2017年11月28日火曜日

当然ですが、クラウド時代にもIDライフサイクル管理は必要です

SOX法やコンプライアンスの観点からも、情報システム部門の負荷の観点からも、IDライフサイクル管理は情報システムに関する大きなテーマとなってきました。時代がオンプレミスからクラウドに移りゆく今こそ、この先IDライフサイクルをどのように管理し続けるのかを考えておく必要があるでしょう。

 Gluegent Gate

当社の Gluegent Gate は、2009年頃からクラウドのアクセス制御・シングルサインオン・統合ID管理サービスとして提供を続けています。2009年頃は「初めてクラウドを活用するにあたって、アクセス制御をしておきたい」というのが基本的な要件でした。特に、当社(当時はクラウド事業はサイオステクノロジーにありました)が、G Suite(当時は Google Apps for Business)を販売していたこともあり、「G Suite を使いたいが本当に安全だろうか」という不安がベースにあってのご相談がほとんどでした。

Gluegent Gate の IPアドレス制限や証明書認証等により、これらの要件をクリアして初めてのクラウドをより安全に活用いただけたと考えています。

この流れに除々に変化が起きてきています。まずひとつは「モバイル」が指すものが大きく変わりました。サービス開始当初は、フィーチャーフォンの「携帯個体識別番号」を使っての「制限する」ことが主流でしたが、徐々に対象がスマートフォンに移っていき、2017年現在は完全にスマートフォンから「いかに便利に利用してもらうか」というスタンスになってきています。そして、もうひとつの大きな変化として「クラウドはシングルサインオン(SSO)で飛躍的に便利になる」でも取り上げていますが、2016年頃からシングルサインオン視点で導入をご検討いただくことが増えてきたことです。また、これに伴い「複数のクラウドサービスのアカウントやグループをどのように管理していくか」というテーマでお話させていただくシーンが増えてきています。

もはや、複数のクラウドサービスを利用するのが当たり前、これらのアカウント管理をどのように行っていくかというのが、大きなテーマとなりつつあります。また、パブリックなクラウドサービスだけでなく、自社開発のクラウドシステムなども対象になってきています。

Gluegent Gateの運用パターン - ID管理編 -」でも紹介している通り、当社が提供するGluegent Gateは、IDの運用についても、優れた機能を提供しております。特に、Active Directoryや基幹の人事システムとの連携により、これまでの運用に近い形で運用設計が可能な点はご評価頂くケースが多いです。

一方で、まだまだIDライフサイクルを完全に管理できるものになっているかというと、まだまだ足りないものが多いのも事実であり、現在機能強化を推進しております。

例えば、最近「プロファイル」の機能をリリースいたしました。これにより「社員、営業部所属、課長」「社員、開発部所属」などの職責等によって利用できるサービスの管理や、各クラウドサービスに対するアカウントのプロビジョニングが管理できるようになるなど、簡素な設定で柔軟な管理が可能になっております。

今後も、各社が利用するクラウドサービスは確実に増え、そして多様化していきます。グルージェントは、そのような将来を見据え、安心して快適に利用できるサービスの提供を続けて参ります。


 Gluegent Gate


2017年11月21日火曜日

G Suite(旧Google Apps)の社内ポータルで様々な共有情報を1箇所に集約する

Gluegent GadgetsはGoogle サイトで社内ポータルを構築する際に役立つ情報共有ツールです。 Googleサイトだけで構築する際に発生する課題も、Gluegent Gadgetsを利用すれば解決できるようになります。
Googleサイトで社内ポータルを構築するときに発生する課題の一つに、様々な社内のお知らせ情報を同一ページに集約することが難しい、というものがあります。これは、部署毎にアクセス権が異なる情報をGoogleサイト上のページに掲載できないことによるものですが、このためにはお知らせ情報をユーザの権限に応じて動的に切替えた上で表示する必要があります。
今回は、Gluegent Gadgetsの「お知らせ通知」および「掲示板」ガジェットを利用することで、社内のお知らせ情報を集約する方法を説明します。

Googleサイトだけで社内のお知らせ情報を扱う場合の課題

社内でお知らせする情報は大きく以下の2種類に分かれることが一般的です。

  1. 全社員に共通で伝えたいこと
  2. 特定の部署・人毎に伝えたいこと
この2種類に対してGoogleサイトのお知らせページ機能で管理することを考えてみます。まず上記1は全社共通の情報であるため、記事の掲載場所やアクセス権について特に気にする必要はないでしょう。 一方で上記2はどうでしょうか。内容に応じてユーザのアクセス権を制限する必要がありますが、Googleサイトのお知らせページでは記事毎にアクセス権を設定することができません。Googleサイトではアクセス権設定における最小単位が「ページ」であり、そのページ毎にアクセス可能なグループ・ユーザにのみ権限を付与することになります。その結果、社内ポータルにおける「お知らせ情報」は、全社共通で公開してよい情報はトップページに、部署・ユーザ毎に制限されている情報は別のページに分けて管理するしかありません。

