OSSで実現する効率化・コスト削減

FreeIPAとKeycloakによる統合認証基盤構築で実現した運用効率化とコスト削減事例

はじめに

多くの企業において、ITシステムの多様化は避けられない課題です。業務部門ごとに異なるSaaSやパッケージソフトウェアが導入され、クラウドサービスやオンプレミスシステムが混在する環境では、ユーザーアカウントやアクセス権限の管理が煩雑になりがちです。このような状況は、運用管理の負荷増大、セキュリティリスクの増加、そして結果的にコストの増加を招きます。

本稿では、複数の認証基盤が乱立していた状況から、OSSであるFreeIPAとKeycloakを組み合わせた統合認証基盤を構築することで、これらの課題をどのように解決し、運用効率化とコスト削減を達成したかの事例をご紹介します。この事例は、特に分散したシステム環境におけるIAM（Identity and Access Management）戦略の見直しを検討されている技術部門責任者層の皆様にとって、有用な示唆となるものと考えております。

導入前の状況：分散した認証基盤による課題

事例の対象となる企業（以下、A社）では、部門ごとに導入された各種業務システム、オンプレミスのLinuxサーバー群、複数のクラウドサービスなど、約50システムが存在していました。それぞれのシステムが独自のユーザーディレクトリや認証方法を採用しており、ユーザーアカウントの作成、変更、削除といった基本的な管理業務がシステムごとに行われていました。

この分散した管理体制は、以下のような深刻な課題を引き起こしていました。

• 運用工数の増大: 入退社や部署異動の度に、関連する全てのシステムで手作業によるアカウント管理が必要となり、IT部門の運用担当者の負担が極めて大きい状況でした。月に数百時間もの工数が、このアカウント管理業務に費やされていました。
• セキュリティリスク: 退職者のアカウント削除漏れや、システム間の権限不整合による過剰なアクセス権付与のリスクが高まっていました。また、パスワードポリシーがシステム間で統一されておらず、セキュリティレベルのばらつきも課題でした。
• エンドユーザーの利便性低下: システムごとに異なるID/パスワード管理が必要なため、ユーザーは複数の認証情報を覚える必要があり、パスワード忘れの問い合わせも頻繁に発生していました。
• 監査対応の困難さ: 各システムのログやアカウント情報を個別に収集・分析する必要があり、内部監査や外部監査におけるユーザーのアクセス状況追跡に多大な時間を要していました。
• ライセンスコスト: 一部のシステムでは商用のユーザーディレクトリ製品やSSOソリューションを利用しており、そのライセンス費用も無視できないコストとなっていました。

これらの課題は、A社のITインフラ全体の運用コストを押し上げ、新規システムの迅速な導入やセキュリティレベルの向上を阻害していました。

導入の意思決定と選定：OSSによる統合への道

A社の技術部門では、これらの課題を抜本的に解決するため、統合認証基盤の構築を決定しました。統合基盤の要件として、以下の点が重視されました。

• 既存システムとの連携性: オンプレミス、クラウド、SaaSなど、多様なシステムとの連携が可能であること。
• 拡張性: 今後増加するシステムにも柔軟に対応できること。
• セキュリティ: 強固な認証・認可機能を提供できること。
• 運用管理性: アカウント管理や権限管理を一元化し、運用負荷を大幅に削減できること。
• コスト効率: 導入・運用コストを抑えられること。

これらの要件を満たすソリューションとして、商用製品とOSSの両面から検討が進められました。商用製品は高機能でサポートが充実している反面、A社のシステム規模と今後の拡張性を考慮すると、ライセンスコストが非常に高額になる試算が出ました。そこで、OSSを活用した内製化の可能性が検討され、FreeIPAとKeycloakの組み合わせが有力候補として浮上しました。

FreeIPAは、Linux/Unix環境を中心としたKerberos認証、LDAPディレクトリサービス、DNS、CAなどを統合したID管理ソリューションです。主にシステムレベルの認証や集中管理に適しています。一方、Keycloakは、WebアプリケーションやAPI向けのシングルサインオン（SSO）、OAuth 2.0、OpenID Connectなどのモダンな認証プロトコルをサポートするIDおよびアクセスマネジメントソリューションです。

