グループ会社ごとの端末認証を安全に統合
セルフオンボーディングとSCEP併用で証明書運用軽減
株式会社出前館
IT基盤部 インフラグループ 豊田昭吾 様
IT戦略グループ T.Y. 様
SecureW2
1. 導入前の課題と導入後の効果
国内最大級のデリバリーサービスを展開する株式会社出前館は、関連会社との共同オフィス環境において、それぞれの端末が混在するネットワーク運用に課題を抱えていた。両社のITガバナンスや端末管理ポリシーが異なる中で、ネットワーク接続の安全性をどのように担保するかが大きなテーマとなっていた。
そこで、共同オフィスの解消を契機に、同社はSecureW2によるクラウド証明書認証基盤へ刷新。Okta連携によるセルフオンボーディングとMDM連携のSCEPを併用することで、管理形態の異なる端末を統一基盤で制御する仕組みを構築した。さらにRadSec対応クラウドRADIUSを採用することで、従来のオンプレミスRADIUSサーバーから完全に移行。約740台規模の端末展開と、運用の在り方そのものの見直しを実現した。本稿では、その背景と導入プロセス、そして運用改善の実際について紹介する。
導入前の課題
- オンプレRADIUSサーバーの継続的な管理負荷
- 手動アカウント作成や証明書発行申請に伴う運用負担増
- 自社端末/関連会社管理端末を安全に接続させるための制御の実現
- 証明書の取得プロセスにおけるユーザーサポート業務の増加
導入後の効果
- RadSec採用によりRADIUS通信を暗号化しクラウド移行
- Okta連携セルフオンボーディングとMDM連携SCEPを併用する証明書発行
- 適切な証明書発行を自動化する統合的認証基盤の獲得
- 自動発行によりネットワーク利用の問い合わせが大幅に減少
2. 会社の概要
株式会社出前館は、全国47都道府県に展開する国内最大級のデリバリーサービス『出前館』を提供している会社だ。「テクノロジーで時間価値を高める」をミッションに掲げてデリバリーの日常化を推進し、"ラストワンマイル"のサービスを展開している。
ユーザー向けだけでなく、配達員向け、加盟店向け、社内業務システムなどいくつものサービスをすべて内製開発しており、テックカンパニーとしての注目度も高い。
3. 導入の経緯
共同オフィス環境からの離脱がもたらしたネットワーク課題
出前館のネットワーク環境は二つあり、本社オフィスが関連会社との共同オフィスとして関連会社のネットワーク設備を活用する一方で、大阪や鹿児島の拠点に出前館独自のネットワーク環境も存在していた。
この環境が大きく変わる契機となったのが、関連会社との共同オフィス解消である。出前館の本社オフィスは関連会社との共同オフィス環境でネットワーク設備のほかに、PCをはじめとしたITリソース、さらには認証基盤も共用していたが、これが利用できなくなる。
「本社オフィスは出前館が入居を継続することが決定していましたので、本社オフィスの新環境を標準構成とし、他拠点のWi-Fi環境も順次その構成に合わせていく方針を立てました」(豊田氏)
従来、出前館ではデータセンターに設置したオンプレミスRADIUSサーバーを用いて認証基盤を運用していた。しかし証明書取得アプリケーションの環境制限や、証明書発行の申請フローなどにより、運用面での負担が徐々に顕在化していたという。
「証明書の発行には事前申請が必要でした。出張時などに申請を忘れると現地での対応が必要になり、ヘルプデスクやネットワーク担当の負担が増えることもありました」(Y氏)
こうした状況を受け、ネットワーク認証の仕組みそのものを見直す必要があると考えた。
最大の検討課題となった関連会社端末の扱い
今回のネットワーク刷新において、重大な検討ポイントとなったのが関連会社端末の扱いだった。
証明書の仕様変更に起因する出前館への業務影響を鑑み、関連会社の管理端末にインストールされている証明書を出前館のWi-Fi認証で利用することが出来なかった。
つまり、管理主体を自社で持たない端末を安全にネットワークに統合する仕組みが求められていたのである。
Y氏が着目したのは、既に導入していたIdPであるOktaとの連携だった。
Oktaがマネージドデバイスとして認識している端末のみに証明書を発行できれば、端末の管理形態を問わず接続対象機の制御が可能になる。そう考えたY氏は、情報システム担当者のコミュニティなどを通じて認証基盤を実現するソリューション情報収集を進めた。
そうした情報収集の中でマネージドPKIとクラウドRADIUSであるSecureW2を知り、実現性の検証を実施した。
実際に一般ユーザー権限で証明書発行のプロセスが問題なく動作するか、Oktaと連携で対象機コントロールを実現できるかを確認した。