上図の通り、お知らせ情報のアクセス権に応じて、お知らせページも3種類(全社共通、開発部、営業部専用)分けて管理することになります。この場合、以下のような運用面での課題が発生します。

  1. お知らせの掲載場所がバラバラとなってしまうことで、その情報に対する視認性が落ちてしまう(パッとひと目で確認しづらくなる)。しかも別ページに分かれたお知らせはユーザ自らアクセスしないと見れないため、見落としがちとなりやすい。
  2. 管理者が部署毎のお知らせ専用ページを設けることになるため、ページが部署の数だけ必要となり、管理も煩雑になる
  3. 特定のメンバーのみ共有したい場合でも、既存のお知らせページとアクセス権が異なってしまうと、そのアクセス権に応じた専用のお知らせページを管理者に用意してもらう手間が発生してしまう(そして、ほとんどの場合、専用ページの追加要望は管理者から却下される)
Gluegent Gadgetsのお知らせガジェットと掲示板ガジェットで社内の情報を集約化
前述の課題に対して、Gluegent Gadgetsのうち、以下の2つのガジェットを利用すると分散されてしまっている社内の様々な共有情報をポータルトップページ1箇所に集約させることができるようになります。
  • お知らせ通知ガジェット
    • 参照先としたGoogleサイトのお知らせページを収集し、1箇所で表示するためのガジェット

  • 掲示板ガジェット
    • 社内で共有したい情報の種類毎に掲示板を用意し、それ毎に記事を投稿・閲覧するためのガジェット

これらのガジェットを導入・活用することで視認性も改善し、管理も1箇所に集約できることで簡潔になります。


お知らせ通知/掲示板ガジェット導入時のチェックポイント
Googleサイトに上記ガジェットを導入したい場合、まずは以下のチェックポイントに従って、現在の状況・要望がどちらにマッチするご確認いただき、その上で導入の検討を進めるのが良いでしょう。

チェックポイント
推奨ガジェット
  • 既にGoogleサイトで複数のお知らせページを運用しているが、特に問題ない
  • Gluegent Flowでお知らせ記事投稿承認フローを運用している
    お知らせ通知ガジェット
    • Googleサイトお知らせページが複数あり、管理・運用が煩雑になっている
    • Googleサイトのお知らせ機能では利用できない以下の機能を利用したい
      • 記事の公開/終了日程の予約設定
      • 記事単位でのアクセス権設定
      • 記事投稿/変更時に閲覧可能なユーザへメール通知する
      • 記事の未読・既読管理
    • 一般ユーザが記事単位に共有先を設定できるようにしたい
    掲示板ガジェット
    なお、各ガジェットの機能に関する詳細については以下の記事をご確認ください。




    Googleサイトで社内のお知らせ情報を構築したものの、散財化してしまい、困っているケースも多いのではないでしょうか。Gluegent Gadgetsお知らせ通知や掲示板ガジェットを利用すれば、各記事のアクセス権に基づき動的に表示しますので、社内のお知らせ情報を1箇所に集約できるようになります。これにより、一般ユーザによる認識率の向上や管理者による運用管理効率も実現できるようになり、より円滑に社内情報を共有化できるようになるでしょう。
    まだ、Googleサイトだけで情報共有しようとしている方はぜひGluegent Gadgetsをお試しください。


    2017年11月14日火曜日

    Gluegent Gateの運用パターン - ID管理編 -

    Gluegent Gateは、各種クラウドサービスをはじめとして、オンプレミスな社内システムへのシングルサインを可能とし、「適切な人」が「適切なサービス」を「適切な場所や端末」からアクセスできるようにする、アクセス制御の機能を備えています。これらの機能にフォーカスした運用パターンについては、以下の記事でご紹介しました。
    今回は、もうひとつの重要な機能、「ID管理」の運用パターンについて、ご紹介します。


     Gluegent Gate

    IDはどこに管理・格納されているのか

    組織内のID情報は、様々な場所に置かれているようです。
    • Active DirectoryやLDAP Server
    • 独自の社内システムの人事データベース
    • 社員名簿
    • まとまった場所がない
    一番筋が良いのは、Active DirectoryやLDAP Serverなどのディレクトリサービスで管理する方法です。まさにそのために作られた仕組みですので、管理や検索も容易にできます。ただ、小規模な組織には若干敷居が高いかも知れません。
    また、給与や、人事など様々な社内の仕組みの管理のために社内システムを作りこみ、その中のデータベースに格納されているという場合も多くあります。 数人から十数人の組織では、そもそもシステムというものとしては、社員の一覧を格納した場所はないようなことも多いでしょう。IDの数が多くなく、検索するほどの量でもないため、必要がないからです。

