アイデンティティ・セキュリティを中核に
ヘルスケアの未来を協創するプラットフォームを刷新

ゼロトラスト実現の中核となるアイデンティティ管理に着目

1878年に誕生した薬種問屋「塩野義三郎商店」にルーツを持つ塩野義製薬株式会社は、医薬品を取り巻く環境や社会の変化に合わせてビジネスのかたちを変えながら、140年以上にわたり人々の健康に貢献し続けてきた。2020年6月には、さらなる成長を達成するための戦略として中期経営計画「SHINOGI Transformation Strategy 2030（STS2030）」を策定。デジタル化の進展を背景に医療の在り方が大きく変わろうとしているなかで、2030年に向け、ヘルスケアをサービスとして提供するHaaS（Healthcare as a Service）企業への変革を目指して走り出している。創薬型製薬企業としての強みをさらに進化させ、他社や他産業とのパートナリングにより、新たなプラットフォームでヘルスケアの未来を創造する取り組みだ。

こうした動きを受け、同社では社内で利用するアプリケーションの数が顕著に増え、マルチクラウド化が急速に進んでいる。変革の土台となるITインフラ環境の複雑化は避けられず、「社内外との協創において安心・安全な環境」の実現は重要な課題の一つとなっている。

「当社では5年ほど前から、ゼロ トラスト ネットワークの考え方に基づいてITインフラの刷新を行ってきました」と塩野義製薬の那須氏。セキュアWebゲートウェイ製品の導入や、デバイス管理のクラウド化など、少しずつ進めてきた施策が一段落し、より精緻かつ高度なセキュリティ管理を目指す上で着目したのが、適切なアイデンティティ管理を行い、正しいアクセス権限を付与するために必要な認可の仕組みだった。シングル サインオンをはじめとした認証基盤の構築には比較的早い段階から取り組んできたものの、認可の仕組みにはレガシー システムを使用しており、権限変更の自動化や定期的な棚卸（アクセス権限審査）までは対応できていなかったという。那須氏はこう説明する。

「人に限らず、システムやRPA、IoTなどが使用するアカウントもあり、人やモノがいつでもどこからでもアクセスできる環境へのニーズは高まる一方です。セキュリティ リスクを可視化できず、不適切な権限が付与されていても気づけないような状態は望ましくありません。ゼロ トラスト セキュリティの実現に向け、ネットワーク レベルや社内・社外で境界線を設けるのではなく、アイデンティティ レベルできめ細かにアクセスを制御していく必要があると感じていました。」

使いやすいUIと開発・保守の負荷が少ない設計が決め手に

一部のクラウド サービスでは、個別に開発したシステムで権限管理の自動化を進めていたが、この先も増え続けるサービスに個別に対応していくのは現実的ではない。アクセス権限の付与―変更―剥奪、申請と承認、審査（棚卸し）のプロセスを効率的かつ効果的に制御できる仕組みを確立しない限り、どんなサービスも安全かつ適切に利用できないと考えた同社は、以前より関心を寄せていたアイデンティティ管理基盤の導入検討を本格化した。

いくつかの製品を比較検討した結果、同社はSailPoint Identity Security Cloudの導入を決定。一番の決め手となったのは、その使いやすさである。SailPoint Identity Security Cloudなら、ドラッグ＆ドロップ操作よるシンプルなインターフェイスでアイデンティティ セキュリティ プロセスを素早く自動化できる。また、従来のID管理にアイデンティティ ガバナンスの概念を取り込み、アイデンティティをセキュリティ アーキテクチャの中核に据えることで、ゼロ トラストの実現に向け着実に歩みを進めることもできる。

「製品のコンセプトや思想に共感したのはもちろんのこと、カスタマイズが容易であることを重視しました。当社は社内に多くのエンジニアがいますが、運用フェーズにおいて高度なコーディング技術や専門的なスキルを求められるとなると現状のスキルセットでは難しい面もあります。どんなシステムも導入して終わりではなく運用が肝になりますから、ユーザー フレンドリーなUI設計に加え、開発や保守の負荷が少ない点が評価のポイントになりました。」（那須氏）

同社は「セキュリティ リスクは経営リスク」という認識のもとで積極的にIT投資を行ってきた経緯もあり、導入に関する意思決定も早かったという。SailPoint Identity Security Cloudの導入は単なるかつてのID管理システムの刷新ではなく、ゼロ トラスト ネットワークへの変化という大きな文脈の中での施策であり、「セキュリティへの投資」との捉え方が意思決定を促したと言える。

効率化とセキュリティ強化を両立するメリットに期待

国内全従業員のアイデンティティ セキュリティの実現に向けて導入したSailPoint Identity Security Cloudは、2024年6月の稼働開始を目指して、現在は旧システムからのデータ移行を進めている段階である。アイデンティティの管理対象となるのは、塩野義製薬の国内全社の従業員や契約社員、常駐社員、グループ会社社員を含むシステム利用者全員で、その数は約6,500人に及ぶ。実装作業を進めながら、「改めて製品設計のベースにある考え方や機能群に高い可能性を感じています」と那須氏。

同社が期待する効果は大きく2つある。1つはアクセス権限の付与・変更の自動化である。これまでは、社員の入社時や異動時に必要な権限を後追いで付与することも多かったが、今後は部門や役職などに応じたロール定義をもとに必要なアクセス権限を自動で付与できる。これにより、オンボーディング プロセスの効率化が進むのは間違いない。一方、IT部門にとっては、アイデンティティが一元的に可視化されることで、誰にどのようなアクセス権限が付与されているのかを速やかに把握できるようになる。

2つ目は、手動によるコンプライアンスおよび監査関連の対応プロセスの簡素化である。SailPoint Identity Security Cloudは、監査報告書向けのデータを容易に抽出できるため、少ない人数で効率的に内部監査が行える。これまで情報収集や報告書作成にかかっていた時間、労力、コストが大幅に削減される見込みだ。また、内部統制・コンプライアンスの観点では、不要なアクセス権限を排除し、必要な人に必要な権限のみを付与する最小権限の原則の徹底が可能である。こうしてアイデンティティをセキュリティ対策の中核に据えれば、不正アクセスや情報漏えいリスクを低減できるメリットも期待できる。

稼働後も効果的に運用を回していくための施策を検討

「SailPoint Identity Security Cloudが無事に稼働したからといって、それだけでは意味がありません。アクセス権限の管理対象となるアプリケーションをどこまで増やせるか、増やした結果、必要なときに必要な権限情報をいかに効率的かつ一元的に管理できるが重要になってきます」と那須氏。アクセス権限管理に関わる領域の設計はアプリケーションごと、ビジネス要件ごとに細かく異なることも多く、効果的に運用を回していくための施策が不可欠であると指摘する。具体的には、権限についての明確なルールやポリシーを定義した社内向けガイドラインの整備を進めていく計画で、「IT部門だけでなく、ユーザー側が正しく理解して適切に利用できるように、時間をかけて取り組んでいきたい」と語る。

プロジェクトはまだ道半ばであり、SailPoint Identity Security Cloudの手応えは未知数だが、ゆくゆくは同製品が提供するAI主導のインテリジェントな自動化も視野に入れている。AIの活用により手作業の限界を突破することで、さらに高度なアイデンティティ ガバナンスを実現する狙いだ。今後多様なパートナーと新しい取り組みを進めていく上で、アクセス権限の複雑化は避けられない。SailPoint Identity Security Cloudは、単なるアクセス管理を超え、セキュリティと生産性の両面から塩野義製薬のHaaS企業への変革を力強くドライブしていくことだろう。