォレスト(複数のADサーバ)環境での同期機能などが備わっていないのも物足りないところだろう。
「ITシステムの所有コストや運用負荷を減らすのもクラウド化の目的のひとつのはずなので、そのために新たな運用負荷が増えたり、社内資産が増えるのは避けたいところではないでしょうか。」(中村氏)
そこで、その課題を解消するために2012年7月に提供を開始したのが、クラウドサービス「Online Service Gate Sync」だ。Online Service Gate Syncを使うと、社内にある既存のADとOffice 365のIDを同期させ、管理負荷を最小限に押さえた運用を実現できる。
クラウドサービスとして提供される機能なので、社内に新たなサーバを設置する必要もなく、Office 365との親和性が高い仕組みになっている。また、Active Directory Federation Servicesでは対応できないマルチフォレスト環境にも対応しており、個別にActive Directoryを運用するグループ企業で一括してOffice 365のID管理を行いたい場合などで利用可能なのも嬉しいポイントだ。
逆にADを持たない中小規模企業の場合でも、CSVファイルをアップすることでIDの一括登録などが行えるため、Web上の管理画面で1つ1つIDを登録、あるいは削除していた運用負荷を一気に低減することができる。
さらに、Online Service Gate Syncは、必要な数のユーザーアカウントをOffice 365に生成し、有効化するところまでを自動的に行う機能が備わっている。このとき作成されるID、パスワードはエンドユーザーからは隠され、前述のアクセスコントロールに利用される。
| Online Service Gate SyncとAD同期サーバの機能の違い | |||||||||
| AD構成 | アカウントのメンテナンス | ||||||||
| ADシングルフォレスト | ADマルチフォレスト | AD無し(CSV登録) | ユーザーアカウントの登録 | セキュリティ配付グループの登録 | Office 365ライセンス自動有効化 | OSGアカウントの登録 | 登録アカウントの選択 | 削除アカウントの選択 | |
|
OSG Sync | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
|
AD同期 サーバ | ○ | × | × | ○ | ○ | × | × | × | × |
こうした機能はOffice 365をデプロイ(展開)する現場で聞いたユーザーの声に基づいていると池田氏は胸を張る。
「BPOSやOffice 365を現場に展開してきた中で、お客さまからの要望を受け止め、クラウドを快適に利用するために必要とされる機能を盛り込んで開発したのが、Online Service Gateであり、今回提供を開始したOnline Service Gate Syncです。たとえば、IDの有効化は1つ1つ行うため、100人程度の人数でも想像以上の手間がかかりますが、Online Service Gate Syncでは一気に対応できます。1つ1つは細かいことですが、これまでにOffice 365のデプロイ現場を支援してきたソフトバンク・テクノロジーが蓄積してきたノウハウが詰まったサービスだと自信を持っておすすめできます。」
なお、Online Service Gate提供の基盤としては、マイクロソフトが運営するWindows Azureが選ばれている。これも、マイクロソフト製品との連携サービスとして選びやすいポイントになるだろう。
今後、さらなる進化のロードマップも
Online Service Gateのセキュリティ機能、アクセスコントロール機能を使うことで、従業員の方々は複数のID、パスワードを覚えることから解放され、自社のセキュリティポリシーが適用される範囲でOffice 365を利用することができるようになる。さらに、新たに加わったID管理機能により、社内資産を増やすことなくID管理を一元化でき、管理者の負担も減らすことができる。クラウド利用のハードルとなる課題を、ユーザー、管理者双方の視点で解消してくれるサービスと言うことができるだろう。
今後はデバイス認証サービスとの連携、マルチデバイス対応の強化など、進化のロードマップも用意されているという。そうした進化も含め、Office 365の採用を検討している企業には注目してもらいたい。
関連タグ
