「ChatOps」環境の構築でエンジニアが
新しい価値を創造

インタビュー

「ChatOps」で必要となる認証・認可・監査ログの集約

インターネットサービスプロバイダーの老舗として名高いニフティ。法人向けサービスとして「ニフティクラウド」を運営するなど、インターネット関連サービスを幅広く提供している。同社はエンジニアの開発・運用環境を改善するためのプロジェクトを進めており、そのプロジェクトを主導するのが「技術戦略委員会」だ。プロジェクトの対象者は約500人。エンジニアだけでなく、デザイナーや企画担当者なども含まれている。

「エンジニアの開発・運用環境を改善するにあたり、システム開発の自動化や高品質化、標準化、透明化を行う必要があると考えるようになりました。そしてそのためには、チャットを中心にシステム開発・運用を行う『ChatOps』が有効だという結論に至りました」技術戦略委員会委員で、クラウド事業部 クラウドインフラ部の五月女雄一氏はこう話す。

あらゆるオペレーションをチャット起点に始める「ChatOps」を行うには、単一のSaaS（Software as a Service）やアプリケーションですべてまかなうのではなく、そのときどきで適材適所となるSaaSやアプリケーションといったツールを導入し、エンジニアが自由に利用できるようにすることが重要だ。

だが、利用者が誰であるか確認を行う「認証」、特定の条件に対しアクセス権限を与える「認可」、ログイン履歴や利用状況を記録する「監査ログ」の３つの情報をきちんと取得し、定められたセキュリティ要件や様々な外部監査へ対応出来ることが社内活用する上で必要不可欠だった。「当社は海外の企業や社外の企業と共同でプロジェクトを進めてシステムをつくっており、そういった企業と、いかに今のセキュリティルールを逸脱せずに、適材適所でツールを入れて、入れたツールを開発や運用でエンジニアが自由に使えるようにするというのが大事でした」と五月女氏は話す。

そこで必要とされたのが、認証・認可・監査ログを集約するツール。そしてニフティが選択したのが、クラウド型ID管理・シングルサインオンサービスの「NUROクラウド OneLogin」だった。

多要素認証機能を標準搭載しているのが導入の決め手

五月女氏は「NUROクラウド OneLogin」を含めて4サービスほど比較したが、ログイン時にパスワード認証とワンタイムパスワード（OTP）など、他の認証を組み合わせる多要素認証機能を標準で、安価に実現しているのは「NUROクラウド OneLogin」だけだったという。また「NUROクラウド OneLogin」の多要素認証機能は、ユーザーにとって負担にならないことも高く評価された。

それは以前ニフティがオープンソースの二要素認証のアプリを一度導入した際、OTPが数秒ごとに変わるため、OTPを入力する前に次のパスワードに変わってしまい、ユーザーに不満を抱かせてしまったという苦い経験があったためだ。「NUROクラウド OneLogin」はOTPの入力を軽減するためにスマートフォン用アプリケーションを提供している。ユーザーは「NUROクラウド OneLogin」のログインページでOTPの入力を求められた際に、急いでOTPを入力する必要はなく、スマートフォン用アプリケーションでワンタップするだけでログインができる。

「『NUROクラウド OneLogin』はログイン画面でOTPを急いで打ち込まなくてもアプリの『Send』ボタンを押すだけでOTPの入力ができます。ですから、ユーザーにはOTPを入力するという負担はほとんどないのが良いです。」（五月女氏）

また「NUROクラウド OneLogin」は、ユーザーや利用する端末毎、IPアドレスなどの条件に応じて、異なる認証レベルを要求するポリシーを上限なく設定できるため、接続経路や、BYOD（Bring Your Own Devices）で個人の端末を業務利用する場合と会社支給の端末を利用する場合とでポリシーを分けて運用するといった事が実現出来る点も高く評価されている。

ユーザープロビジョニング機能を活用して「Slack」とアカウント情報を同期

「NUROクラウド OneLogin」の導入を決めた強みは他にもある。一つは4,500以上のSaaS、WebアプリケーションでSSOを利用できること。二つ目にActive DirectoryやLDAPなどのディレクトリサービスと『NUROクラウド OneLogin』を連携することで一部SaaSとアカウント情報を同期できること。また「NUROクラウド OneLogin」は社内ネットワークにあるAD/LDAPと連携する際に、プロキシサーバを必要としないため、ネットワーク構成を柔軟に選択できるというメリットがある。

