dodaエージェントサービスを提供するキャリアアドバイザー（以下CA）やリクルーティングアドバイザー（以下RA）が日々の業務で利用する基幹システム、ARCS（アークス）。セキュリティのさらなる強化や今後のAWSへのクラウド移行を見据え、2023年2月に認証方式をWindows認証からAmazon Cognito認証（OAuth認証）へ切り替えました。

顧客からお預かりした情報を扱うシステムであり、また数千名以上の社員が日々使うものだからこそ、認証方式の切り替えにおいては、スムーズかつ事故のないセキュアな対応が必要になります。

今回は本プロジェクトを担当したITコンサルタントの後藤、開発エンジニアの石井と角本、インフラ担当の宮本にインタビューし、切り替えの裏側について詳しく話を聞きました。

• 安全性・利便性・拡張性の向上に向け、基幹システムの認証方式切り替えへ
• “作ったら終わり” ではない、将来的なシステム運用や事業貢献まで見据えた開発を
• 数千人の業務に影響するシステムで、“変化を感じさせない” 改修を実現

安全性・利便性・拡張性の向上に向け、基幹システムの認証方式切り替えへ

――まず前提として、本プロジェクトで切り替えが行われる以前は、どのような形で認証が行われていたのでしょうか。

石井：2段階あり、まず1段階目が「境界型認証」で、社内で管理されるユーザー・サーバは常に信頼できるもの、という考え方でこの認証を通しています。

外部ネットワークと社内ネットワークの間にセキュリティ機器を置いて「このユーザーが社内の人か」を確認し、問題のある通信を排除します。ここでは、社内で管理されるユーザー・サーバは常に信頼されるという考え方ですね。   

続いて2段階目で「このユーザーがARCSのユーザーリストの中に含まれているか」を改めてチェックし、確認がとれればARCSにアクセスできる状態になります。
前段の境界型認証の部分（通称：Windows認証）が、今回切り替えを行った部分です。

――今回「Windows認証」を廃止するに至った訳を教えてください。

石井：まず安全面で、昨今言われる「ゼロトラスト」の概念にも通じますが、「社内のネットワークにいる人すべてが必ずしも安全とは限らない」ことが理由の一つです。

拠点も増え、リモートワークも始まって――と環境が変化している中で、“社内” という境界内にいる人が全員善人であり、誰一人ミスをしていない、とは言い切れませんよね。より安全な通信のためには、一人ひとりの毎回のアクセスを都度確認すべきだと考えました。

次に、ユーザーの利便性の面ですね。テレワークの際にVPNを使って仕事をされる方が多くなっていますが、「社内＝安全」というルールを持ち続ける限り、今後も業務環境を用意するにあたって「“社内” にいる」状態を作ることが大前提になってしまうということ。ユーザーにとって「いつ・どこからでも仕事ができる」環境を叶えるには、根底にあるルールを変える必要があります。

最後に、クラウドリフトを進める際にこの認証方式が障壁になること。基幹システムを徐々にクラウド移行していこうという流れがある中で、古い認証方式のままではクラウド環境上でうまく動かなかったり、開発方法が提供されなくなったりし得るんですよね。

現に別システムで、Windows認証を使っているためにクラウドリフト後にうまく稼働させられず、オンプレミス環境に戻ってくる……という問題も起きていて。今後クラウド活用を進めていくためには、この認証の問題の解決が必須だと言えます。

これらの要因をふまえ、今回思い切って切り替えに踏み切ることになりました。

――数千名の社員が使われる基幹システムということで、大規模な切り替えだったのではと推測しています。どのように役割分担してプロジェクトを進められたのですか？  

後藤：企画を石井さんが行ってくださった後、プロジェクトが始まってリリースされるまでの調整や仕様決定など管理・推進全般はITコンサルタントである私が担当しました。

角本：私は主に開発サイドをリードしており、ARCSの機能改修を内製開発チームに支援してもらうための改修案・サンプル作成などを中心に行いました。

宮本：私はインフラ構築を主に見ており、Infrastructure as Code（IaC）で用いるコードの検討・提案や実装、グループIT本部で管理されているネットワークのインフラ部分の設定などを担当しました。

