出光興産は、ガソリン、灯油・軽油・重油などの燃料油の製造販売する企業として知られていますが、オレフィン(エチレン、プロピレン、ブタジエン)、アロマなどの基礎化学品の製造・販売、潤滑油などの製造販売など幅広い事業を手掛けています。最近はカーボンニュートラルの実現に向け、二酸化炭素を排出しない合成燃料の生成や持続可能な航空燃料(SAF)の製造、アンモニアの燃料としての利用などにも取り組んでいます。
 
全国に 6,300 カ所あるサービスステーション(ガソリンスタンド)を通じて、デジタル技術を活用した地域固有の課題を解消するサービスの提供を目指し、新しい時代の「よろずや」に進化させるため、「スマートよろずや」化も進めています。積極的に DX に取り組む同社ですが、多様な働き方の実現を目指し、認証基盤を Microsoft Entra ID(旧Azure Active Directory)に移行し、AD FS を脱却することに成功しました。

リモートワークの増加により、VPN を利用しない業務遂行が必要に

出光興産は、グループ全体で 18,000 台の PC と 12,000 台のスマートフォンを業務で利用しています。これらの認証基盤は、オンプレミスの AD (Active Directory)がベースで、Microsoft 365 や一部の SaaS の認証に関しては、Microsoft Entra ID から AD FS(Active Directory Federation Services)を経由して、オンプレミスの AD に問い合わせを行う仕組みでした。同社では認証基盤を一本化し、さまざまな課題を解消するために Microsoft Entra ID 移行プロジェクトを 2021 年 8 月から開始しました。きっかけはコロナ禍におけるリモートワークの増加です。

「働き方の多様化に伴い、さまざまな場所から安全に業務ができる IT 環境が求められるようになりました。従来は、自宅から業務アプリケーションを利用するためには、VPN で社内ネットワークに接続するしかなかったのですが、この方法だとすべてのトラフィックが VPN を経由するため、社内に無駄なトラフィックが発生します。また、業務部門から外部ユーザーとコラボレーションしたいと要望が挙がりましたが、連携のためのデバイスやアカウントの貸与などに手間と時間がかかるという課題もありました。これらを解決するため、デバイス認証が可能な Microsoft Entra ID への移行に踏み切りました」と語るのは、出光興産 デジタル・ICT推進部 デジタルプラットフォーム課 福永 泰史 氏です。

  • 出光興産株式会社 デジタル・ICT推進部 デジタルプラットフォーム課 福永 泰史 氏

    出光興産株式会社 デジタル・ICT推進部 デジタルプラットフォーム課 福永 泰史 氏

  • Microsoft Entra ID 移行前の課題と移行の狙い

    Microsoft Entra ID 移行前の課題と移行の狙い

スマートフォンによる認証も踏まえ、3 STEP で進められた移行作業

Microsoft Entra ID への移行は 3 つの段階を経て進められ、STEP1 では、オンプレミスの AD に格納されているパスワードを Microsoft Entra ID にて利用できるようにするパスワードハッシュ同期という機能を有効化しました。パスワード ハッシュ同期は、Microsoft Entra Connect Sync によって実装されるディレクトリ同期の拡張機能で、オンプレミスの AD から Microsoft Entra ID に対して、ユーザーパスワードのハッシュ同期ができます。

「これまでオンプレミスの AD と Microsoft Entra ID 間のユーザーとグループは、Microsoft Entra Connect Sync を使って同期させていましたが、AD FS を使わず、Microsoft Entra ID のみでの認証を可能にするためには、Microsoft Entra ID にてオンプレ AD と同じパスワードを用いた認証を可能にする必要がありました。それを実現するために、セキュリティ上安全なパスワードハッシュ同期機能を有効化することにしました」(福永 氏)。

また STEP1 では、Microsoft Entra Hybrid joined 状態にするため、Microsoft Entra Connect Sync を使って、オンプレミスの AD に登録されているデバイス情報を Microsoft Entra ID に同期します。さらに、ID とパスワードだけでなく、Microsoft Entra ID が持つ条件付きアクセスとしてデバイス認証を追加し、セキュリティ強化を図っています。

Microsoft Entra Hybrid joined は、オンプレミスの AD に参加するデバイスを Microsoft Entra ID にも登録し、Microsoft Entra ID 上のアプリケーションに対するシングルサインオンやデバイスベースの認可などの機能を利用できるようにするための仕組みです。

  • 移行前の認証の流れ

    移行前の認証の流れ

STEP2 は、それまで使っていたサードパーティーの MDM(Mobile Device Management)を Microsoft Intune(以下、Intune)に切り替り替えるための作業です。具体的には、Microsoft Entra ID でスマートフォンの認証できるようにするために、Intune にデバイス情報を登録しました。

「スマートフォンからも PCと同じようにアプリケーションにアクセスできる認証基盤にすることが狙いでした。そこで、Intune と Microsoft Entra ID は密結合しているので、MDM を Intune に変えることで、コントロールがしやすくなると考えたのです」と説明するのは、出光興産 デジタル・ICT推進部 デジタルプラットフォーム課 課長 竹添 洋平 氏です。