A社がこの組み合わせを選定した理由は以下の通りです。

1. 役割の補完性: FreeIPAがサーバーOSや従来のシステム認証を担う一方で、KeycloakがモダンなWebアプリケーションやSaaSのSSOを担うことで、A社内の多岐にわたるシステムタイプをカバーできると考えました。
2. 高い機能性: それぞれのOSSがIAM領域で求められる主要機能を網羅しており、特にKeycloakの豊富なアダプターやプロトコルサポートは、既存システムとの連携において大きな強みとなりました。
3. コミュニティの活発さ: どちらのOSSもコミュニティが活発であり、情報収集やトラブルシューティングの際にサポートが得られやすいと判断しました。
4. コスト効率: 商用製品と比較して、ライセンスコストがゼロである点は大きなメリットです。運用コストは内製化に伴う技術習得や保守体制構築のために発生しますが、それでもトータルコストは大幅に削減できると見込まれました。

導入における懸念点としては、内製化に伴う専門知識の必要性や、既存システムとの連携における互換性の問題が挙げられました。これに対し、社内エンジニアによるOSSに関する専門知識の習得計画を策定し、主要な連携対象システムとのプロトコル互換性検証を事前に入念に行うことで対応しました。

具体的な導入・活用：段階的な移行アプローチ

統合認証基盤の構築は、以下のステップで段階的に実施されました。

1. 基盤構築:
   • 冗長化構成のFreeIPAサーバー群を構築し、全ユーザーアカウントを集中管理するためのマスターディレクトリとしました。パスワードポリシーの統一や、多要素認証（MFA）の有効化設定も行いました。
   • FreeIPAと連携するKeycloakサーバー群を構築しました。KeycloakはFreeIPAをユーザーソースとして参照するように設定し、認証処理の一部をFreeIPAに委譲する構成としました。
2. 既存システムとの連携:
   • Linuxサーバー群: FreeIPAクライアントをインストールし、FreeIPAによる集中認証・認可（SSHログインなど）を実現しました。これにより、各サーバーでのローカルアカウント管理が不要になりました。
   • Webアプリケーション（内製/パッケージ）: Keycloakの各種アダプター（SAML, OpenID Connectなど）を利用して、段階的にSSO連携を進めました。既存アプリケーションへの影響を最小限にするため、互換性テストを丁寧に行いました。
   • SaaS/クラウドサービス: SAMLやOpenID Connectをサポートするサービスについては、KeycloakをIdP（Identity Provider）として連携設定を行いました。これにより、ユーザーはKeycloak経由で各種SaaSにSSOログインできるようになりました。
3. 運用体制の構築:
   • 統合基盤の監視体制（可用性、性能、セキュリティイベント）を構築しました。
   • アカウント管理フローを標準化し、基盤への登録・更新・削除のみで済むように業務プロセスを変更しました。
   • インシデント発生時の対応フローを整備し、関連部署との連携体制を構築しました。

技術的な工夫としては、FreeIPAとKeycloak間の連携において、安定性とパフォーマンスを確保するために、ネットワーク構成やLDAPクエリの最適化に時間をかけました。また、移行期間中は旧システムとの並行稼働が必要であったため、ユーザーへの影響を最小限にするための綿密な移行計画とコミュニケーションが重要でした。

導入によって得られた成果：定量・定性的な効果

このFreeIPAとKeycloakを組み合わせた統合認証基盤の導入は、A社に以下のような多岐にわたる成果をもたらしました。

• 運用工数の劇的な削減: アカウント管理業務が統合基盤への一元的な操作で完結するようになった結果、IT部門のアカウント管理に費やす工数が約80%削減されました。これは月に換算すると数百時間にも及び、運用担当者はより戦略的で付加価値の高い業務に時間を振り向けられるようになりました。
• セキュリティレベルの向上: 全システムで共通の強力なパスワードポリシーやMFAを強制できるようになり、退職者アカウントの即時無効化が可能となったことで、セキュリティリスクが大幅に低減しました。また、集中管理された監査ログにより、アクセス状況の可視化と追跡が容易になり、セキュリティインシデント発生時の対応速度が向上しました。
• コスト削減:
  • 商用ディレクトリサービスやSSO製品のライセンス費用が不要となり、年間約XXXX万円のライセンスコスト削減を実現しました。（具体的な金額は企業規模によるため伏せますが、数千万円規模の削減効果が得られる場合が多いです。）
  • 運用工数削減は、人件費換算で間接的なコスト削減に繋がっています。
• エンドユーザーの利便性向上: 多くのシステムへのSSOが可能になったことで、ユーザーは複数のID/パスワードを管理する必要がなくなり、パスワード忘れによる問い合わせも激減しました。これにより、ユーザー部門の業務効率向上にも貢献しました。
• ガバナンス強化: アクセス権限管理の標準化・一元化により、誰がどのシステムにアクセスできるかを明確に把握できるようになりました。これにより、内部統制やコンプライアンス対応が容易になり、ITガバナンスが強化されました。