「例えば、チャットツールの『Slack（スラック）』との連携で言えば、AD/LDAPでアカウントを作成すれば、『NUROクラウド OneLogin』へアカウントが同期され、さらに自動的に『Slack』でもアカウントがつくられる。またAD/LDAPでアカウントを無効にすれば『NUROクラウド OneLogin』のアカウントも無効になり、『Slack』でもアカウントが無効になります。そのため、ユーザーの作成から有効化・無効化まで含めて、『NUROクラウド OneLogin』で一元管理ができ、管理工数を大幅に削減できるのです」（五月女氏）

さらにニフティでは監査ログの作成、マッピング機能によるルール書きなど多彩な機能を活用しているという。「監査ログに関しては、バッチ処理でアクティブユーザーの一覧を作り、定期的にファイル生成をするといったことができるため、自動で監査ログを生成して取得出来ることに利便性を感じています。またマッピングの機能は、他の同様なサービスに比べて細かい設定を行えるので気に入っています。例えば、全データを同期した後、あるルールに合致したユーザーをアクティブまたは非アクティブにするなどといったルール書きができるようになっているため、思いついたことをパッと実行できます。」と五月女氏は笑みを見せる。

「NUROクラウド OneLogin」導入で新しいツールを受け入れる土壌を構築

「NUROクラウド OneLogin」を導入したことで、各種SaaSやアプリケーションといったツールを利用しやすくなったと五月女氏は言う。「世の中が進んでいけば、新しいツールがたくさん出てくるでしょう。そういったものを受け入れやすくする土壌を作ることができたという意味でも、『NUROクラウド OneLogin』を導入したことは正解だったと思っています」

日本の企業がSaaSやアプリケーションを導入する際、課題として挙がるのが認証と認可と監査ログ取得の3つを行えるかどうかということ。これらをクリアできないために、SaaSやアプリケーションの導入を躊躇するケースが少なくない。例えば、「Slack」を利用したいという日本の企業は多いが、社内のセキュリティ要件や様々な外部監査へ対応出来ずに諦めるケースも多い。

「『Slack』単体ではセキュリティ要件に抵触した場合でも、『NUROクラウド OneLogin』と連携させれば、認証と認可と監査ログ取得の3つに対応することで社内のセキュリティ要件を守り、外部監査へ対応することができます。その観点に至らず、『Slack』の導入を諦めるのはとてももったいないことだと思います」（五月女氏）

新しい仕組みをエンジニアへ提供し、今後も様々なツールを導入していく

今回のプロジェクトを通して、ニフティはエンジニアにとって働きやすい環境を整えることができた。それによってエンジニアの能力を最大限に引き出し、事業展開のスピードアップに繋がったという。
「『NUROクラウド OneLogin』に限らず、ニフティは新しい仕組みをエンジニアに提供し、今後も様々なツールを導入することに意欲的に取り組んでいます。特に『Slack』が象徴的なのですが、シリコンバレーの先進的な企業が当たり前のように導入しているツールを、厳しいセキュリティ要件を定義し、外部監査対応が必要な日本企業でも導入できたことは大きな意味があると思っています」（五月女氏）

技術戦略委員会委員長で、IoT推進室 IoTデザインセンター 課長の市角 栄康氏は次のように語る。「エンジニアが今、どんどん『Slack』を使い始めています。それによって素早いコミュニケーションを取る土壌ができてきたので、『NUROクラウド OneLogin』の導入効果とも言えるでしょう」さらに技術戦略委員会副委員長で、IoT推進室 IoTデザインセンター エンジニアの森藤 大地氏はこう話す。

「ニフティのエンジニアには、日報ではなく“分報”という考え方があります。新入社員などをフォローするため、分単位で問題解決の方法を提供するというものです。『Slack』を導入してから分報の仕組みがよりスムーズに回るようになりました。『NUROクラウド OneLogin』の導入はこうしたことにも間接的に影響を与えており、きちんと効果測定を行えば、一定の効果が上がっていることが証明されると思います」

「NUROクラウド OneLogin」を導入し、「ChatOps」という先進的な仕組みの構築に成功したニフティ。その仕組みを通してエンジニアの開発・運用環境をより良くした同社が、次にどんな新しい価値を提供してくれるのか、期待が高まる。