企業概要:
株式会社ウェディングパークは、「結婚を幸せにする」という経営理念のもと、2004年に創業しました。 2024年に20周年を迎え、ウェディングレビュー情報サイトとしてスタートし、その後、運営を拡大してまいりました。 豊富な情報を活用し、結婚式の準備レビューサイト 「Wedding Park」をはじめ、結婚式に特化したメディアを複数運営しています。 また、インターネット広告代理サービス、デジタルトランスフォーメーション(DX)支援、教育ベンチャーなど、デジタルテクノロジーと組み合わせたウェディング領域で様々な事業を運営しています。
配備に至った背景と課題
Wedding Parkは、社内業務に利用されている複数のクラウドサービスのセキュリティ強化や、パスワード管理の煩雑さといった課題に直面していました。 そこで、ID管理サービスを導入し、シングルサインオン機能を持つクラウドサービスの入り口に集約した。
FIDO認証の導入のきっかけとなったのは、顧客管理、受発注システム、勤怠管理の認証に利用されているSalesforceが、多要素認証(MFA)の義務化を発表したことでした。 しかし、MFAがSalesforceのみに適用され、他のクラウドサービスがパスワード認証で運用され続けると、ユーザーの使い勝手が悪くなるだけでなく、IT管理部門の業務も複雑化します。 また、パスワードのみの認証の脆弱性があったため、同社は2020年2月にゼロトラストセキュリティを推進する方針に従い、Salesforceを含むすべてのクラウドサービスにMFAを適用することを決定しました。
認証器の選択と検証
MFAの認証器として、ワンタイムパスワード認証(OTP)やスマートフォンアプリを使った生体認証などを検討したが、セキュリティとユーザーの利便性を両立できるFIDOならではの認証方法として、最終的にパスワードレス認証の導入を決めた。
FIDOを用いたパスワードレス認証を実現するためには、FIDOに対応した生体認証デバイスを搭載した端末が必要です。 現在市場に出回っているデバイスの大部分はFIDO認証をサポートしており、一部の従業員を除いて、FIDOの採用は、すべての社内デバイスにすでにWindows HelloとTouch IDが装備されているという事実によってサポートされています。 生体認証機能を搭載していないデバイスを使用する一部の従業員のために、別の外部認証システムが設置されています。
各部門の段階的な切り替え
オーセンティケーターを検討した結果、2022年1月にパスワードレス認証を全社的に展開する方針が正式に発足しました。 移行は同年2月から3月にかけて行われ、部門ごとの導入とIT管理部門の手厚いサポートにより、1ヶ月という短期間でのスムーズな導入が可能になりました。 今回の実装にあたっては、2012年から利用しているInternational System Research Corporation(ISR)のID管理プラットフォーム「CloudGate UNO」に、FIDO2によるパスワードレス認証とスマートフォンAPPによる生体認証に対応していることから、サポートを依頼しました。
社内への導入は開発部門から始まり、徐々に人数の多い部門へと進んでいきました。 まず、各部門の定例会議で、なぜシステムを導入するのか、そのメリットについて「システムを導入することで日常の認証が便利になる」というメリットを社内で伝え、全社的な理解を得ました。 部門単位でのシステム導入は、IT管理部門が一度に対応すべき人数を抑えるだけでなく、テストケースとしてのQAの蓄積やマニュアルの整備もスムーズに行えるというメリットがありました。 高いITスキルを持っていました。
資料作成だけでなく、管理者サイトで進捗状況を随時確認し、認証者未登録の社員には個別にアプローチするなど、IT管理部門がきめ細かくフォローした結果、目標期間内に全社導入を実現することができた。
導入の効果
パスワードの入力ミスによるログインミスは、以前は月に約200回発生していましたが、FIDO認証の導入以降、ゼロにまで減少しました。 多くの社員から「パスワードを忘れたり、入力ミスによる認証失敗がなくなったり、非常に便利になった」という声が寄せられています。 また、定期的なパスワードリセットのリクエスト回数が減ったため、管理者の工数が削減されました。
パスワードレス認証がスムーズに行えるようになったほか、認証状態の保持期間を短縮してセキュリティをさらに強化したが、その後も問題なく運用を続けている。
ウエディングパークの将来像は、社内で利用するすべてのクラウドサービスを「CloudGate UNO」に連携させ、認証器も含めて「CloudGate UNO」で一元管理することだ。
この事例について話を聞いたコーポレートIT室の西晃室長は、次のようにコメントした。
「新たな認証方式の導入を検討している方にとって、認証方式の変更により大規模なログイン失敗が発生するのではないかという懸念は避けられません。 私たちの場合、プロジェクトの初期段階では、各部門で説明会を開催し、説明資料や手順のブラッシュアップを繰り返したことで、社内の混乱や不安を最小限に抑えるのに効果的でした。
“切り替え後も、導入の進捗状況を確認したり、各部署への個別フォローは続けていましたが、パスキー(デバイス固定パスキー)の利用が社内で標準化されると、さまざまなセキュリティ対策も含め、利用範囲が飛躍的に広がることを実感しました。”
