全労済が、契約者向けインターネットサービスの認証基盤にシングルサインオンソリューションを導入
全国労働者共済生活協同組合連合会様 / SCSK株式会社 様
SCSKが「IceWall SSO」を提案、HPEとの強固な連携により大規模認証基盤を実現
"認証基盤における課題解決をHPEに委ねることで、私たちは業務プロセスのアプリケーションへの実装に注力でき、厳しいタイムスケジュールの中でテスト運用を含むすべての作業を計画通りに完了させることができました"
-全国労働者共済生活協同組合連合会
事務・システム統括部
企画二課
課長
小高 晋 氏
3,371万契約、契約高691.8兆円(2013年5月末現在)を有する全国労働者共済生活協同組合連合会が、組合員(契約者)向けのインターネットサービスとなる「マイページ」の認証基盤に「 IceWall SSO」を採用した。これを提案・構築したのはシステム開発を担ったSCSKである。HPEとの強固な連携により固有の機能要件にも柔軟に対応し、プロジェクトはスケジュール通りに完了した。
業界
保険
目的
全労済の組合員(契約者)向けのインターネットサービスとして、契約内容の照会や加入手続き・住所変更などが可能な「マイページ」を開設。これに伴い、セキュリティを担保しつつ、ユーザーの利便性も高める認証基盤(シングルサインオンシステム)を実現する。
アプローチ
セキュリティを確保するために独自の利用者登録プロセスを採用。仮登録ユーザーから本登録ユーザーへの登録スキームを認証基盤上に実装した。
ITの効果
・ シングルサインオンソリューション「IceWall SSO」を採用し、セキュリティとユーザーの利便性を両立
・ IceWall SSOの高いスケーラビリティにより大規模ユーザーに対応
・ 無制限ユーザーライセンスの採用によりコストを抑制
・ HPEとの強固な連携によりスムーズな問題解決と短期間での導入を実現
ビジネスの効果
・ 「マイページ」の登録者は4か月余りで1万ユーザーを突破
・ Webを通した各種手続きのセルフサービス化による組合員(契約者)の利便性と業務効率の向上
・ 組合員との接点強化により保障の見直しの促進や加入推進に寄与
・ 複数の認証基盤の統合、イントラネットへの適用も視野に
お客様背景
組合員(契約者)向け「マイページ」の開設
全国労働者共済生活協同組合連合会(以下、全労済)は、消費生活協同組合法に基づき、厚生労働省の認可を受けて設立された“保障の生協”である。全労済の共済事業は「こくみん共済」「マイカー共済」「火災共済」などで広く親しまれているが、現在では経済的保障にとどまらず、より豊かな生活を送るための総合的な生活保障へと守備範囲を拡げている。地域・職域を含む契約数は、実に3,300万を超える。
全労済 事務・システム統括部 企画二課 課長の小高晋氏は、「2013年2月、全労済ホームページ上に『マイページ』を開設しました。全労済がインターネット上で組合員(契約者)に直接公開する、初めての本格的なシステムサービスです」と紹介する。
過去3年分の契約・保障内容の照会、契約者本人の加入手続き、住所・電話番号や振替口座などの変更など――契約者は、「マイページ」によって24時間いつでも自由に照会や手続きを行えるようになった。
小高氏は「マイページ」開設の狙いを次のように話す。
「窓口で相談しながら自分のニーズに合った保障を慎重に選びたい、という方が増えています。その一方で、契約内容の確認や簡単な手続きは手軽に済ませたいという声も高まっていました。マイページのリリースは、日中お仕事などで忙しい組合員のニーズに広く応えることを最初の目標としました」
全労済の契約者の保障内容に対する関心の高まりとともに、窓口やコンタクトセンターへの相談件数も拡大傾向にあったという。
「24時間対応のセルフサービス型の窓口をインターネット上に開設することで、忙しい組合員の方へのサービス向上に寄与するとともに、業務部門の負荷を軽減させる効果も期待しました」(小高氏)
全労済として初めてのインターネット上でのシステムサービス「マイページ」――ここで求められたセキュリティ要件をクリアし、同時にユーザーの利便性を高めるためにシングルサインオンソリューション「IceWall SSO」が採用された。