“作ったら終わり” ではない、将来的なシステム運用や事業貢献まで見据えた開発を

――今回のプロジェクトのポイントを教えてください。

石井：まず関係者が非常に多い中で、円滑にプロジェクトを進行することが一つのポイントだと思います。数千人の社員が毎日業務で使っているシステムですから、失敗した際のリスクも当然高いです。さらに通信なので、対向するシステムがさまざまあり、これら一つひとつに対しても認証方式の切り替えが必要でした。

後藤：各対向システムを見ているチームや改修の影響が及ぶ事業サイド、さらに並行して走るプロジェクトなどとスケジュールを調整し、短納期で開発をスムーズに進められるようマネジメントすることが特に重要でしたね。

角本：開発フェーズでは、対向するシステム側の改修作業は基本的にそのシステムを見ているチームの方々にお願いすることになりますが、チームによっては技術的・リソース的に対応が難しいところもあったんです。

そういった場合は私が入り込み、そのシステムのフレームワークや言語、バージョンに合わせて、改修方法の検討をお手伝いさせていただきながら進めていきました。

――それほど関係者が多い中では、認証方式の切り替えに対する理解を得ることの難しさもあったのではないでしょうか？

後藤：実はお隣の事業の基幹システム（プラスARCS）で先んじて刷新とクラウドリフトを行っており、今回切り替えたAmazon Cognito認証はそこですでに採用されている方式だったんです。

石井：プラスARCSの開発プロジェクトで私と角本さんがアーキテクチャを担当しており、「今後他のシステムがクラウドリフトする際に使えるように」という視点を織り込んで設計をしていました。すでに基幹システムで採用されて安全に動いている、という実績があるからこそ、今回関係者の方々にも納得してもらいやすかったなと思います。

後藤：また未来のクラウドリフトや「ゼロトラスト」を見据えた対応だということをしっかり訴求した結果として、了承をいただけた部分もありましたね。

――インフラ面でのポイントとしてはいかがですか？

宮本：前例のあるものを作るということで、インフラとしても成果物がすでに決まっている状態でスタートしました。その中で、それをどう作るかという手段の部分を検討し、IaCツールとしてプラスARCSで採用された「CloudFormation」ではなく「Terraform」を用いることを提案したのが一つのポイントだったなと振り返ります。

IaCについてはパーソルキャリア内でもまだ体制が不十分な中、世間的に主流になっている「Terraform」であればナレッジが得やすくなります。自動でセキュリティ面でのコードレビューをしてくれるようなオープンソースも活用でき、運用しやすくなったりする期待がありますね。

また将来的に外部SaaSの利用が増えていくことを見据えて、AWS以外でも使われる「Terraform」を用いることで、拡張性を高めていけるだろうという狙いもありましたね。

――プロジェクトの主目的だけでなく、そのシステムの将来や他システムのことまで考えた開発がなされているのですね。

角本：全体最適が考えられていると、プラスARCSの例でもそうですが「他でこういう実績があったからこれが使える」と他に展開できる部分も増えてきますから、最終的にはメリットとして出てくるのかなと思います。

石井：それができるようになってきた背景として、内製開発エンジニアが増えていることが大きいと思います。「作ったら終わり」ではなく “自分たちのシステム” として面倒を見続けていくエンジニアが一定数いることで、未来の展望を加味して日々の業務に臨もうという気運も高まりますよね。
それと同時に、社内にいてビジネスの変化の速さも肌で感じるからこそ、「自分たちがどう構えておけばより早く事業側からのオーダーに応えられるか」という視点も培われてきたのかなと。

宮本：今回「Terraform」の採用をご提案した際にスムーズにご理解いただけたところからも、パーソルキャリア全体でそういった意識が高まっていることを感じましたね。

