複数のクラウドサービスを使っていると、どうしてもサービスごとにログオンが必要になり、かなり面倒になります。これを解決してくれるのがシングルサインオンを実現するサービスなのですが、ポリシー設定が難しく情シスのいない企業にとってはハードルが高いと感じてしまうことでしょう。

また、政府が脱PPAP対策を打ち出し、メールの暗号化ZIPファイルの廃止により、代わりにどのようなセキュアな対策が打てるのかも問題になっています。実はこの2つの悩みを同時に解決してくれるサービスがHENNGE株式会社の「HENNGE One」です。今回は、同社のパートナーセールスの3人に本サービスの強みについて伺いました。

聞き手はエンジニアでありタレントの池澤あやかさん。なお記事中の発言は個人の見解で所属企業を代表するものではありません

クラウドサービスにおける2大セキュリティ課題を解決する

HENNGE株式会社 パートナーセールス アカウントマネージャーの藤本京介さん

藤本京介さん(以下、藤本) 「SaaS認証基盤サービスである『HENNGE One』ってご存じですか?」

池澤あやかさん(以下、池澤) 「どのようなサービスなのかは存じ上げないのですが、先日品川駅でウルトラマンを使った広告を見かけました」

藤本 「ありがとうございます。今年の4月1日から、ウルトラマンとコラボしておりまして。一応キャラクター選定には意味があり、バルタン星人が増え続けるクラウドサービス、ダダが情報ダダ漏れ、カネゴンはSaaSが増えてコストがかさむという、各キャラクター選定にも意味をもたせているんです。そしてウルトラマンがクラウドサービスに対して“プラスワン”することで解決するというイメージです」

池澤 「それぞれ意味があったんですね」

HENNGE Oneの広告にはウルトラマンに登場するキャラクターを採用しています

藤本 「まずは会社の概要なのですが、HENNGE株式会社は2019年に東証マザーズに上場し、同時に株式会社HDEから改名しています。名前の由来は、われわれのテクノロジーで市場の変化に対してチャレンジする「変化にチャレンジ」からきています。実は、創業から26年目の国産企業で、本社は渋谷にあり、そのほか大阪や名古屋、福岡、そして台湾に拠点があります。HENNGEでの開発から販売、サポートまで一気通貫で行っている事業となっております。

HENNGE Oneは、クラウドサービスに対するセキュリティや利便性を上げるサービスで、大きく分けて2つの機能があります。1つはアクセス制限や多要素認証などを実現する『HENNGE IdP Edition』、もう1つがメールをセキュアに保つ『HENNGE E-Mail Security Edition』です。池澤さんもいくつかクラウドサービスをお使いではないですか?」

HENNGE Oneには、2つのEditionがあり、どちらかを契約するかまとめて契約するか選択ができます

池澤 「そうですね。結構使っている気がしますけど、どれだけ使っているか把握していないかも」

藤本 「クラウドサービスを使うには、基本的にその都度IDとパスワードが必要ですが、複数のクラウドサービスを使っているとそれぞれ入力しなければなりません。それをセキュアに保ちつつ1つにまとめて簡単にサインオンしてしまうアドオンサービスがHENNGE IdP Editionです。

もう1つは、皆さんがよく使うGmailやExchange Onlineなどといったビジネス向けクラウドメールに対し、誤送信や情報漏えいなどを未然に防ぐためのアドオンサービスのHENNGE E-Mail Security Editionです。例えば脱PPAP対策って聞いたことがありますか?」

池澤 「仕事で基本事項の1つとして覚えさせられた気がします」

藤本 「メールの添付ファイルで、パスワード付きZIPファイルとパスワードが別々に送信されてくることがありますが、あのPPAPの手法自体がセキュリティ上意味がありません。それに加え、ウイルスがその添付ファイルの中に入っている可能性もあるため、われわれのサービスを使えば、すべて対策ができます。

HENNGE Oneは、クラウドサービスを使うときのセキュリティ対策をまとめて行えることが、いちばんの強みかなと思います」

池澤 「2つのサービスは少し違うジャンルのような気がしますが、なぜまとめて提供しているのでしょう」

藤本 「それは、クラウドサービスにおける2大セキュリティ課題だからです。こうした2つのサービスは、たくさん競合がありますが、意外とこの2つをまとめているサービスがなく、HENNGE Oneで提供することにしました」

川﨑正治さん(以下、川﨑) 「グループウェアとして、Microsoft 365やGoogle Workspaceなどを導入する企業が多いのですが、そのときに認証の部分とメールの部分のセキュリティ対策が必要だとかなり認識されています。そうした需要に応えられるようサービス展開しているのがHENNGE Oneです」

