バックオフィス系SaaSで業務フローをスマートにした話（其の三）

はじめに

noteを書こう書こうと思いながらサボりまくってしまいまして、気づけば2024年！さすがにまずいなと思い、残りのシステムについて一気にこのお正月休みに書きました。バックオフィスSaaSの導入例の第2弾は「1Password」を取り上げます！

家族や大小のビジネスで使えるパスワードマネージャー | 1Password

導入の背景

どこの会社さんも最初は同じかもしれませんが、会社の共有アカウント周りについて、マネージャー層だけがアクセスできるスプレッドシートにアカウント情報（メールアドレス、パスワード等）を一覧化している、というのが元来の状態でした。当たり前ですが、これには以下のようなリスクやデメリットが存在します。

• スプレッドシートは外部アクセスできない共有ドライブにあるとはいえ、公開設定を変えれば外部の侵入リスクにさらされる

• ユーザーごとにシートにアクセスできる／できないで権限設定が一律になり、階層を分けられない。例えば、仕入れ用のECサイトのアカウント情報と、キャッシュカードの暗証番号を同列に管理しなければならないというようなことが起こりうる

• 保存されているスプレッドシートを毎回見に行くのを煩瑣に感じて、担当者がどこかにコピペする、メモするなどの状況を招く

このような（デジタルではあるけれども）アナログというかプリミティブな管理方法ではよくないことは誰もが想像に難くないと思いますが、この状況を打破するために導入したのが1Passwordです。

導入に際して行ったこと

パスワード保管庫とユーザーグループの設定、整理

1Passwordでは、Vault（保管庫）と呼ばれるパスワード群を設定し、それに対してユーザー単位またはグループ単位でアクセスをできるようにしていくことが基本となります。
既存でスプレッドシート上に存在していた多数のアカウント情報を、1Passwordに載せこんだ上で、今後アクセス権を付与していく必要がありそうな群ごとに整理していきました。
例えば、以下のようなグループ分けの具合です。

• インフラ用（IT設定関係）

• EC発注用（ECサイト等）

• コンテンツ制作用（Adobe CC等のSaaS等）

• マーケティング用（広告ツール、分析ツール等）

• バックオフィス用（支払い情報、金融機関、行政系サービス等）

そして、ユーザー側も、グループ設定を行います。これは、ユーザーごとに保管庫へのアクセス権を付与していくこともできるのですが、同じ職位のメンバーなどは、入社手続き時にそのグループに追加するだけで、必要な保管庫へのアクセスができるようになって便利なためです。
ここでは、主に在籍しているチームをベースにしてグループを設定しました。
これらを済ませた上で、グループごとにアクセスできる保管庫との紐付けを行っていきました。

スタッフへのガイダンス

新たに導入するSaaSであり、かつなかなか馴染みのないツールでもあるので、導入のタイミングで一斉にスタッフへのガイダンスを実施しました。
1Passwordの（日本の使用者からみた）デメリットの1つがサポートなどのドキュメントの英語の割合が多いことであり、先にコーポレート担当者で初期設定についてのnotionを作成して周知する形を取りました。1Password自体のインストールは大したことはないのですが、初期設定の要諦となるのはブラウザのプラグインのインストール、自動入力機能の確実なアクティベートです。
弊社では業務用の標準構成としてWebブラウザはGoogle Chromeを指定しているため、Chrome用のプラグインのインストールを必須とし、自動入力機能のONまでを確実に行ってもらいました。
最初だけ、自動入力が実際に働くようになるために再起動が必要なユーザーがいたなどの事象はありましたが、概ね円滑に導入を行うことができました。

運用開始後

セキュリティ面は格段に向上

ログインが必要なスタッフに都度アカウント情報をSlackのDMで送るというようなことが撲滅でき、第一の懸念点であったセキュリティ面は格段に向上することができたと思います。
1Passwordでは、保管庫へのアクセスについて「表示」「コピー」などできること・できないことを様々にカスタマイズすることができます。
基本的に作業者レベルでは自動入力によるログインしか許容しないため、コピーをしたり、変更や新規作成をしたりすることは制限しています。

