医療業界の変革を促すAuthleteとカケハシの提携とは

医療業界の変革を促すAuthleteとカケハシの提携

株式会社Authleteは、医療業界でさらなる進展を加速させるため、株式会社カケハシの共通認証基盤へ採用されました。Authleteが提供するOAuth・OpenID Connect（OIDC）バックエンドサービスは、カケハシが展開する多様な医療関連プロダクトのセキュリティと利便性を高める重要な要素です。

このコラボレーションは、医療のエコシステムを支える基盤として、複数のサービスを効率的に連携させるためのものです。カケハシは薬局を中心に、電子薬歴システムや患者フォローアップシステムなど様々なプロダクトを展開しており、それぞれのプロダクトにおいて共通の認証基盤を設けることで、認証の効率化を図っています。

導入の背景と課題

医療機関や情報システム提供者は、厚生労働省、総務省、経済産業省による「3省2ガイドライン」に従うことが求められています。このガイドラインでは、高度な認証機能、例えば二要素認証や監査ログの記録、さらには高い可用性が必須とされています。しかし、初期段階のカケハシでは、外部サービス（例：Amazon Cognito）を利用してID・認証情報を集約しつつ、各プロダクトごとに独立した認証機能の開発・運用を行っていました。

事業拡大と多様化する顧客基盤に伴い、プロダクト数が増加すると、個別に認証機能を実装することの効率性が低下し、セキュリティ対策の継続的な負担が増えていくことが懸念されました。これを踏まえて、カケハシは新たに共通認証基盤を構築し、専任の「認証・権限基盤チーム」を設置することを決定しました。

共通認証基盤の要件

医療SaaSにおいては、患者の命に関わる情報を扱うため、安定したサービス運用が不可欠です。新たに設ける認証基盤の要件として、以下の4点が挙げられました：
1. 移植性
認証基盤は事業継続に必要不可欠であり、将来的に基盤を移行する際にも柔軟に対応できる移植性が求められました。OAuth/OIDCに基づく標準仕様への対応がその要件に応えています。

2. コンプライアンスとセキュリティ
監査ログの記録、BCP（事業継続計画）の確保、二要素認証の導入が義務付けられています。特に二要素認証は特定の業務環境においても有効である必要があります。

3. 可用性
医療システムという特性上、災害発生時にも稼働を続けることができる高い可用性が求められます。

4. 運用コスト
将来的な事業の変化に関わらず、少人数で安定的に運用できるコスト体験が必須です。

これらの要件を考慮に入れた結果、従来のID・認証情報サービスでは満たせない点が際立ちました。特に複数のプロダクト間で有効期限の異なるログインセッションの共有や、業務環境に応じた二要素認証の実装は困難でした。結果として、カケハシはIDaaS（Identity as a Service）やオープンソースソフトウェア（OSS）の導入を検討することにしましたが、いずれも運用の負担感から採用には至りませんでした。

Authleteの採用理由と導入効果

最終的にカケハシが選択したのは、「BaaS（Backend as a Service）」アーキテクチャであり、OAuth/OIDC機能の開発・運用を外部化することで、既存のシステムを維持しながら認証基盤を構築できる構成です。

Authleteの特筆すべき点は、以下の2つです：

- 専門性の高さと継続的なサポート

AuthleteはOpenID認定を取得し、OAuthおよびOIDCに特化した信頼性の高いサービスで、日本語でのサポートも充実しています。

- 運用コストの低減効果

Authleteではトークンのライフサイクル管理や署名鍵の管理を任せることができ、開発やメンテナンスにかかる難しさが軽減されます。また、マルチリージョン構成に対応しており、BCPの観点からも有利です。

2025年7月にはAuthleteを活用した共通認証基盤が稼働し、カケハシはマルチプロダクトにおける認証機能を統合しました。これにより、高い可用性とセキュリティを確保しつつ、開発効率の向上を実現しました。既存のID・認証情報を維持しながら、新しいシステムへの段階的な移行が可能になったことも大きなメリットです。また、AuthleteがOAuth/OIDCの継続的なメンテナンスを行うことで、社内リソースの負担を軽減し、コストの抑制に寄与しています。

カケハシのコメント

カケハシの認証・権限管理基盤チームのテックリード、岩佐幸翠氏は次のように述べています。「AuthleteにOAuthとOIDCの実装を任せることで、高い可用性と一貫したセキュリティを確保しています。共通の認証基盤の導入により、コスト削減を実現し、プロダクトチームがビジネスロジックに集中できる環境を整えました。今後も共通認証基盤のさらなる強化に努めて参ります。」

Authleteは、革新を求める医療業界のニーズに応え、信頼性の高いサービス提供を進めています。