HENNGE株式会社 パートナーセールス セクションマネージャーの川﨑正治さん

すべてのサインオンを1つにまとめるHENNGE IdP Edition

藤本 「まずは、シングルサインオンや多要素認証のところを実現するHENNGE IdP Editionですが、さまざまなクラウドサービスを利用するには、IDとパスワードがそれぞれにあって、しかもパスワードがサービスによって条件が異なるためユーザー一人ひとりが管理するには限界があります。それを1つにまとめてしまうわけですが、一方で『1つ突破するだけだからリスクが高くならないか』と逆に心配されます」

池澤 「確かに1つ突破すれば全てのサービスにアクセスできますからね」

藤本 「その点はセキュリティを強固にする多要素認証を採用しています。例えばIDとパスワードだけでなく、社内のIPからのアクセスだったり、認められた端末だったり、スマホに通知が来て承認するなどを組み合わせることによって、セキュリティを高めています」

池澤 「社内からや会社の端末のみでしか利用できないなら、セキュリティ的には高まりますよね」

藤本 「ZoomやLINE WORKS、Slack、kintoneなど、対応しているサービスは175を超えており、よく利用されているサービスはほぼ、われわれのシングルサインオンができます。

あとユーザーごとにポータルサイトを提供しているので、朝パソコンを開いてこのシングルサインオンポータルに一回サインオンすると、あとは連携しているクラウドサービスすべてにサインオンしていることになり、ユーザー側のITリテラシーに関係なく、パスワードの入力で迷うことなく複数のクラウドサービスを利用できるようになります。

導入する際に重要なのは、ユーザーの働き方や環境に応じてどのように制御設定するかになります。このあたりの設定は、情シスでもないかぎりかなり難しいと思うので、われわれがコンサルタントのような形で入らせていただき、環境などをヒアリングした上で、どのように制御したいのか、最適な方法で設定します」

シングルサインオンが利用可能なクラウドサービスは175を超えます

池澤 「それは心強いですね」

藤本 「IP制御やデバイス証明書を活用することで、シームレスにユーザーが利用できるようになります。通常のサービスだと、設定を自分たちで全部やらなければならないため管理が大変です。われわれのサービスは安価で、しかもサポートが付いているので、非常に喜ばれています」

池澤 「社内とかだとIPを見ればわかりますが、社外からとなったときはどうするのでしょう」

藤本 「ポリシールールの設定の仕方次第ですが、グローバルIPかデバイス証明書が適用できたら、サインオンできますよというルールが人気ですね。VPNをすでに利用しているのであれば、VPNからのアクセスか見ればわかるので、それでサインオンは可能となります。VPNを利用していなければ、デバイス証明書を入れることで、誰の端末なのかを判断し、サインオンできるようにします。

こうすることで、会社としては少ない費用で、かつ効率的にデバイス制御やアクセス制御ができることになります。もっとも、どう制御すべきかは難しい判断のため、われわれがかみ砕いてご提案させていただいております」

アクセスする場所によって、ポリシールールを決めていきます

池澤 「ユーザーによって違う設定にすることもできますか?」

川﨑 「もちろんできます。ただやはり部門単位で設定するケースが多いですね。例えば営業と総務とでは働き方がまったく違いますから。最終的には情シスさんが設定をメンテナンスすることを考えると、なるべくシンプルにしたほうが運用しやすいからです」

藤本 「もう1つ、最新のポリシーとしてプッシュ通知アプリというルールがあります。これは、脱パスワードや脱VPN、ゼロトラストセキュリティの実現で、コストの削減とともに面倒なパスワード入力をなくしたいという要望がすごく増えています。

そうしたときに、デバイス証明書とプッシュ通知アプリという2つのポリシーを組み合わせた多要素認証をオススメしています。まずサインオンしようとすると、デバイス証明書の確認をします。そのあと、自分の持っているスマートフォンに通知が来て承認すると、IDとパスワードを入れなくても二重認証になっているので、パスワード不要で各クラウドサービスにワンタッチでサインオンできます。

こうしたサインオンの仕組みがますます普及することでセキュリティリスクを排除しつつ利便性を高めていきたいと思っています」

パスワードを入力する手間を省く取り組み

池澤 「クラウドサービス自体でも、すでに多要素認証があるじゃないですか。スマホで承認したりとか。そういったものでも大丈夫なんですか?」

藤本 「SAML認証という認証規格を利用して、各サービスの認証に成り代わってHENNGE Oneのサービスが自動的に処理しますので大丈夫です」

HENNGE E-Mail Security Editionでメール周りを強化

藤本 「もう1つのHENNGE E-Mail Security Editionは、誤送信対策のメールサービスで、Gmailや、Exchange Onlineといったクラウドメールに対して、その間に入ってクラウドストレージを活用したファイルの添付やメールの保留、送信メールの共有や取り消しなどができるようになります。添付ファイルは、最大2GB、5ファイルまで送ることができるHENNGE Secure Transferという大容量転送ファイルも利用可能です」