  • 出光興産株式会社 デジタル・ICT推進部 デジタルプラットフォーム課 課長 竹添 洋平 氏

    出光興産株式会社 デジタル・ICT推進部 デジタルプラットフォーム課 課長 竹添 洋平 氏

MDM を Intune に移行することで、サードパーティー製 MDM のライセンス料が不要になり、同社は年間数千万円のコスト削減につながっています。

一方で、今回の移行作業において、ユーザーからの問い合わせがもっとも多かったのも、MDM に関する部分でした。MDM の変更により制御できる機能や階層に差が生じ、セキュリティを強化させながら移行すると、これまで使えた機能が使えなくなるという現象が発生します。

「『実際に操作してみたらここが使いにくかった』という意見はいくつかありました。そうした問題を解決したうえでユーザーに展開しましたが、私たちが想定していた仕様をきちんと説明しきれず、ユーザーに負担をかけてしまった部分もありました」(竹添 氏)。

STEP3 はクラウドサービスの認証連携先を AD FS から Microsoft Entra ID に切り替える作業で、ドメインの認証方式の切り替えによって実施されました。同社では認証を切り替えることによって、ユーザーの認証に影響が出ないよう、切り替えはユーザー数を絞って先行的に実施する段階的ロールアウトという機能を使って、3 段階に分けて行ったといいます。

  • 移行作業の 3 つの STEP

    移行作業の 3 つの STEP

マイクロソフトが経験不足による不安を解消し、移行を全面的にサポート

こうして進められた移行作業は、作業開始から 10 カ月後の 2022 年 6 月に AD FS サーバの利用停止まで完了しました。実際の移行作業は、福永 氏を含む 2 名の社員のみで完遂しました。当時、彼らは AD に関する知識が十分ではなく、それにもかかわらずトラブルもなく移行を成功させることができました。竹添 氏は、経験の浅い 2 人にプロジェクトを任せた理由として、人材育成の目的があったと述べています。

「私自身は Microsoft Entra ID も、AD FS も、認証周りの知識がない状態からの取り組みでしたので、切り替えるために必要な作業はマイクロソフトさんが提供しているウェビナーを見て流れをつかみました。実装の際は、FastTrack のサポートを受けながら、進めていきました」と、福永 氏は振り返ります。

竹添 氏は、トラブルなく移行作業が進められた要因として、マイクロソフトの FastTrack の存在が大きかったと語ります。FastTrack は、Microsoft 365、Azure、または Dynamics 365 のサブスクリプションに加入していれば、追加料金なしでマイクロソフトエンジニアの支援を受けることができるサービスです。

「STEP1 では、条件付きアクセスのコンフィグレーションをどう組んでいくかという点で、不安がありました。この部分については、マイクロソフトさんの支援を受けながら、レビューにも参加してもらって構成を組みました。そのうえで対象を少しずつ増やし、想定外の動きがないかどうかを確認しながら進めていきました。また、段階的ロールアウトを行った際、Microsoft Entra Hybrid joined の関係になっていないといけないのですが、なぜか Microsoft Entra joined になっているパソコンがいくつかありました。この要因をマイクロソフトさんに確認しながら、Microsoft Entra Connect Sync のチューニング方法も支援していただきました」(竹添 氏)。

Microsoft Entra ID の活用を深め、セキュリティ強化や外部ユーザーとの連携実現を目指す

同社ではこのプロジェクトが完了して以降、クラウドアプリケーションにおいて、Microsoft Entra ID による認証連携を進めており、今後はオンプレミスのシステムについてもできる限り Microsoft Entra ID にシフトしていく予定です。

それに加え、 Microsoft Entra ID に移行することで実現した条件付きアクセスを活用し、セキュリティ強化も図っていく構えです。同社は現在デバイス認証を利用していますが、条件付きアクセスではユーザーの振舞い情報を基にしたリスクスコアをベースとした高度な認可処理や、外部ユーザーに対する認可や認証強度の調整なども可能です。

「デバイス認証では、セキュリティパッチがどこまで当たっているのか、ウイルス対策ソフトのバージョンなどより条件を細かく設定できるので、さらなるセキュリティ強化を図っていきたいと考えています。また、特定のアプリケーションにだけ二段階認証を要求する、利用規約に同意してもらってからアクセスさせるといったアプリケーションごとの細かい要望に対応できるようになったのが、Microsoft Entra ID に移行したメリットだと感じています」と、竹添 氏は Microsoft Entra ID に認証に統合した効果を語りました。

移行作業の煩雑さやユーザーへの影響を考慮すると、なかなか AD FS 脱却に踏み切れない企業も多い中、出光興産は Microsoft Entra ID 移行のメリットを把握したうえで AD FS 脱却の判断を下し、移行を成功させました。その成功の秘訣は、綿密に練られた移行計画やマイクロソフトの手厚い支援にあります。出光興産は今後、クラウドサービスからオンプレミスのシステム群まで Microsoft Entra ID 活用範囲を拡大していくことで、全社的な認証条件の強化を目指し、多様な働き方を追求し続けます。

[PR]提供:日本マイクロソフト