Spirit AeroSystemsがユーザープロビジョニングとアイデンティティ管理の効率化のためにSailPointを選択

Spirit AeroSystemsは、航空機構造部品の世界最大の設計・製造業者です。カンザス州ウィチタに拠点を置く同社は、商用、軍用およびビジネス用のジェット機/リージョナルジェット機の構造部品を設計しています。80年以上の経験を利用して、Spirit AeroSystemsは、ボーイング社やエアバス社など知名度の高い顧客にサービスを提供しています。

課題

Spirit AeroSystemsのコンピュータセキュリティチームは、旧式のアイデンティティ管理システムに対処しなければなりませんでした。いずれはシステムをアップデートする必要があると分かっていましたが、内部監査によってアクセス権棚卸が不十分であるとわかったことがそのきっかけになりました。

従業員の離職後もプロビジョニングが解除されないのは、珍しいことではありません。そのため、もう在籍しない社員のアカウントが何ヵ月間もアクティブであり得るのです。これにより、知的財産の盗難や規制のコンプライアンス違反などをはじめとする、多数のリスクが生じるのは明らかでます。

「私のグループはリスク評価を担当しており、アイデンティティ管理が大きなリスクであることを把握していました。内部監査の後、アイデンティティ管理のアップグレードが、すぐに着手する必要があるプロジェクトになりました」と、AeroSystemsグローバルコンピューティングセキュリティマネージャーのRonald Shuck氏は語っています。

Shuck氏と彼のチームは、徹底的な分析を行い、6ヵ月以上かけて新しいシステムの要件を見つけ出しました。

選択基準はエンドユーザーを重視

アクセス権棚卸の要件によってプロジェクトが開始されましたが、Shuck氏はエンドユーザーを常に重視していました。「私の考えは、既存の扱いにくいシステムから、セルフサービスのエンドユーザープロビジョニングを可能にし、全体的な使いやすさを重視するシステムへ移行することでした」と彼は語っています。

もう1つの重要な検討事項は、どのツールを選んでも、SAPなどSpirit Aerosystemの既存アプリケーションとツールに対応できなければならない、ということでした。

最終的に、これらの課題はすべて解決され、Spirit AeroSystemsはアクセス権棚卸要件に再び集中できるようになりました。

最終候補の決定

当初Spirit AeroSystemsは、ユーザープロビジョニングを含むバックエンドをOracleかIBMにする予定でした。一方、ユーザーに対応するフロントエンドについては、SailPointとAveksa(2013年にRSAによって買収)を検討していました。

最終的にSpirit AeroSystemsは、バックエンドにOracleを、フロントエンドにSailPointを選びました。また導入の支援を受けるために、サードパーティーのテクノロジーコンサルタントも参加させる予定でした。

ところがコンサルタントが特定の製品タイプとバージョンを推奨したため、導入が難しくなりました。また当時、SailPoint IdentityIQには、Spirit AeroSystemsのプロビジョニングベンダー用のコネクタが含まれていませんでした。しかしSailPointは、コネクタを作成し、プロジェクトをSpirit AeroSystemsの限られた時間の範囲内に何としてでも稼働させることに同意しました。

SailPointがフロントエンドとバックエンド両方を引き受ける

この時はまだSailPointは導入において大きな役割を担っていませんでした。「SailPointは当社のために、目標期日までにカスタムコネクタを作成しました。これは素晴らしいことでしたが、まだSailPointとしっかりした関係は築いていませんでした」とShuck氏は語っています。

この時点では選択肢は多くなかったため、アイデンティティ管理プログラムのために何かできることはあるかどうかShuck氏はSailPointに直接連絡したのです。

「正直なところ、自分でもどうなるのかわかりませんでした。SailPointがプロジェクト全体に対処できるかも分かりませんでした」とShuck氏は語っています。「私はSailPointに連絡を取り、私たちの要望について長々と説明しました。SailPointは直ちにプロジェクトに着手し、事態は好転し始めました。」

当初Spirit AeroSystemsは、問題のある個所すべて修復するつもりでした。SailPointはプロジェクトの規模を調査し、最初からやり直すことを提案しました。構造上、バックエンドは修理不可能でした。問題を引き起こしていた重要なコンポーネントの再構築が不可能だったことが理由です。

「SailPointチームの主要メンバーは、SailPointによるプロビジョニングの対処は可能であり、対処した場合は、統合の問題は解決すると私に伝えました」とShuck氏は語っています。

さらには、SailPointが最初からやり直した場合のコストを試算すると、以前のサプライヤの1年間の保守ライセンスコストとほぼ同額でSailPointのプロビジョニングを実施できることが分かりました。

「私たちは1年半で大幅なROIを達成するでしょう。その後は毎年18万ドル節約できます。これは、SailPointのライセンスと保守契約は非常に手頃な価格であるからです」と、Shuck氏は語っています。

中心的価値としてのカスタマーサービス

多くの企業が大規模な企業展開の際に遭遇するように、Spirit AeroSystemsでは途中で作業の遅延が数回ありましたが、SailPointは入念に作業を行い、遅れを打開しました。

「会社を評価するための最善の方法は、物事が上手くいっていない時に、如何に上手く作業を遂行できるかによります」と、Shuck氏は語っています。「SailPointはさらに頑張りを見せました。作業時間を延長してくれたおかげで、こちらは予算内で済んだのです。実際、SailPointは万事うまく運ぶように熱心に取り組んだので、もっと予算が必要なら何とかすると申し出たくらいです。しかしその必要はありませんでした。」

例えば、Spirit AeroSystemsは、もうサポートされていない非常に古いバージョンのSAPを使用しています。SailPointはそのためにカスタム統合を構築しました。このような類のサービスは、SailPointチームでは標準として見なされています。

速やかなオンボーディングと、より効率的なワークフローなどのメリット

SailPoint IdentityIQを導入することで、Spirit AeroSystemsの全体的なユーザープロビジョニングとオンボーディングプロセスは、はるかに簡単になり、高速化し、効率的になりました。

以前は、ITが各スタッフの申請を処理しなくてはなりませんでした。これは手作業で行われ、多くの人手を要しました。今ではこの作業の多くがエンドユーザーのセルフサービスを通して処理されるようになり、ITが何かを有効化する必要がある場合のプロセスも効率化されています。ITマネージャーはショッピングカート式のインターフェースを使用して、様々な権限をクリックするだけでユーザーを設定することができます。

「私のチームにとって最大の成果は、そもそも今回の変更のきっかけとなったアクセス権棚卸プロセスの作業をついに開始できるようになったことです。私たちは今後も、新しいアプリケーションとシステムの追加を続けますが、ベンダーの関与や専門サービスなしにこれを行えるのです」とShuck氏は語っています。

セキュリティワークフローはより合理的で高速になり、効率化されています。また、Shuck氏と彼のチームは、ビジネス要件の変化に合わせて、管理対象のアプリケーションとロールベースの制御を簡単に追加することができます。


Discussion