池澤 「私はあまり、誤送信したことはないですね」

藤本 「世間一般的には結構起こっています。送信してからすぐ誤送信に気がつくというケースは8割も経験があるそうです。この場合、一時保留機能を使うことで、例えば15分や30分保留しておき、保留されているメールは、チームメールとしてチームのみんなが見られる仕組みになっています。なので、間違いを見つけたり、急ぎのものは即送信したりなどができるようになっています」

池澤 「確か、Gmailにも送信取り消し機能があった気が」

外山雄一さん(以下、外山) 「Gmailは最大90秒までしか設定できないので、誤って送信ボタンを押したとか、添付ファイルを忘れたなどといったときしか使えないのです」

HENNGE株式会社 パートナーセールスの外山雄一さん

藤本 「意外とビジネスメールでのミスは取り返しのつかない事案もあるため、こういった一時保留機能のニーズは、かなりあります」

川﨑 「メールにCCなどで社内メンバーが入っていると、その人には即時メールが届く仕組みになっています。そのため社内の人はすぐ確認できるので、間違いに気がついたらすぐそのメールを取り消すことができます」

池澤 「チームメンバーにはすぐ届くのなら、都度チェックにいかずに済むので楽ですね」

藤本 「上長がチェックしていて、誤送信を見つけて助かったという話はわが社でも結構あります(笑)」

池澤 「何事にもダブルチェックは重要ですよね」

藤本 「続いて脱PPAPについても詳しく紹介します。メールで添付ファイルを送ろうとしたとき、ZIPで暗号化圧縮しパスワードをつけます。そうすると、相手にはZIPファイル付きのメールとパスワードだけのメール2通が自動で送られてくるのですが、これはセキュリティ的にあまり意味がなく、1年半前に政府もやめようと宣言しました。これに代わり、添付ファイルをクラウド上へ置き、アクセスするURLを発行して、それをメールに記載する方式を推奨しています。

ただ、この作業をユーザーがその都度やるのは面倒で、しかもしっかりアクセス管理しないと、不正アクセスされる可能性があります。情報漏えいにもつながりかねないため、そういった作業をすべて自動でやりますというのが、このサービスです。

手順としては、今までどおりメールに添付ファイルを付けて送ってもらうだけです。HENNGE Oneのメールサーバーを通過するときに、添付ファイルをクラウドストレージにアップし、そのURLをPDFに保存して相手へ送信します。アクセスする際は、このPDFを開くと本人確認をし、認証コードが届いてダウンロードができる仕組みになっています。

メールを受け取る側としては、これまでのPPAPとそん色ありません。使い勝手はとてもシンプルですが、この方式のメリットはスマホでメールを受け取っても見られるということです」

相手がファイルをダウンロードする手順

池澤 「スマホだとZIPで圧縮されていると見られないんですよね」

藤本 「しかもPDFで添付することで、改ざんができません。セキュリティ的にも利便性的にも非常にメリットのあるサービスなんです」

池澤 「確かに、これからはファイル添付はやめてファイル共有でお願いしますと言われても、できる人とそうでない人がいそう」

川﨑 「HENNGEへの問い合わせは、いまいちばん多いのがこのサービスです。もうZIPファイルは受け取らないという会社も増えてきていますので」

池澤 「受取拒否(笑)。それは、なんとかしないといけないわけだ」

藤本 「一応、メールのドメイン指定で、この会社には添付ファイルを送らないようにするとか、特定のユーザーには通常の添付ファイルにするなどの設定も可能です。利用するユーザー側も柔軟にポリシーを作れるので、われわれの方で導入時にサポートいたします」

池澤 「このサービスは、クライアントは今までのものでも大丈夫なんですか?」

藤本 「はい、メールサーバー自体がGmailかExchange Onlineかという縛りがあるのですが、いつものメールのやり取りと変わらず利用できます」

外山 「Exchange Onlineの基本認証は廃止される予定ですが、基本認証の部分に関しては、HENNGE IdP Editionでまかなえるので一緒に導入されるのが望ましいです」

