Entra ID × Intuneで
境界防御ITインフラのゼロトラスト化に挑む

ゼロトラストセキュリティの実現を目指し、既存IdPのリプレイスを決断

100年以上の歴史を紡ぐ、日本を代表する総合エンターテインメント企業である吉本グループ。同社が利用するITインフラは近年、DX推進の観点からさまざまな提供機能の強化施策を実行する一方で、社員のセキュアで柔軟な働き方の実現において、いくつかの課題に直面していた。

情報システム部 部長の土屋 篤 氏は、当時の課題を次のように語る。「当社グループは約1,000名の社員が、約2,000台に上るPC、スマートフォンなどの端末を駆使して日々の業務にあたっています。タレントのマネジメントなどで移動が頻繁かつ、劇場や地方拠点で働く社員も多く、サイバーセキュリティと利便性の面から、従来のVPNによる境界防御型セキュリティに限界を感じていました。そこにコロナ禍での在宅での業務継続ニーズも重なり、中期計画としてゼロトラストセキュリティへの移行を決断しました。そしてそのためには、既存IdP（認証基盤）製品の見直しが必要だと考えました。」

同社が利用していたIdP製品は、社員ユーザーにSSO（シングルサインオン）を提供しているが、端末認証が証明書方式のみのため、端末単位でコストが加算されることに加えて、展開時に端末を回収してのインストール作業が必要。さらに、同社がEDRとして利用中のセキュリティツールが厳格で、証明書のインストール時には1台ずつ解除・復旧作業が必要であるなど情シス部門の管理負荷が高く、将来的な拡張性に懸念があった。

そこで同社は、ITベンダーに提案を依頼する。「新たなセキュリティホールが生まれることを懸念して、当社のITに理解の深い既取引先ベンダー2社に、提案を依頼しました。1社は当社のMicrosoft製品のライセンスおよびPCなどの端末手配、管理をサポートいただいているソフトクリエイト、もう1社はネットワークセキュリティに知見が高い、通信系企業です。」（土屋氏）

リソース負荷に配慮したスケジュール提示、
技術力とサポート意識の高さを評価しソフトクリエイトをパートナー選定

両社からの提案は奇しくも同内容で、Microsoft 365 EMS E3ライセンスを導入し、統合認証およびSSOの基盤としてMicrosoft Entra ID（旧Azure AD、以下Entra ID）を、そしてデバイス管理にMicrosoft Intune（以下、Intune）を活用するソリューションであった。これにより証明書の個別インストール作業を必要とせず、あらゆる端末の効率的な管理とセキュリティ強化が実現。さらに、SaaSなどとの高い連携性により、社員ユーザーに利便性の高いSSOを提供できる。

同社は比較、検討の結果、パートナーにソフトクリエイトを選定した。その理由について、土屋氏は次のように明かす。

「ソフトクリエイトはコスト面でも優位でしたが、なにより当方の対応負荷を考慮した現実的なスケジュールと役割分担を提示、丁寧に説明してくれたことに惹かれました。もともと人員が少ないことに加えて当時はDX推進に加えてコロナ禍対応もあり、ツール導入など多くのプロジェクトが同時進行していましたので、当社側のリソースに不安がありました。Microsoft製品についての技術力も、顧客サポートへの意識も高いソフトクリエイトなら、当社側の負荷を抑えて進行いただけそうだとの期待値が、決め手となりました。」

数々の技術的ハードルを両社で乗り越え、計画通り移行プロジェクトを完遂

移行プロジェクトは、2023年秋にスタート。ソフトクリエイトは、「Entra ID 移行支援サービス」に基づいて既存ITインフラのアセスメントを実施し、顧客視点での最適な移行計画を立案する。ここでの重要なポイントは、既存IdPの課題解決を行いながら、SSO/プロビジョニングしている各種利用サービスとの連携を維持することであった。

