東証が、プライベートクラウド上に情報提供サービスと統合認証基盤を構築
株式会社東京証券取引所 様
「IceWall SSO」を採用し高信頼かつ長期間利用可能なシングルサインオン環境を実現
"海外メーカーでは難しい迅速なサポート対応や、VMwareを利用した仮想化環境における認証基盤構築などの実績も評価しました。その上で、シンプルで安定した認証基盤をめざす我々のニーズに最適なソリューションと判断したのです"
―株式会社東京証券取引所
IT開発部 マネージャー
情報システム担当
原田 貴行 氏
東京証券取引所が、上場会社向け情報提供サービスの再構築を機にシングルサインオン環境を刷新した。IceWall SSOによる新しい統合認証基盤はプライベートクラウド上に構築され、ユーザーの利便性を向上させながら信頼性の高い認証サービスを実現。証券取引所としての社会的使命に求められるサービス継続性を確保し、ITを活用した情報提供の価値向上にも貢献している。
業界
金融
目的
上場会社向け情報サービスのシングルサインオン環境の構築。ユーザーの利便性を向上させながら、証券取引所としての社会的使命に求められるサービスの継続性を確保する。
アプローチ
標準機能に優れたパッケージ製品の導入により、カスタマイズによるシステムの複雑化を回避。シンプルな認証システムを実現し、認証サービスの信頼性向上、システムの可用性向上を図る。
ITの効果
・ 信頼性に優れたシングルサインオンソリューション「IceWall SSO」を採用
・ プライベートクラウド上で高信頼な統合認証基盤を実現
・ 仮想サーバー/物理サーバーの冗長化により、高可用性とサービスの継続性を実現
・ 既存の認証システムからのスピーディで確実な移行をサポート
ビジネスの効果
・ 複数のサービスへのシングルサインオンによりユーザーの利便性を向上
・ 認証基盤の統合により認証サービスの信頼性とシステムの管理性を向上
・ 証券界の共通インフラとしての認証サービスを提供可能に
・ IceWall SSO Ver10.0の「2024年3月末までのサポート」により長期間の利用が可能に
お客様背景
システム再構築を機にシングルサインオンを導入
金融市場のグローバル競争が加速する中、東京証券取引所(東証)は、国際競争力の向上をめざしてITを活用した提供価値の向上に注力している。その一つが、上場会社や取引参加者に対する情報サービスの拡充である。
今回、東証は、TargetとTDnet(適時開示情報伝達システム)をはじめとする外部向け情報サービスの認証基盤を一新した。その目的を、東京証券取引所のIT開発部マネージャー情報システム担当の原田貴行氏に伺った。
「これらのシステムは作られてから年月が経っていることもあり、利便性、操作性の向上が課題となっていました。特に問題だったのは、それぞれのシステムが独立して構築されていて、認証システムも別々だったことです」
Targetは上場会社と東証が書類や情報を電子的にやり取りするためのコミュニケーション基盤だ。一方、TDnetは投資判断の前提となる適時開示情報を開示するシステムである。業務の中でどちらのサービスも利用する上場会社の担当者からは、サービス利用の度にログインを強いられることに不満の声が上がっていたという。それぞれのサービスで異なるID・パスワードの管理も煩雑だった。
「Targetのシステム更改計画があり、これを機にTargetとTDnetの認証システムを統合することにしました。一度の認証でどちらのサービスもシームレスに使えるシングルサインオン環境の実現を目指したのです」(原田氏)
次期Targetは、ユーザーインターフェイスを一新し、上場会社向けの情報ポータルとして、プライベートクラウド上に再構築される計画だった。そして、シングルサインオンを実現する統合認証基盤も同じプライベートクラウド上での構築を前提とした。TDnetはもちろん、TM(I Tokyo Market Information)など他の情報サービスもシングルサインオンで利用できるようになる。「課題は、新たな統合認証基盤をどうやって構築するかということでした。議論を重ねた結果、私たちはカスタマイズを極力廃した認証パッケージ製品の導入という道を選びました」(原田氏)
株式会社東京証券取引所
IT開発部
マネージャー
情報システム担当
原田 貴行 氏
株式会社東京証券取引所
IT開発部
情報システム担当
調査役
伊坂 晋一 氏
ソリューション
高信頼な認証基盤を実現するIceWall SSO
その決断の背景には、TDnetなど既存サービスで使用していた認証システムへの反省があったという。「旧環境は、認証パッケージ製品にカスタマイズを加えた複雑なシステムで、サービス停止にこそ至らなかったものの何度かトラブルが発生し、復旧作業に苦労させられた経緯があります。これを踏まえ、今回の製品選択にあたっては標準機能だけで必要な要件に対応できることを重視しました」(原田氏)
そして原田氏は、統合認証基盤の信頼性・可用性には決して妥協を許さなかった。
「投資判断の前提となる適時開示情報を提供するTDnetをはじめ、私たちが提供する情報サービスは経済の根幹を支える重要な情報インフラです。その入り口としての認証基盤には、ノンストップでのサービス提供を支える信頼性と可用性が必須でした」
もうひとつは、長期間のサポートだ。
「システムのライフサイクルの中で、サポート切れへの対応は重要な課題です。認証システムは、新しい機能を追加するよりも安定した環境を長く維持することが重要なので、できるだけ長いサポート期間を求めたのです」(原田氏)もちろん、導入・運用のコスト削減も重要なポイントだった。これらの要件を盛り込んで、2011年4月に主要システムベンダー3社に対してRFPが提示された。