事前検証では、単なる機能確認にとどまらず、実運用を前提とした複数の観点から評価が行われた。特に重視したのは、ユーザーの利便性とセキュリティ強度、そして運用負荷のバランスである。これらの検証を通じて、SecureW2が今回の要件を満たすことを確認することができた。
「証明書認証はセキュリティを高められる一方で、ユーザーにとっては手間が増えるケースも少なくありません。その点、SecureW2は一般ユーザー権限で証明書取得が完結し、導入と運用時のハードルが低い点が評価できました」(Y氏)
さらに、Oktaとの連携によってデバイスの状態に応じた証明書発行制御が可能になる点も重要だった。従来のように個別申請や手動承認に依存するのではなく、ポリシーに基づいて自動的に認証可否を判断できるため、セキュリティと運用効率の両立が実現できる。
また、クラウドサービスであるSecureW2はAPI連携を前提とした設計となっており、既存システムや今後の拡張にも柔軟に対応できる点も評価された。将来的な運用高度化を見据えた際にも、この拡張性は大きなメリットとなる。
こうした複数の観点を踏まえ、同社はSecureW2の採用を最終決定した。
4. 導入の効果
統合的な認証基盤
認証基盤の本番環境構築は約3か月。ペンティオのエンジニアと週1回のWebミーティングを重ねながら設定を進めた。PoCで確認した設計をベースに本番環境へ段階的に適用していった。
「標準構成をそのまま導入するのではなく、自社の運用に合わせて自社端末と関連会社端末とを統合した認証基盤を設計できたことが大きいです。伴走支援があったことで、安心して移行できました」(Y氏)
結果として、約740台規模の端末を対象とした統合的な認証基盤が整備された。
管理形態を越えた証明書運用
証明書発行と配布は二つの方式を併用している。
自社管理外の関連会社端末にはOkta連携によるセルフオンボーディングを採用。ユーザーは管理者権限を持たずに証明書を取得できる。一方、自社管理端末にはIntuneとのSCEP連携で証明書を自動配布している。この仕組みにより、端末管理の方法が異なる環境であっても、同一の認証基盤で接続制御を行うことが可能になった。
RadSecで実現したクラウドRADIUS移行
オンプレミスRADIUSサーバーからRadSec(RADIUS over TLS)対応のクラウドRADIUSへ移行。認証通信を暗号化しつつ、インターネット経由でも安全な運用が可能になった。
「オンプレミスRADIUSサーバー維持管理から解放されたことは大きいですね。基盤管理に費やしていた時間を、より価値のある業務に振り向けられるようになりました」(豊田氏)
運用そのものの見直しへ
証明書取得プロセスが簡素化されたことでユーザー手順は明確化し、ネットワーク関連の問い合わせは大幅に減少した。
「取得手順が整理されたことで、問い合わせ自体が減りました。ユーザーサポートの対応時間も短縮されています」(豊田氏)
さらにAPIを活用したライセンス管理の自動化にも取り組んでいる。
「クラウドの強みはAPI活用です。ライセンス状況やデバイス情報を自動取得でき、管理の見通しが立てやすくなりました」(Y氏)
オンプレ管理、手動申請、サポート対応など個別に発生していた運用負担は整理され、日常業務の中でその効果が実感されている。
5. 今後の展望
証明書基盤のさらなる高度化へ
今後はOktaのアカウントステータスと証明書有効性の連動を進め、証明書ライフサイクル管理をより高度化していく構想だ。証明書をWi-Fi認証に留めず、デバイストラストやアクセス制御への活用も視野に入れている。
管理主体の異なる端末を安全に統合し、クラウド基盤へ移行した今回の取り組みは、出前館のIT基盤にとって次の発展を見据えた重要なステップとなっている。
今後は証明書認証をネットワークアクセス制御にとどめず、ゼロトラストを前提とした認証基盤の中核として活用していく方針だ。ユーザーやデバイスの状態に応じたアクセス制御を強化し、社内外の境界に依存しないセキュリティモデルへの移行を進める。
その実現に向けて、API連携を軸とした運用自動化にも取り組む。アカウント管理やデバイス管理との統合を進めることで、運用負荷の最適化とセキュリティ統制の強化を両立していく。
株式会社出前館
| 会社 | 株式会社出前館 〒151-0051 東京都渋谷区千駄ヶ谷5丁目27番5号 リンクスクエア新宿(総合受付11階) |
|---|---|
| URL |
コーポレートサイト:https://corporate.demae-can.co.jp/ サービスサイト:https://demae-can.com/ |
| 導入ソリューション | ・SecureW2 |
資料ダウンロード