情報システムセンターの杉田 充紀氏は、本プロジェクトにおける技術的なチャレンジを、次のように明かす。
「当社ではDXを推進中で、タレントのスケジュール管理やコンテンツ配信、劇場スケジュールの管理システムなどSaaSやスクラッチ開発の連携サービスがプロジェクト進行中も日々増え続けており、それをどの順番で連携していくのか、ソフトクリエイトと何度も協議を重ねて、設計しました。利用端末はWindows PCに加えてMacもあり、スマートフォンもAndroidとiPhoneもあるマルチデバイス環境なため、利便性とセキュアなアクセスを両立させる要件の洗い出しおよび検証も、時間を要しました。また、本プロジェクトに先駆けてVPNの置き換えとしてZscalerの導入も進めていましたので、それとの連携も必要です。そして現状、全社員が利用する社内イントラがオンプレミス型のグループウェアで、契約がまだ数年残っていますので、連携を維持するために当面の間、オンプレのADとEntra IDをハイブリッド型で運用する必要がありました。さらに、当社はメールなどのコミュニケーションツールにGoogle Workspaceを利用しており、その連携にも気を使いました。」

ソフトクリエイトでは持ち前の技術力でこれらのハードルを粘り強く乗り越え、同社のリソースにも配慮しながら、着実にプロジェクトを推進。計画通り、2024年3月末にて無事、既存IdPからEntra IDへの移行と共に、適切なデバイス管理に向けてIntuneの利用全端末への展開を完了させた。

ゼロトラスト セキュリティに適合、
将来に向けた拡張性も高い新ITインフラの構築に成功

社内への展開については、SSOの連携先が切り替わるタイミングで、サービスごとに実施。2週間前と前日にメールで対象となる社員ユーザーにお知らせし、使い方マニュアルと問い合わせ窓口を設けて対応したとのこと。

「連携するサービスが多いので、一時期はほぼ毎日、何らかの切り替えを実施していました。事前に動作チェックを立会いのもとで行っていましたので、大きな混乱はありませんでした。ソフトクリエイトは使い方マニュアルや社内への告知の文面案作成などもサポートいただき、とても助かりました。」（杉田氏）

こうして同社は当初の計画通り、IdPをEntra IDに移行させると共に、Intuneによる最適なデバイス管理も実現。「どの場所にいても、どの端末からでも、同じセキュリティレベルで、安全に業務ができる」（土屋氏）という、ゼロトラスト セキュリティに適合し、将来に向けて拡張性も高い、新たなITインフラ構築を実現した。

「今回のプロジェクトで、端末の管理レベルがすごく上がりました。ゼロトラストにおいてはデバイスの統合的な管理と状態の可視化が欠かせません。今回、コンプライアンス準拠状況に合わせて管理できるインフラが整備できたことは、大きな成果だと思います。また、Microsoftのソリューションは世の中的にナレッジが豊富にあり、検索すればすぐに必要な情報が入手できる点も、メリットだと感じています。」（杉田氏）

尚、本件を主導したソフトクリエイトの高橋優斗は、日本マイクロソフトのパートナー企業において優れた活動を行ったエンジニアを表彰するプログラム「Microsoft Top Partner Engineer Award（Modern Workカテゴリ）」を受賞（プレスリリース）。土屋氏は、本プロジェクトにおけるソフトクリエイトの働きを、次のように評価する。

「高橋さんをはじめソフトクリエイトは当初の期待通り、高い技術力とサポート力で、我々の負荷を高めることなく移行プロジェクトを推進してくれました。今回IdP、SSOの入れ替えということでかなり慎重な対応が求められましたが一つひとつ、丁寧に根気強く対応いただき、感謝しています。いざ実施してみると次々と難しい要件が明らかとなり、ソフトクリエイトでなければ、うまくいかなかっただろうと思います。」

状況に合わせ適切なクラウドシフトで今後もDXを推進
これからも継続した支援に期待

「ゼロトラストセキュリティに向けた取り組みとしては、ひと段落」と語る土屋氏は、今後の方向性として「クラウドファーストという方向には向かうものの、現状ハイブリッドとなっているオンプレADのクラウド移行については、さまざまな観点から冷静に見極め、判断したい。」と語る。

最後に土屋氏は、ソフトクリエイトへの期待を含め、次のように結んだ。
「今後も当社はDX推進に向けて取り組みますし、会社の性質上、さまざまなコラボや先進テクノロジープロジェクトの声がかかるため、経営からGOサインが出たらすぐに動けるよう、常にスタンバイしておく必要があります。ソフトクリエイトは、何か相談するとすぐに返してきてくれますし、たとえば我々からの説明が不足していて状況が把握できていなくても、まずは提案をしてくれる。そしてその後も、対話のキャッチボールを重ねて精度を上げてくれる点が魅力です。これからも引き続き、最適なソリューションとサポートの提供に期待しています。」