充実したサポート体制と時代に合わせて変化する取り組み

池澤 「通常のクラウドサービスはいろいろ対応されていますが、社内用のオンプレサービスにも適用できるのでしょうか?」

藤本 「実は、これまでできなかったのですが、4月4日にHENNGE ConnectというHENNGE One経由でオンプレミスシステムへアクセスできるサービスができました。簡単に言いますと、HENNGE Oneのポータル画面にオンプレミスシステムへアクセスするイントラネットのサービス自体を組み込む形で実現しています。

ただ、シングルサインオンではなく、これまでオンプレミスのシステムへはVPN限定だったものを、HENNGE Oneで認証していれば、ポータル経由でアクセスでき、オンプレミスシステムに入るときはIDとパスワードでもう一度入る二重の認証という仕様です。

意外とまだNotesや自社で作ったスクラッチのシステムが残っていて、こうしたシステムへの アクセスに関しても柔軟に対応していくという、変化に対してチャレンジする機能をどんどん作っていこうとしています」

池澤 「ちょうどサービス開始したところだったんですね」

藤本 「最後に導入実績ですが、契約者数2056社、契約ユーザー数としましては223万8000ユーザーと、大企業から小規模事業者まで、業種業界関係なくクラウドサービスを利用している企業が利用しています。そして継続率が99%以上となっており、ほぼ使い続けていただいています」

池澤 「99%というのはすごいですね」

藤本 「その理由の1つとして、充実したサポート体制が挙げられます。やはり導入するには、なかなかハードルが高いサービスで、そのため専任のエンジニアを必ずエンドユーザーさんに対して、2~3名アサインさせていただきます」

池澤 「2~3名って、導入する企業の規模にもよりますが多いというイメージです」

藤本 「これがうちの売りで、導入時に誤送信やポリシー要件の定義など2時間ほどミーティングをします。それぞれ会社ごとにやりたいことは違うため、まずはどうしたいのかアウトプットしてもらい、それに対してアドバイスしていきます。ほぼつきっきりで導入するまでの1.5カ月ぐらい、HENNGE Oneの設定の部分については手厚くサポートさせていただきます。

導入後もプランによっては、設定代行も行います。しかも別途サポート料を取るのではなく基本料に含まれているので、サポートを受けるために別途コストはかかりません。このあたりも選ばれている理由の1つです。

料金は、オールインワンで1ユーザー600円/月から。初期費用もかかりませんので、かなり導入しやすいと思います」

池澤 「初期費用もいらず、月額費用も抑えられていて、サポートが充実。それは喜ばれますよね。情シスがいないような中小企業でも楽に使い回せそう」

川﨑 「クラウドサービスは、売りっぱなしのようなイメージがありますが、われわれは、その後もキチンと関わらせていただくので、継続率が高いのだと思っています」

池澤 「サポートは重要ですよね。今回のお話を聞いてシングルサインオンの仕組みが理解できました。利便性とセキュリティを両立する取り組みですし、こういうサービスの存在を知って勉強になりました」

藤本 「私としては、HENNGE Oneをもっと多くの方に使っていただき、働き方に寄与していきたいと思っています。ニーズやセキュリティリスクは、時代によって変化していきますが、われわれのテクノロジーでその時代に合ったものを作り続けていきます。HENNGEがずっと陰で支えていければ、われわれとしては、すごく幸せなのではないかと思います」

川﨑 「社会が変われば、われわれの会社も変化していく、それは会社の方針でもありますが、ニーズに合わせて新しいサービスを起ち上げたりして、今後も新しいことに挑戦していきたいですね」

外山 「日本だけでなくワールドワイドに向かっていくことは、会社の最終的な展望だと思っています。現にHENNGEでは公用語が英語で、まだまだ私は四苦八苦している状態ですけど、そういった中でチャレンジをしていくことは、国籍とか関係なくみんなが活躍できるような場を提供できる会社になればいいと思っています」

HENNGE Oneは、Microsoft 365、Google Workspace、Boxなど複数のクラウドサービスへのセキュアなアクセスを実現します。IP制限、多要素認証、ワンタイムパスワードなどや特定の端末のアクセスを許可により、クラウドサービスへのシングルサインオンを可能にします。また、Microsoft365、Google Workspaceのクラウド型メールサービスと連携するメールセキュリティ機能なども提供しています。

「iKAZUCHI(雷)/いかづち」はサブスクリプション管理ポータルです。DISの販売パートナーは、「iKAZUCHI(雷)」をご利用いただくことで、多様化するサブスクリプション型のクラウドサービスの注文工数が削減され、月額や年額の継続型ストックビジネスの契約やご契約者様の一元管理が可能になります。