バリュエンスホールディングス株式会社

バリュエンステクノロジーズ株式会社 執行役員CIO コーポレートIT部 部長
木戸 啓太 様
情報セキュリティー本部情報システム部 コーポレートIT課 チーフ
久井 岳人 様
情報セキュリティー本部情報システム部 コーポレートIT課 チーフ
永井 洋之 様
バリュエンスホールディングス株式会社_木戸 啓太 様
バリュエンスホールディングス株式会社
バリュエンスホールディングス株式会社
バリュエンスホールディングス株式会社バリュエンステクノロジーズ株式会社 執行役員CIO  コーポレートIT部 部長  木戸 啓太 様  (写真右)情報セキュリティー本部情報システム部  コーポレートIT課 チーフ  久井 岳人 様  (写真左)情報セキュリティー本部情報システム部  コーポレートIT課 チーフ  永井 洋之 様  (写真中)〒108-0075
東京都港区港南1-2-70 品川シーズンテラス 28F
URL:https://www.valuence.inc
helpmeee事業:https://helpmeee.jp/

SecureW2を運用することはたいへん手軽にできます。構築設定はスムーズにできたかなと思っています。

バリュエンスホールディングス株式会社 木戸 啓太 様

1. SecureW2導入企業

バリュエンスグループはどのような企業グループですか?

Valuence HD ホームページ

バリュエンスグループは、国内外に100店舗以上あるブランド買取専門店「なんぼや」等の展開をはじめ、ブランドリユース品のBtoBオークション「STAR BUYERS AUCTION」の運営や小売店舗「ALLU(アリュー)」の運営、資産管理アプリ「Miney(マイニー)」の開発など事業を拡げております。グループ全体の戦略策定や経営管理を担うバリュエンスホールディングスは、2018年3月には創業7年で東証マザーズへの上場を達成しました。
現在は、骨董・美術品、不動産、車など取扱いジャンルを拡げ、LTV(ライフタイムバリュー)の向上を目指した業容拡大を図るほか、世界各国への事業展開も進めています。
その他、アスリートのためのデュアルキャリア採用など、事業活動を通じたサステナブルな社会の形成を目指しています。

2. SecureW2導入のきっかけ

証明書発行とRADIUSソリューション SecureW2を導入するきっかけは?

Valuence HD 木戸様

これまでバリュエンスホールディングスの証明書発行は、無線LAN認証をMACアドレス認証にして利用していました。MACアドレス認証はそこまでセキュリティレベルが高いものではないので、そこに接続するデバイスを制御したいという思いがあったのでSecureW2導入を検討しました。
既にOneLogin IdPがあるので、ユーザー証明書を利用することも考えたのですが、ユーザー証明書を利用する場合にはBYOD端末も利用されてしまう可能性があったので、デバイス証明書で認証できる仕組みの導入を検討しました。
その中でも、オンプレミス型のアプライアンス認証局サーバーではなくて、クラウド型がいいなと探していたところでSecureW2を見つけました。

無線LAN認証をデバイス証明書で認証する方式で探しましたか?

はい。無線LAN認証はデバイス証明書で認証する方式であることが必要だと決めていました。しかもクラウド型で運用したいと考えていました。

3. SecureW2 導入の目的

証明書を発行してどのような目的で利用していますか?

Merakiを利用する無線LAN認証するだけであれば、別の方法も考えていたのですが、同じ証明書を発行する認証局ソリューションを導入するのであれば幅広く利用したいとおもっておりました。そこで活用幅の広いSecureW2を選択しました。

また、弊社は、SSL-VPNをもっているのでSSL認証の証明書発行にも活用したいと考えました。

さらに、CASBにNetskopeを使っているので、Netskopeに接続する端末の特定にも、証明書が入っていないとNetskopeに接続できないという仕様にしたいと考えていました。

以上、(1)無線LANのデバイス認証、(2)SSL-VPNのSSL認証、(3)CASBの証明書判定、これら3つの用途で利用したいと考えていました。

(1) 無線LANのデバイス認証

valuenceHD 木戸様

無線LANを利用するデバイス機器は、Windows、macOS、iPad(iOS)、Androidで、会社支給の貸与機器が対象です。全体で2,000台弱あります。個人所有のスマホなどは対象に含まれていません。 無線LANの機器は、Cisco Merakiを利用しており、デバイスが提示するデバイス証明書の判定は、MerakiからSecureW2 RADIUSへ問い合わせる流れで利用しています。
証明書の有効性は、無線LANコントローラーからSecureW2のRADIUSサーバーに問い合わせをする構成で無線LAN認証を実現しました。この構築はそれほど難しいことはありませんでした。
また、社内で多く利用するデバイスはWindowsが中心なので、証明書の配付はMicrosoft IntuneをMDMとして利用しています。Intune MDMで管理していない端末は、SecureW2独自の証明書配付機能である、ユーザー自身で証明書を取得するSecureW2 JoinNowを利用して配布しています。(木戸)