全国労働者共済
生活協同組合連合会
事務・システム統括部
企画二課
課長
小高 晋 氏
全国労働者共済
生活協同組合連合会
事務・システム統括部
企画二課
谷村 裕 氏
SCSK株式会社
金融システム事業部門
西日本金融事業本部
金融システム第一部
開発第三課
西川 博之 氏
ソリューション
SCSKの提案により「IceWall SSO」を採用
「今回、SCSKの提案を受けて採用したのはIceWall SSOでした。マイページにはシングルサインオンは不可欠です。ユーザー本人を正しく認証するとともに、適切にアクセスを制御するというセキュリティ上の目的が第一にあります。そして第二の目的は、ユーザーにストレスなく様々なサービスをご利用いただくことです」と全労済 事務・システム統括部 企画二課の谷村裕氏は語る。
「マイページ」の各種サービスは、契約管理や給付金管理、契約照会といった複数のシステム/アプリケーションを横断的に活用して提供されるが、ユーザーはそれぞれのシステムに個別にログインすることなく“一度の認証”でシームレスにサービスを利用できる。この役割を担うのがIceWall SSOである。
「私たちの求めるセキュリティ要件をクリアできるか、サービス開始スケジュールに間に合うか、コストの妥当性はどうか。マイページサービスの認証基盤を構築するにあたって、大きくこの3つのポイントからシングルサインオンの実現方法を評価・検討しました」(谷村氏)
「マイページ」のアプリケーションとシステムの開発を担当したSCSK金融システム事業部門の西川博之氏は、IceWall SSOを全労済に提案した理由を次のように語る。
「私たちの提案の骨子は、ユーザー数無制限のIceWall SSOの『B2Cユーザーライセンス』を採用することでライセンスコストを抑制しつつ、短期間での認証基盤構築を実現するというものでした。IceWall SSOは機能が豊富で、HPEのコンサルタントによる十分なサポートも受けられることから、マイページでのセキュリティ要件もクリアできると考えました」
谷村氏は、「スクラッチ開発でなくパッケージ製品を採用するメリットは、私たちも十分に理解していました。検討に際して重視したのは、シングルサインオン製品としての完成度の高さと大規模環境での実績です」と語る。
IceWall SSOは、日本ヒューレット・パッカード(HPE)が国内で開発し提供するシングルサインオンソリューションである。大規模イントラネット/エクストラネット、BtoC/BtoBのオンラインサービスなど、様々なシステムの統合認証基盤として広く用いられ、1997年の登場から現在までのユーザーライセンスは実に4,000万を超える。国内シェアは46.9%*と圧倒的だ。
IceWall SSOは“リバースプロキシ”と呼ばれるアーキテクチャを採用し、アプリケーションサーバー側のエージェントを不要にしている。シンプルなシステム構成で認証基盤を構築でき、サーバーのスケールアウトにより処理能力の拡張も容易に行える。また、リバースプロキシ型のシングルサイオンシステムは、Webアプリケーションの前段に配置されるため、ビジネスクリティカルなアプリケーションがインターネットから直接の脅威にさらされないというメリットもある。
「本システムの構築スケジュールは全般的に非常にタイトなものでした。そのような状況の中でアプリケーション開発に注力したかった私たちにとって、HPEが認証基盤構築でタイムリーなサポートを約束してくれたことは大きな安心材料でした」(西川氏)
この後、HPEのコンサルタントは、プロジェクトが直面した課題の解決に大きな役割を果たすことになった。
*: SSO市場シェア 2013年度 (実績/売上金額ベース)
出典: ITR「ITR Market View:アイデンティティ/アクセス管理市場 2015」 (平成27年5月刊)
柔軟に機能をアドオン可能なIceWall SSO
認証基盤構築のプロジェクトは、2011年末までに要件を固め翌年1月から設計・開発に着手した。