これらの成果は、単なる技術的な改善に留まらず、A社の事業継続性向上、セキュリティリスクの低減、そしてIT投資全体の効率化に大きく貢献しました。

直面した課題と克服：内製化に伴う道のり

OSSを活用した内製化の過程では、いくつかの課題に直面しました。

1. 専門知識の不足: FreeIPAもKeycloakも多機能であり、その設定や運用には専門的な知識が必要です。特にKerberosやLDAP、SAML/OIDCといったプロトコルに関する深い理解が求められました。
   • 解決策: 外部の専門家を招聘しての技術研修や、社内エンジニアによる自主的な学習会を重ね、計画的にスキルの底上げを図りました。また、検証環境での試行錯誤を繰り返し、実践的な知識を蓄積しました。
2. 既存システムとの連携課題: 一部のレガシーシステムや独自開発システムでは、標準的な認証プロトコルに対応していない場合があり、連携に工夫が必要でした。
   • 解決策: アプリケーション側の改修が難しい場合は、プロトコル変換を担うゲートウェイを独自に開発するか、プロキシを利用するなどの方法で対応しました。また、ベンダーや開発元と連携し、認証方式の変更を依頼することも検討しました。
3. 移行期間中の運用負荷: 既存システムと新基盤の並行稼働期間は、二重管理やトラブル対応など、一時的に運用負荷が増加しました。
   • 解決策: 綿密な移行計画とロールバック戦略を立て、影響範囲を限定しながら段階的に移行を進めました。ユーザーへの丁寧な周知とサポート体制の構築も、混乱を最小限に抑える上で重要でした。

これらの課題は存在しましたが、計画的なスキルアップ投資と、関係部署との密な連携、そしてOSSコミュニティからの情報収集によって、一つずつ乗り越えることができました。

まとめと今後の展望：OSS統合認証基盤からの示唆

A社の事例は、分散した認証基盤が引き起こす運用負荷やセキュリティリスクに対し、OSSであるFreeIPAとKeycloakを組み合わせることで、統合的な解決が可能であることを示しています。特に、高額な商用製品に頼らずとも、企業のIAM戦略において重要な柱となる基盤を内製化できる点は、コスト効率を重視する上で大きなメリットとなります。

この事例から得られる教訓は、以下の通りです。

• 課題の特定と要件定義の重要性: 組織が抱える具体的な課題（運用負荷、セキュリティリスク、コストなど）を明確にし、それを解決するための基盤に求められる要件を具体的に定義することが、適切なOSS選定の鍵となります。
• OSS組み合わせの可能性: 単一のOSSだけでなく、複数のOSSを適切に組み合わせることで、より広範な課題に対応できる場合があります。それぞれのOSSの得意分野を理解し、アーキテクチャ全体として最適解を追求することが重要です。
• 内製化に伴う投資: OSSの内製化はライセンスコスト削減に繋がりますが、技術習得のための時間やコスト、運用体制の構築といった「見えないコスト」への投資が不可欠です。計画的な人材育成と組織体制の整備が成功の鍵となります。
• 段階的なアプローチ: 大規模なシステム改修や移行はリスクが伴います。影響範囲を限定し、段階的に導入・移行を進めることで、リスクを管理しながら成果を積み上げることができます。

A社では今後、この統合認証基盤をベースに、アクセス権限の自動プロビジョニングや、より高度なリスクベース認証の導入など、さらなるIAM機能の強化と、ゼロトラストネットワークアーキテクチャへの進化を視野に入れています。OSSを活用した統合認証基盤は、これらの将来的なIT戦略の実現に向けた強固な基盤となっています。

この事例が、皆様の組織におけるOSS活用による効率化・コスト削減、特にIAM領域の戦略策定の一助となれば幸いです。