Windows Active Directoryを活用して、
メール用電子証明書を自動配布・一元管理する仕組みを構築

ケーススタディ概要

業種	保険事業 U社様
導入サービス	マネージドPKI Lite byGMO、自動配布・更新ソリューション AEG
利用目的	電子署名・証明書の自動配布・一元管理

導入の背景・目的・課題

生命保険の業務を行っているU社では、U社やその関連会社になりすましたメールを受信したと複数の顧客から連絡がありました。すぐに注意喚起のメールを顧客に通知することで対応しましたが、顧客とのメールでのやりとりは頻繫にあるため、今後も同様の被害が懸念されました。

情報企画部のN氏は、過去にメールセキュリティ対策として、メールの正しい送信元を証明できることから、メールの電子署名であるS/MIME証明書を検討していましたが、社員数がグループ会社も含め10,000人以上になることから大量の証明書が必要となり、管理やコストから話が頓挫していました。しかし、今回の被害を受け、対策が急務と考えたN氏は再度導入を検討することにしました。

導入までの経緯

U社ではMicrosoft WindowsのActive Directory で社員のパソコンを管理しており、ソフトウェアの一斉配布やウェブアクセス制御等を行っていました。そのためN氏は、S/MIME証明書を入れる場合も同様の方法で配布はできるのではないかと考えていました。

そこで以前、S/MIME証明書の資料取得していたグローバルサインに再び連絡をとり、配布方法などについても相談してみることにしました。すると営業担当から、「メール用電子証明書 の10,000枚利用を想定しているのであれば、1枚毎に申込、審査、発行して利用するS/MIME証明書ではなく、管理者が一括に大量の枚数（ライセンス）購入をして、SaaS型の管理画面でクライアント証明書を利用できるマネージドPKI Liteでも同様にメール署名用途として利用でき、ライセンス数による割引もあるためコストが抑えられます。またActive Directory を使った配布ということでしたら、クライアント環境に証明書の自動インストールを可能にする『AEG（Auto Enrollment Gateway）』というサービスをご検討してみてはいかがでしょうか？ Active Directoryと連携して自動配布するだけでなく、証明書の管理や自動更新もできるため、管理者、ユーザ双方の業務負担を大きく軽減できますよ。」と提案がありました。

AEG導入には、U社の方でクライアント証明書を自動発行するための専用サーバ等の準備が必要となるため、追加でのコストが見込まれました。ただクライアント証明書では、メールへの電子署名だけではなく、多要素認証などのアクセス強化にも利用用途が広げられることがわかりました。その他、管理工数やリスクなど様々な観点から判断した結果、グループ全体での利用も視野に入れ、AEGの導入に踏み切りました。

導入して良かった点

クライアント証明書は、予めグローバルサインから提供されたテスト証明書を利用して動作検証を行い、問題なく電子署名ができるかを確認しました。また、CAサービスを受けるためのテンプレ―トの準備やAEG専用サーバ構築時のQAなどをグローバルサインからメールやWEB会議でサポートしてもらいながら進め、サイレントインストールを開始しました。メーラーとして利用している「Outlook」とメール署名を紐づけるための簡単な社員向けのマニュアルを作成して全社員に共有したことで、社員側でも負担を最小限にS/MIMEの設定ができました。

導入後N氏は「本来、クライアント証明書を端末にインストールするには、人数が多いため、こちらの作業も多く、社員からの問い合わせ対応に追われることも必須でしたが、AEGでサイレントインストールすることで問い合わせを大幅に減らし、他の業務にも時間を充てることができました。AEGの管理画面で証明書の有効期間、どの社員に配布したかを一元管理できるため、社員の入社、退職があった場合でも管理がしやすく、また更新も自動でできるため証明書の有効期限切れに伴うリスクも軽減できました。当社からのメールを受信されるお客様は、正しい送信元から送られていることを一目でわかるようになり、私のような管理者は、安心・安全に証明書を管理できる体制が整えられたのでAEGを導入して良かったです。」と仰いました。

今後は、クライアント証明書の利用をメールのセキュリティ以外に展開させていかれるそうです。

お問い合わせ・お見積もり・導入前お試しはこちら