    サービスにアカウントを登録する

    クラウドサービスやオンプレミスのサービスを利用するには、そのサービスにアカウントを作る必要があります。前述したIDの格納場所が、AD等のディレクトリサービスであれば、気の利いたサービスならアカウントの連携ができることもあります。独自システムの場合も、CSVファイルなどに出力できれば、それを読み込む仕組みがあったりします。 システムが参照できる仕組みがなかったり、そもそも一覧がない場合は、使う人ベースでアカウントを手動で作るような運用が多いでしょう。人の数や使うサービスの数が少ない場合は、実はこれで十分です。

    「クラウド当たり前」な近年のID管理は複雑になりやすい

    近年、特定の領域で高度な機能を備えたクラウドサービスが安価で利用できるようになっています。多くの組織では、G SuiteやOffice 365のようなクラウド型のグループウェアと合わせて、必要に応じて別サービスを組み合わせることが多いようです。ストレージ機能の強化のために、BoxやDropboxを足したり、営業部のみSalesforceを追加したりなどの利用形態です。
    このような使い方をする時に、IDの適切な格納場所がなく、アカウントがそれぞれのサービスでバラバラに手動で作成されているような運用となってしまっているお客さまも多くいらっしゃいます。ただ、小規模な組織でも、急成長したり、買収などにより、複数の組織が統合されるような場合には、そもそもIDの管理や利用しているサービスも全く異なるため、一気に複雑さが増します。
    このような状況では、利用者も管理者も運用するだけで非常に大きなコストを払うことになります。新入社員のアカウント発行や、退職者のアカウント削除、異動等によるアカウントの更新など、アカウントがあるサービスの数だけ手動で実施するのは、困難な上、セキュリティリスクを抱えることになります。

    IDの管理は一箇所だけで

    IDに対する管理は、一箇所だけで行い、この情報が伝搬していくのが理想です。IDを管理している主体(ここでは便宜的にADとします)に、新入社員の情報を作成し、利用させたいサービス(G Suite、Dropbox、社内システムなど)を有効にすると、自動的に対象サービスでアカウントが作成されるという仕組みです。姓が変わったとしたら、ADだけ変更すると、利用している全てのサービスに伝搬します。このような仕組みは、「ID連携」や、「アカウント連携」、「プロビジョニング」など様々な用語で説明されますが、要は、人間が手を入れるところは一箇所にして、他はそれが伝搬して反映されるという仕組みです。

    Gluegent Gateでの運用

    Gluegent Gateを使った運用では、どのような形態が取られるのでしょうか。

    小規模な組織で少数のサービス利用のケース 
    例えば、ID数15で、利用するサービスは、G SuiteとBox、5人の営業メンバーのみSalesforceも利用するというようなケースです。Gluegent Gateを利用しなくても、この程度の数であれば、それぞれ個別に登録・利用しても良いかもしれません。ただ、Gluegent Gateは、それ自体がIDの管理・格納場所として機能します。そこで、Gluegent Gateに15人登録し、それぞれおの利用するサービスを有効にします。これだけで、それぞれのサービスにアカウントが作成され、利用可能な状態となります。その上、以前の記事で書いた通り、シングルサインオンの機能により、一回のログインで全てのサービスが利用できますし、特定の端末からのみ使わせたいといったアクセス制御もGluegent Gateの画面のみで完結します。更に、サービスの追加や、アカウント増、退職者アカウントの適切なクローズなどもGluegent Gateの画面から処理できます。
    つまり、Gluegent Gateが無くても、頑張ればそれなりに使えるものですが、Gluegent Gateを入れることで、運用コストが大幅に下がり、高いセキュリティレベルを実現することができます。その余剰のマンパワーは、より組織の目的に直結するような仕事に使うことができます。

    IDはADに格納されていて、利用するサービスもそれなりにあるケース
    数百から数千のIDを管理する場合、前述のようなGluegent Gateのみでの管理は難しくなってきますし、そのようなボリュームであれば、ADのようなディレクトリサービスに情報を置いているケースがほとんどです。部署の多岐にわたり、様々な仕事があるため、利用するサービスも多くなります。
    このような場合、ADのデータをそのまま利用し、Gluegent Gateを経由して、必要なサービスにアカウントを作成するといった機能を利用することができます。当然、シングルサインオン、アクセス制御もそのまま利用できます。「AD/LDAP連携オプション」として、提供しています。このオプションを使えば、既存のADをそのまま利用し、プロビジョニングやシングルサインオンの利便性とアクセス制御による高いセキュリティを両立することができます。