数千人の業務に影響するシステムで、“変化を感じさせない” 改修を実現

――プロジェクトを振り返って、よかったこと、難しかったことなどあればお聞かせください。

角本：実装面では、プラスARCSで実績のある機能のため、比較的スムーズにいったかなと思います。
ただ、やはり周辺システムとの調整は難しかったですね。中には内製開発チームが作ったシステムではなく、外部のベンダーさんにお願いをしていた案件で、現在は保守だけ――当時の開発エンジニアさんがいないものもあり、情報が閉ざされていたことにはかなり苦労しました。そんな中一緒に調べながら考えて、と地道に寄り添って仕事ができたのは、内製エンジニアという立場だからこそだなと感じましたね。

後藤：各システムの改修については、認証基盤の切り替え前に事前リリースしていたのがよかったですよね。実際にリリースしてみて問題が見つかり、暫定対応をして、と段階的な対応ができたことで何とか切り替えに間に合わせられたのかなと思います。

宮本：インフラについては、作るものが決まっていましたし角本さんもAWSに詳しいので、想定外のことなく進められたと思います。

角本：反対に、宮本さんがオンプレ側のインフラについても理解してくださっていたことに、アーキテクトとして非常に助けられました。インフラのこととなると、どうしても保守や協力会社の方を介在しなければいけないシーンが多くなりますが、今回はプロジェクト内で「これってすぐできますよね」などと確認ができ、素早くレスポンスをいただけたのがありがたかったですね。

宮本：扱う社内システムは基本的にずっとオンプレ環境にあったものだからこそ、自分が困らないためにも、やはりオンプレのことは押さえておきたいところです。またインフラを専門にみているグループがあり、その中で「他のシステムで、オンプレのこんなところで困った」とナレッジ共有できているため、今回もスムーズに進められたのかなと思います。

――みなさんの連携がうまく機能して、大規模な切り替えがうまく進められたのですね。現段階で、認証方式切り替えによる現場の変化は見えていますか？

後藤：いい意味で何も変化がなかったかなと。日々の業務で使われる、使い勝手がとても重要になる基幹システムにおいて、「いかに利用者にとって影響が少ない認証にできるか」を考えてプロジェクトを進めてきました。その中でこれまで通り使ってもらい、現場から目立った問い合わせもないというのは狙い通りだったなと手応えを感じています。

――ありがとうございます。それでは最後に、今後の展望をそれぞれお聞かせください。

宮本：インフラ側では、今回クラウドに持っていったのは一部に限られるため、まだ大きな変化は生まれていないと認識しています。今後すべてのシステムをクラウドにリフトし、さらにシフトしていく過程で、「アプリケーションの開発環境を用意するのが早くなり、開発がしやすくなる」といった変化を見せていければと思っています。

石井：「Windows認証」の廃止によってクラウドリフト、クラウドシフトを進めるにあたっての制約が取り払われたという意味で、展望の開けるプロジェクトだったと感じています。ここから、クラウドを活用してより早く・より安全に・よりコストを抑えて開発やシステム運用ができるように、最適なアーキテクチャを選択しながらさまざまなアイディアを試していければと思います。

角本：社内基幹システムには、まだまだリソースの制約などで改修が滞っている部分もあるため、そういった困っているところに入り込んで、内製開発組織の力も借りながらシステムの課題を改善していきたいと思います。

後藤：直接事業に貢献するプロジェクトとは異なり、今回のようなシステム改善のプロジェクトはあまり目立たないものでもありますが……やはりこれをやらなかったために、後で制約が生まれて届けたい価値が届けられなくなってしまった、ということはあってはいけないと思うので。事業とのバランスもみながら、今後も継続的にシステム改善に取り組んでいければと思います。

――ありがとうございました！

（取材＝伊藤秋廣（エーアイプロダクション）／文＝永田遥奈／撮影＝古宮こうき）

※2023年5月取材時点の情報です。