「私たちの要望に標準機能で応えられたのは、唯一『IceWall SSO』だけでした」と原田氏は振り返る。「IceWall SSO」は、日本ヒューレット・パッカード(以下HPE)が国内で開発し、提供するWebシングルサインオンソリューションである。イントラネットやBtoC、BtoBサービスなど、様々なシステムの統合認証基盤として広く用いられ、現在までのユーザーライセンスは実に4,000万を超える。金融業界をはじめミッションクリティカルな領域での導入実績も豊富だ。
「他を圧倒する実績だけでなく、リバースプロキシ方式を核としたアーキテクチャーの信頼性の高さも決め手になりました」(原田氏)
リバースプロキシ方式は、安定稼働している既存のアプリケーションに手を入れることなく、認証部分だけを刷新できるメリットがある。また、認証プロセスがロードバランサーの挙動の影響を受けないため、認証システム自体の信頼性が高いことも特長だ。
サポートに関しては、HPEから一般的な製品サポートの常識を超えた長期サポートプランが提示された。IceWall SSO Ver10.0から提供されている「2022年3月までのサポート*」である。「さらに海外メーカーでは難しい迅速なサポート対応や、VMwareを利用した仮想化環境における認証基盤構築などの実績も評価しました。その上で、シンプルで安定した認証基盤をめざす我々のニーズに最適なソリューションと判断したのです」(原田氏)
2011年6月、シングルサインオン製品として、IceWall SSOの採用が正式決定された。
*現在は2024年3月末までに延長。
仮想サーバー/物理サーバーにおける冗長化で可用性を向上
2011年8月から、VMware ESX上での統合認証基盤の構築がスタートした。システム構築における最も重要なポイントの一つが、サービスの信頼性・可用性の確保である。これを実現するためにシステムは冗長構成を採用。同一構成のIceWall SSOシステムが2系統、異なる物理サーバーの仮想マシン上に構築された。平常時は両系統とも稼働させ負荷分散をおこなう。もしOSや物理サーバーに何らかの障害が発生しても、残るシステムがサービスを継続する仕組みである。
「仮想サーバー環境、物理サーバー環境それぞれを冗長化することで、障害による認証サービス停止のリスクを最小化したのです」(原田氏)
さらに、DR(ディザスタリカバリ)対策としてバックアップサイトが構築された。大規模災害などで、東京にある東証のシステムが止まってしまっても、認証サービスは継続できる。社会インフラとして、ビシネスの継続に対する施策も万全になったといえよう。
続く既存認証システムからの移行作業において、原田氏は「ユーザーに負担をかけない移行」をリクエストした。もちろん従来からのID・パスワードを継続使用することが前提である。これに応えるため、HPEは既存の認証データベースの認証情報を新システムのフォーマットに変換する移行ツールを用意した。
実際の移行作業は2012年12月に開始。リスクの低減を図るため、TMIから、TDnet、次期Targetまで、各システムを段階的に移行していった。移行作業に携わったIT開発部 情報システム担当 調査役の伊坂晋一氏にその時の模様を伺おう。
「スムーズな移行に正直驚きました。私たちがおこなったのは、旧システムの認証情報についてのヒアリングシートを埋めてHPEにデータを渡しただけです。あとはHPEの移行チームが着実に移行作業を進めてくれました」
またID管理に関しては、ユーザー自身が管理できるよう運用ルールを変更し、そのためのツールとして「IceWall Identity Manager」が提供された。2013年の2月に移行作業が終了し、すべての情報サービスがシングルサインオンで利用できるようになった。各社の決算発表が集中する5月には情報サービスへのアクセスもピークを迎えたが、新しい統合認証システムは何の問題もなく処理し続けたという。
「プライベートクラウド環境においても、IceWall SSOは高いパフォーマンスを発揮しています。ピーク時のシステムリソースの利用状況に問題は発生しませんでした」(伊坂氏)
効果と今後の展望
“証券界の認証サービスインフラ”へ
稼働以来、IceWall SSOを起点とする障害は一切起こっていない。認証基盤が統合されたことで運用負荷も軽減された。もちろん、当初の目的であるユーザーの利便性向上も達成されている。東証はこの成功を踏まえ、さらなる展開を計画しているという。
「Targetは証券界の複数の企業や団体でも利用されています。今後、連携サービスを拡張していく中で、IceWall SSOのシングルサインオンを他社サービスの利用者にも幅広く提供していこうと考えています」(原田氏)
IceWall SSOなら、認証サービスを様々なWebアプリケーションに実装することも容易だ。この特長を生かして「証券界のインフラとしての認証サービスに発展させていきたい」と原田マネージャーは構想を語る。
最後に、本プロジェクトにおけるHPEに対する評価をいただいた。
「トラブルがあったときは、自分たちの製品だけではなくシステム全体を見て問題解決にあたる。HPEのエンジニアのこうした姿勢が、プロジェクトの成功につながったと感謝しています」(伊坂氏)原田氏は、HPEに新たな提案を期待しているという。
「HPEはハードウェアベンダーというイメージが強かったのですが、今回のプロジェクトを通じてHPEのエンジニアの優秀さを実感することができました。東京証券取引所の競争力の向上に結び付くような提案を待っています」
ご導入企業様
株式会社東京証券取引所 様
本件でご紹介の日本ヒューレット・パッカード製品・サービス
本ページの導入事例は、PDFで閲覧頂けます。PDF (900KB)
本ページに記載されている情報は取材時におけるものであり、閲覧される時点で変更されている可能性があります。予めご了承下さい。