    IDは社内システムのDBにもあるし、一部はADにもあり、利用するサービスもそれなりにあるケース
    このケースは、一部事業を買収するなど、異なる形態でIDが管理されています。この場合は、Gluegent Gateを素のままで使って、連携させることは困難かもしません。ただ、Gluegent Gateでは、「スプレッドシート連携オプション」を提供しています。この機能は、GoogleスプレッドシートにあるIDを、Gluegent Gateに取り込み、プロビジョニング等を行うということができます。つまり、散らばったIDの源泉とスプレッドシートをつなぐ処理を開発してあげることで、プロビジョニングまで連携できます。また、弊社では、「社内データを超簡単にクラウドから参照できるようにするマル秘ツール」でご紹介したCSVまたは、DBからスプレッドシートにデータを同期するツールも提供しています。これを使えば更に開発の手間を抑えることができます。
    大規模なお客様でも、AD等に綺麗にデータが入っているケースは多くありません。大きな組織を適切に運用していくために最適化された情報の持ち方をされています。ただ、どのような形にしても、丁寧に情報の流れを整理し、スプレッドシートに書いてあげれば、前述したような利便性と高いセキュリティを低い作業コストで実現することができます。

    様々なID源泉に対応できる柔軟なID管理

    ここまで見たきたようにID管理はその格納場所や既存の管理形態に、大きく依存します。Gluegent Gateでは、多くのお客様のご要望に対応してきたことで、現在のような柔軟なID管理が可能になっています。ID管理は管理者の苦労やコストが高い割に利用者には見えにくい裏方の仕事ですが、失敗すると即セキュリティ事故に繋がる重要なものです。さらに、手作業での処理が増えるほど、ミスも多くなり、作業コストもかかります。この領域の仕事は可能な限りシンプルな構造にして、人的作業は最小限に、自動処理を最大限にすることが正解です。

    人の出入りや、人事異動のたびに多くの手作業をしなければいけないシステム管理、人事を担当されている方は是非一度ご相談ください。

     Gluegent Gate


    2017年11月7日火曜日

    クラウド型ワークフローサービスへのご期待が変わりつつある

     今年は、クラウドグループウェアが「当たり前」になった印象が強いです。昨年までは、クラウドグループウェアは先進的な企業でのみ導入が進んでおり、保守的な企業での導入はそれほど進んでいない印象でした。それが今年に入り、一気に「クラウドありき」と捉えられている印象が強くなりました。いよいよキャズムを超えたというところでしょうか。グループウェアだけでなく、IaaS や PaaS、その他パブリッククラウドなどでも、全体的に「前向きに」「前のめりに」クラウドを活用しようという企業さまが増えてきているのを感じます。


    このような環境の中、クラウドのワークフローに対する期待も少しずつ変化してきています。以前は、「ずばりクラウドならではの利便性」という観点でのご期待をいただくケースが多かったのですが、最近は、より本質的で高度なご期待に変わってきている印象です。

    例えば、以前は「クラウドのワークフローであれば、オンプレミスのようにサーバのお守りをする必要がなくなる」「最新の機能がいつでも利用できる」「社外からの、またスマートフォンからの利用ができる」「利用人数に対する従量課金がうれしい」というような声を多く頂いていました。これらは、ずばりクラウドそのものの利便性であり、クラウド黎明期に「クラウドのメリット」として語られていた内容です。もちろん、クラウドそのもののメリットに対するご期待は今もなお継続していますし、その期待のレベルはどんどん高まっています。我々は、このご期待を裏切ることのないよう、一歩一歩着実にそのレベルを上げつつあります。

    一方で最近は、「クラウドそのもののメリット」より少し高度なご期待が増えてきています。例えば、「他のクラウドサービスとは連携」に関するお問合せです。

    当社の Gluegent Flow では、当初よりご評価頂いていた機能ですが、例えばワークフローで承認を受けた内容が Google スプレッドシートに自動的に連携されるなどの機能です。Gluegent Flow と G Suite の Google スプレッドシートが連携し、業務が効率化されます。最近は、例えば Slack や、Yammer、LINE Works など、G Suite 以外との連携についてもお問合せ頂くケースが増えてきております。

    弊社のクラウド型ワークフローサービスは、サービス開始当初より G Suite 等とのクラウド連携を強みとして成長を続けております。今年から来年にかけてのテーマは「つながる」に置いています。クラウド間の連携ももちろんですが、それ以外の「つながる」を強化してまいりますので、ご期待ください。

    「つながる」と色々ワクワクしてきます。