株式会社資生堂様

テレワークへのシフトでアクセス認証の利用者が急増し、短い期間でのSSL-VPNの環境整備が必要に

■ どのような事業を展開されていますか？

田之畑様資生堂はスキンケア、メイクアップ、フレグランスなどの化粧品を中心とした事業展開を行っています。そのほかにもレストラン事業や美容室事業、保育事業など幅広く展開しており、約120の国でビジネスを展開しています。

■ マネージドPKI Lite by GMO、AEGを導入した背景・経緯をお聞かせください。

田之畑様背景としては、新型コロナウイルスの影響により、2月末より弊社も本格的にテレワークへの移行が始まったことです。その際の環境としては、社外からのリモートアクセスには従来からのSSL-VPNを利用していました。しかし、それまではSSL-VPNを使ってアクセスをする人が1日に約100名ほどだったものが、今回のテレワークへの移行で、いきなり 3,000 ～ 4,000 名に急増しました。そうなると、従来の環境で対応していくには限界があり、早急にSSL-VPN環境を増強する必要がありました。もちろん、環境を増強しつつ、セキュリティ対策も強化する必要もありました。さらには今後も続くコロナ禍でのテレワークを考えると、移行プロジェクトスタートから2～3か月という短い期間で完了させることを目標としていました。

SSL-VPNの環境を増強するにあたり、課題が3つありました。

その中でも真っ先に解決しなければならない問題は(03)のアクセス認証の管理負荷でした。(03)のアクセス認証の管理負荷ですが、今までは約100名に対してのみ行っていたアクセス認証が一気に数千人単位となります。まず、どういった方法で行うのか？また今後続くであろうテレワークに対してどういった運用がベストかを考える必要がありました。

そしてその解答が、今回のGMOグローバルサイン社のクライアント証明書＋自動配布ソリューションのAEGでの運用というアクセス認証方法の採用です。以前の環境はSSL-VPNへアクセスをする人自体が少なかったため、VPN機器にデバイスの認証情報としてMACアドレスを手動で登録し、認証を行っていました。しかし、それが数千人単位に増えるとなると、デバイスへのMACアドレスの登録を手動で行うことは現実的ではありません。さらに、アクセス認証の対象となるのは自社の社員だけでなく、協力会社の社員の方なども含まれています。そういった前提となるため、アクセス認証を数千台のデバイスへ容易に行えること、特に社外の方に対して、アクセス認証が必要なくなったデバイスの管理も行えることを考えると、アクセス認証自体はクライアント証明書で行い、さらにそれを自動配布できるソリューションを持つGMOグローバルサイン社に相談しました。

アクセス認証や認証情報の管理をクライアント証明書＋AEGで一元的に管理出来るようにすれば、管理負荷の課題が解決できます。また、認証情報のシステム負荷を外部に出すことができるため、SSL-VPN関連機器への負荷が軽くなり、より多くのアクセスをさばけるようになる、そうなれば機器本来の性能をフルに発揮できるようになる、というメリットもありました。

自動配布ソリューションとの組み合わせで、アクセス認証に伴う負荷の問題を解決

■ 実際に弊社サービスをどのように利用していますか。

田之畑様SSL-VPNの接続前のアクセス認証として利用しています。現在は、自社の社員、社外の方含め約13,000名がクライアント証明書を利用してSSL-VPNにアクセスをしています。また、今回社内向けにはAEGを利用して証明書の自動配布を行いました。

クライアント証明書導入前

クライアント証明書導入後

■ クライアント証明書・AEGを選んだ理由をお聞かせください。

田之畑様今回特に重要視していたことが、“あらゆるデバイス”に対して、“いかにクイックに ”アクセス認証を導入できるか？ということです。次に、社内外のデバイスに同一のソリューションを用いて、認証方法を一つにすることも大きなポイントだと考えていました。社内デバイスは一元的に管理されているため、社内だけであれば、IDaaSで対応しやすいと思いますが、弊社はシステム保守などを行っていただいている社外の方々（約100社1,000名）がアクセスしてきます。そうした状況で、認証方法を1つにするためにも、汎用性が高いクライアント証明書を選びました。そして今回社内デバイスへの登録を行う際には、クライアント証明書をシームレスに自動配布できることも運用面から考えると必要不可欠でした。そのため自動配布ソリューションのAEGを組み合わせることで対応できると考えていました。

さらには、弊社は、日本国内での事業であっても国内外問わず認証する必要もあり、海外展開実績が十分であるかも採用理由の一つです。

「クライアント証明書＋AEG」の導入は他の認証方法よりハードルが低い

■ クライアント証明書以外の方法も検討されていましたか？

田之畑様クライアント証明書以外には、IAM+MDMやRadiusの3つの方法で比較検討していました。今回は導入に急を要していたため、IAM+MDMは導入までに時間を要することと社内のユーザのみにしか展開し難いというデメリットがありました。またRadiusは作業、運用負荷が大きいというデメリットがありました。証明書の自動配布、導入スケジュール、導入費用を総合的に考えると、「クライアント証明書＋AEGでいこう。」ということになりました。クライアント証明書は3月の中旬にお問い合わせをして、何度か打ち合わせを行い、4月中旬には発注、7月に導入完了、8月リリースとかなりのスピード感をもって導入を進めることが出来ました。結果として良かったと感じたことは、クライアント証明書を認証基盤としたことで、IAM+MDM認証が適用できないサービスにも広く展開もでき、いわば、クライアント証明書は弊社インフラの生命線になったと感じています。

■ クライアント証明書は他社認証局もあったと思いますが、もしGMOグローバルサインのマネージドPKI Lite by GMOをお選びいただいた理由がございましたらお聞かせください。

田之畑様以前よりGMOグローバルサイン社のSSLサーバ証明書を利用していたこともあり、お問い合わせをさせていただきました。また、こちらの解決したい問題に対しての提案力の高さや、導入までの期間が短かったにもかかわらず柔軟に対応いただけたことも大きかったと思います。また、導入コストも他の認証方法に比べてハードルが低かったこともあり、今回GMOグローバルサイン社にお願いすることになりました。

■ 導入後、弊社サービスに対するご意見やご感想、さらに今後のセキュリティ強化に関するご予定などがあればぜひお聞かせください。

田之畑様問題なく利用できています。導入前は、機器の負荷の問題から、MACアドレスの登録作業の影響を出来るだけ少なくするために作業が長引くこともありましたが、今は管理負荷が大幅に削減できています。社内外からクライアント証明書導入に関するお問い合わせは受けますが、想定の範囲内で納めることが出来ています。また導入当初は気にしていませんでしたが、配布時にメールのテンプレートで日本語、英語が選択できるのも、後々良かったと思いました。

現在、IDaaSが加速していく流れではありますが、IDaaSに対応していないアプリケーションやサービスも多い状況です。今まで端末のMACアドレス認証や、グローバルIPアドレスによる認証に依存していたサービスのアクセスなどに、汎用性の高いクライアント証明書認証を展開していきたいと思っています。

グローバルサインのサービスをご検討のお客様