(2) SSL-VPNのSSL認証

valuenceHD 木戸様

SSL-VPNはFortigateのリモートアクセスを証明書でSSL認証しています。
SSL-VPNに利用する証明書は、WindowsOSのユーザー証明書ストアに配布する、無線LAN認証に利用する証明書配付はWindowsOSのコンピュータ証明書ストアに配布する、それぞれ設定を施す必要がありました。この点では少し複雑だったことが印象にのこっています。
SSL-VPNにアクセスさせたく無い場合は、証明書の失効情報をCRLに登録してアクセスできない対象として利用します。この点では無線LAN認証のRADIUSを利用する方式と違う構成になります。この時のSSL-VPN設定は難しくなかったです。(永井)

(3) CASBの証明書判定

Netskopeの対象デバイスであることを、OneLogin IdPで認証されたデバイスであるかを判定することで実現できました。OneLoginにログインできる端末であるかは、無線LAN用に発行したデバイス証明書をMFAとして利用することで実現できました。
Netskopeは、SP-Initiated SAML認証でOneLoginに問い合わせが発生します。OneLoginはNetskopeからの要求に応じて接続デバイスを判定します。判定する際にデバイス証明書をMFAとして利用します。この方法で実現できました。(久井)

この利用構成は、Netskopeを利用している企業様の参考になります(長谷川)

4. サイレント証明書配布

サイレントで証明書を配布できる使い勝手はいかがですか?

valuenceHD 木戸様

これはいいですね(木戸)
証明書サイレント配布は便利ですね。証明書格納に伴うインストールの手間が省けるSecureW2 JoinNowはありがたいですね。(久井)

5. 証明書には慣れていましたか

これまでに、証明書を発行運用するソリューションを利用されたことはありましたか?

弊社では過去に認証局ソリューションを利用していたことはありませんでした。(久井)

6. 管理者の運用はいかがですか

SecureW2管理者の運用はスムーズにできますか?

SecureW2で認証局構築ができてしまった後であれば、運用はたいへんスムーズにできます。Intune管理下のデバイスにはプロファイルの配布、管理下にないデバイスでは本人操作で証明書の取得、どちらも簡単に運用することができています。(永井)

証明書を発行する認証局ソリューションなので、運用がたいへんではありませんか?

valuence HD 永井様

新規の認証局構築や、MDMを通じた証明書配付連携、無線LAN認証のRADIUS連携などを実現していくことと比較して、 たいへん手軽に運用できています。(永井)
運用の手順書は、社内 コーポレートIT部で作成しました。この手順書を利用することで、従業員はおもったよりもスムーズに対応されていています。新しい拠点を作るなどの運用もスムーズに対応できています。(木戸)
無線を飛ばしている拠点数は、現在60拠点ほどあります。Meraki内部には、社員用のSSID、ゲスト用のSSIDなど3つのSSIDを設定して運用しています。(久井)

7. 他社サービスとの違い

他社ソリューションなどもありますが、オンプレミスの製品なのでリモートユーザーへの対応などができる点で違いを感じています。(木戸)

8. 今後の運用

退職者がでた場合など、対象デバイスを利用しなくなる場合の運用についてお聞かせください

弊社のユーザーリポジトリとして利用しているOneLoginのユーザーを解除することを最初におこないます。その次に、SecureW2で対象ユーザーが利用していた端末を失効させます。もちろん、対象デバイスを初期化して証明書を含む領域も削除することを実施します。(木戸)

9. SecureW2の印象

Valuence HD 久井様

MDMでデバイス管理をしていない端末を、管理できる点が便利だなと感じています。(永井)
無線の利用がPW運用していたときは拠点が多くなるにつれて管理者の手間が増えてたいへんでした。それに比較して、証明書を配布しての運用は、SecureW2 JoinNowにログインしてクリックして証明書を取得するだけで運用できるのでたいへん楽になりました。基幹サービスへのログインにSSL認証を利用するなどはできそうですね。 導入以前に想像していたより簡単にできた印象です。Windows、macOS、iOS、Android、どれに対してもSecureW2 JoinNowで簡単にできたなと感じています。所定のURLにアクセスするだけでデバイスOSを判定してくれていて、ユーザーがクリックしてインストールを進めるだけで対象デバイスに最適に証明書インストールができる状態になるので、非常に楽ですね。(久井)

デバイス利用ユーザーの戸惑いは無いですか?

SecureW2 JoinNowを実施してもらった上での問い合わせはほとんどなかったですね。(永井)

ないですね。(久井)

それだけ皆が簡単にできたということですね。(木戸)

ペンティオへの印象

導入を支援するペンティオにどのような印象を持ちましたか?

我々がやりたい事をペンティオと一緒に考えながら設計して実現しました。「次のタスクをペンティオでテストします」など、不明な点は相互に調べながら構築を進めていくことができました。両者で持ち寄った取り組みを比較して方針を作っていく点など、非常にやりやすかったとおもっています。(木戸)

SecureW2へのリクエスト

リクエストがあればお聞かせください

SecureW2 API活用事例があれば是非紹介してください。(久井)

SecureW2 APIを使った退社メンバーの証明書失効を実施する例や、workatoを利用した人事システムの退職ステータスから証明書失効処理など、ペンティオの提供事例をご紹介します。本日はたいへん有意義な体験談をありがとうございました。(長谷川)