Authleteが医療系マルチプロダクトを展開するカケハシの共通認証基盤に採用

株式会社Authlete（オースリート、本社：東京都千代田区、代表取締役：川﨑貴彦、以下Authlete）は、株式会社カケハシ（本社：東京都港区、代表取締役社長：中尾 豊、代表取締役CEO： 中川 貴史、以下カケハシ）さまに、弊社のOAuth・OpenID Connect（OIDC）バックエンドサービス「Authlete」をご導入いただいたことをお知らせします。

カケハシは、あらゆる医療のステークホルダーの基盤となるエコシステムの実現に向けて、医療業界でバーティカルSaaS（Software as a Service）を展開、薬局を中心に、電子薬歴システム、患者フォローアップシステム、医薬品在庫管理・発注システム、BI（Business Intelligence）システム、医薬品の二次流通サービスなど複数のプロダクトを提供しています。

今回、カケハシは、マルチプロダクト用に最適化された共通認証基盤を構築するにあたり、OAuth/OIDCの実装にAuthleteを採用。医療業界で求められる厳格な個人情報保護とセキュリティ要件の遵守を効率的に実現し、将来のプロダクト多角化を推進するための基盤を確立しました。

導入背景と課題

医療機関や医療情報システム提供者は、厚生労働省・総務省・経済産業省が医療情報を保護するために定めた「3省2ガイドライン」への遵守が求められます。このガイドラインでは、二要素認証や監査ログ記録、高い可用性などの高度な機能が認証システムに求められます。

プロダクトの数の少ない初期のカケハシにおいては、ID・認証情報は外部サービス（Amazon Cognito）に集約しつつ、その他の認証機能はプロダクトチームが開発・運用していました。しかしながら、カケハシの事業拡大と顧客基盤の多様化に伴い、提供するプロダクト・サービスも増加。プロダクトごとに個別に認証機能を実装することは決して効率的とは言えず、個々のチームにおける継続的なセキュリティ対策の負担も懸念されるようになりました。

そこでカケハシは、新たに「共通認証基盤」を構築し、併せてその開発・運用を担う「認証・権限基盤チーム」の設置を決定しました。

共通認証基盤の要件

患者の生命に関わる情報を扱う医療SaaSには、長期にわたる安定した継続的なサービス運用が求められます。新しい認証基盤は、以下の4つの要件を満たす必要がありました。

• 移植性：認証基盤は事業継続の要です。そのため、将来なんらかの理由によって基盤を移行することになった場合でも、これを柔軟に行えることを担保するための移植性（ポータビリティ）が必要です。そのため、認証基盤はOAuth/OIDCに対応し、標準仕様に基づく接続性を必須としました。

• コンプライアンスとセキュリティ：3省2ガイドラインで定められた監査ログの記録とBCP（事業継続計画）の担保、二要素認証の導入などが必須となりました。とくに二要素認証については、スマートフォンの持ち込みが禁じられているような、業務特有の環境にも対応しなくてはなりませんでした。

• 可用性：カケハシは医療システムを提供していることから、災害時においても稼働し続ける、高い可用性が求められました。

• 運用コスト：将来の事業状況に関わらず、半恒久的に小規模なチームでも認証基盤を運用することが可能でなければなりませんでした。

これらの要件に対して、当時のID・認証情報サービスでは、複数のプロダクト間で有効期限が異なるログインセッションの共有や、業務環境の制約を満たす二要素認証の導入など、必要とされるセキュリティ・コンプライアンス要件を満たすことができませんでした。そこでカケハシは、IDaaS（Identity as a Service）やオープンソースソフトウエア（OSS）の 導入を検討しました。

しかし、IDaaSはID・認証情報の移行コストとカスタマイズ性が課題でした。またOSSは運用とメンテナンスの負担に懸念があり、双方とも採用には至りませんでした。

Authleteの採用理由と導入効果

最終的にカケハシは、既存のデータやシステムをそのまま利用しつつ、OAuth/OIDC機能の開発・運用のみを外部化できる、「BaaS（Backend as a Service）」アーキテクチャを選定。その上で、以下の点を高く評価してAuthleteを採用しました。

• 高い専門性と継続的なサポート：AuthleteはOpenID認定を取得済みでOAuthとOIDCに特化した専門性の高い信頼できるサービスであり、運用サポートを日本語で提供している。

• 運用コストの効果的な低減：「トークン」のライフサイクル管理や、署名鍵の管理、さらにプロトコル処理時の一時的な値の状態管理など、仕様の実装における難所をすべてAuthleteに移管できる。

また、Authleteがマルチリージョン構成に対応可能であることも、BCPの観点から重要なポイントでした。

Authleteを活用した共通認証基盤は、2025年の7月から稼働しています。カケハシは、マルチプロダクトにおける認証機能を共通基盤化し、共通認証基盤のOAuth/OIDCプロトコル処理とトークン管理をAuthleteに移管することで、高い可用性とセキュリティ要件を満たすとともに、開発効率を向上させることができました。その一方で、既存のID・認証情報を管理するAmazon Cognitoの利用を維持したことで、既存プロダクトの段階的な移行を実現することが可能になりました。

さらに、仕様の進化に追随するためのOAuth/OIDC実装の継続的なメンテナンスを外部化することで、社内に標準仕様の専門家を抱える必要がなく、基盤の維持にかかるコストを抑えることができました。

株式会社カケハシ 認証・権限管理基盤チーム テックリード 岩佐幸翠氏のコメント

「OAuthとOIDCの実装と運用をAuthleteに任せることで、高い可用性とセキュリティを一貫して実現することが可能になりました。また、標準仕様に基づいて認証基盤を共通化したことで、認証実装コストの大幅な削減を実現することができました。さらに、プロダクトチームも本質的な価値の提供とビジネスロジックに集中できるようになりました。プロダクトごとの要件を柔軟にサポートできるように、今後も継続して共通認証基盤を強化していきます。」

各社さまのユースケースについては、当社ウェブサイトのお客さま事例をご覧ください。

Authleteについて

Authleteは、認可システムへのOAuth 2.0およびOpenID Connect(OIDC)の実装を迅速化・簡素化するWeb APIを提供しています。国際標準の仕様策定に携わる専門家によって開発された 「Authlete」はOpenID認定を取得済みで、高度なセキュリティ仕様であるFAPIやCIBA、またOpenID for Verifiable Credentials Issuanceなどの最新仕様にも対応しています。Authleteのソリューションは、国内外のスタートアップから中堅・大企業まで、また、金融機関やメディア、小売企業、テクノロジー企業、コンサルティング企業などに幅広く採用されています。