「全労済として初めてのインターネット上でのシステムサービスを開始するにあたって、最も重視したのはセキュリティの確保です。しかし、セキュリティレベルを高めるとユーザーの利便性を損ねる部分も出てきます。トレードオフの関係の中でいかに最適化を図るか、これがプロジェクトの中で最も慎重に議論を重ねたテーマです」(谷村氏)
そしてプロジェクトが編み出したスキームは次の通りだ。
「マイページの利用申請時に、まずIDとパスワードをWeb上で登録していただきます。ここで“仮登録”を受け付けると、全労済で管理している組合員の住所にハガキを送付します。そして、ハガキに記載された本人確認用の“認証コード”をユーザー自身が入力することで“本登録”が完了する仕組みです。オンラインとオフラインを組み合わせ、パスワードと認証コードを同時に通知しないことでなりすましを防止しました」と谷村氏は説明する。
ここでプロジェクトが直面したのは、仮登録⇒本登録という手順をいかに認証基盤上に実装するかという課題だった。SCSK金融システム事業部門の下村博之氏は、次のように振り返る。
「仮登録のユーザーと本登録のユーザーを識別してアクセス制御する機能は、標準ではIceWall SSOには備わっていません。もちろん他のシングルサインオン製品にもない機能です。私たちは、これまでに多種多様な認証システムを構築してきた“セキュリティのプロ”であるHPEのコンサルタントに支援を求めました」
本プロジェクトのメンバーであるHPEのコンサルタントは、必要に応じてIceWall SSOのモジュールに処理プログラムをアドオンできる「UserExitルーチン」によりこの手順を実装することを提案した。IceWall SSOに標準で用意されるAPIを利用して、外部の認証アプリケーションとの連携を実現する手法だ。
「これにより、仮登録・本登録のユーザーを識別してアクセスできる範囲を自由に制御可能になりました。セキュリティレベルを下げることなく機能をアドオンできることは、IceWall SSOならではのメリットと実感しました」(下村氏)
結果的にプロジェクトは利用者登録機能の実装を無事に完了し、2013年2月にサービスを開始した。
効果と今後の展望
「マイページ」は4か月余りで1万登録を突破
「マイページのサービス開始から4か月が経ちましたが、現時点で1万以上の登録者を獲得することができました。まずは順調な滑り出しと言えるでしょう」と小高氏は評価する。
「住所や振替口座の変更手続きには、私たちの予想通り大きなニーズがありました。マイページの利用時間は、窓口やコンタクトセンターの営業時間外が多くを占めており、中でも夜間21時から22時台のアクセスが多いという傾向もわかりました」と谷村氏も手応えを感じている。
また、これまで全労済では「職域(労働組合や事業所などを経由)」と「地域(主に窓口)」という2つのチャネルを組合員との接点の場としてきたが、新たにインターネットという“第3のチャネル”が加わったことになる。ユーザーからのコンタクトセンターへの問い合わせに対し、コンタクトセンターオペレーターがユーザーと同じ画面を見ながらコミュニケーションできるよう「サポートログイン」という機能も新設された。
「マイページを活用すれば、契約満期を案内したり新しい共済商品を提案することもオンラインで可能になります。今後、第3のチャネルとしてさらに機能強化を図っていくことになるでしょう」(谷村氏)
全労済が運用する他の認証基盤の統合、外部からイントラネットへのアクセスにもIceWall SSOによる新しい認証基盤を適用することを検討中だという。
最後に小高氏が次のように語って締めくくった。
「認証基盤における課題解決をHPEに委ねることで、私たちは業務プロセスのアプリケーションへの実装に注力でき、厳しいタイムスケジュールの中でテスト運用を含むすべての作業を計画通りに完了させることができました。SCSKとの連携もスムーズで、プロジェクト全体のチームワークがマイページのスタートを成功に導いたと考えています」
ご導入企業様
全国労働者共済生活協同組合連合会 様
SCSK株式会社 様
本件でご紹介の日本ヒューレット・パッカード製品・サービス
本ページの導入事例は、PDFで閲覧頂けます。PDF (928KB)
本ページに記載されている情報は取材時におけるものであり、閲覧される時点で変更されている可能性があります。予めご了承下さい。