また、退職者や、一時的に業務に入ってもらった業務委託者の終了等で、そのパスワードを知り得た人が後から不正アクセスできる可能性を排除したい、というときも、1Password上で更新すればそれで終了します。万が一、こうした1Password上でのパスワード変更の際、「アクセスできなくなった」と申し出てくるスタッフがいれば、自分のブラウザに保存するなど所定の運用を守れていない可能性があるため、1Passwordを正しく使用していないことを検知することにもつながります。

2段階認証コードの受取機能が非常に便利ですがちょっとテクニカル

Google/Microsoft Authenticator などの2段階認証用のアプリケーションの機能を、1Passwordにビルトインすることができます。スマートフォンアプリを使っていればQRコードの読み取りで、PC上ではQRの代わりの文字列を入力することによってできるのですが、これが若干難しく感じられるようです。慣れてしまえば何でもないのですが、具体的な方法についてはnotion等で周知を図るようにするとよいでしょう。

1Passwordを2ファクタ認証が必要なサイトの認証機能として使用する

2グループと保管庫は追加のグルーピング・階層分けが必要になった

当初、ユーザーグループ、保管庫ともに所属チームをベースにした振り分けにしていましたが、マネージャーだけがアクセスできるべきアカウント、あるいは部をまたいでアクセスできるようにする必要があるツールなどがところどころ発生してきました。
その際は、ユーザーグループについてはマネージャーを新しいグループに所属させ、保管庫については特定のサービスだけを独立した保管庫に保存するという処置をしながら対応してきました。
後者については、大前提として「1つのアカウント情報について、複数の保管庫に保管しない」という運用方針としています。これについては、どれが最新で正しいものなのか分からなくならないようにする、という観点から運用の基本原則としているものです。
そうすると、Aという保管庫に入ったアカウント情報BにグループCがアクセスできるようになっていて、さらにグループDもBにアクセスしたい、という状況が生じた際、グループDが保管庫Aにまるっとアクセスできるようにするかどうか、という判断が生じます。
保管庫AにはB以外にも様々なアカウント情報が保存されており、Bのためだけに保管庫Aまるごとアクセスできるようにするのは避けたい、という判断をすれば、取りうる方法はBを新しい保管庫Eに移し、C・Dの両グループに保管庫Eへのアクセスを与える、ということになります。
これを突き詰めすぎると1保管庫1アカウント情報となってしまうので、あくまでも管理コストやわかりやすさとのバランスではあるのですが、多数のチームのスタッフがアクセスする必要があるものなので、まれにこのように独立した保管庫に移したものがあります。

オンボーディング段階では一定の工数が生じる

世の中一般に使われているサービスとは言い難く、新しいスタッフの受け入れ時にはほぼ100%初耳のため、仕組みについて説明するコストが一定生じることは許容しなければなりません。弊社ではPC貸与者にはキッティング段階で予めブラウザの拡張機能までインストールした状態で渡していますが、使いこなしてもらうには一定の理解が必要です。

ファミリーアカウントの運用は当面行わず

1Passwordの1つの便利な機能として、法人アカウントのユーザーに、個人用のアカウント（ファミリーアカウント）を無料で発行できるということが挙げられます。社用ドメインのアカウントには純粋に個人的なアカウントを保存しないようにしていますが、ファミリーアカウントの方はプライベートで使ってもらってよい、というのを一種の福利厚生的に活用する方法です。
しかしながら、これについては結局法人アカウントが失効するときには道連れになるため、提供しない状態としています。

おわりに

パスワードの保管・保全、共有に非常に便利なツールですが、肝要なのは全員がきっちりルール通りに運用することです。誰か一人でも所定の使い方をしないで、どこかにパスワードをメモしているようなことがあると、1Passwordを他のメンバーがきちんと使用していても綻びが生じてしまいます。コーポレート部門としては、運用ルールの徹底が図れるように最初のガイダンスを（他のツールよりも若干）細やかに行い、？の積み残しがないようにされるとよいのではないかと思います。