クラウド シフトを進めるなかで、ZOZOグループはなぜセキュリティ ソリューションに Microsoft 365 E5 を選択したのか

クラウド シフトを進めるなかで ZOZOグループが採用したセキュリティ ソリューションとは

ZOZOグループでは現在、業務システムを対象にしたクラウド シフトを加速させています。ねらいは、場所や時間にとらわれない業務環境の実現、これによるビジネス スピードのさらなる加速です。ただ、そのなかでセキュリティ対策の高度化が課題になってきたといいます。ZOZOテクノロジーズ コーポレートエンジニアリング本部の荻原 直也 氏はこう話します。

「クラウドに移行することで従来のセキュリティ対策のあり方が大きく変わります。従業員はインターネットを介して様々なリージョンにある業務システムへアクセスしますから、アンチウイルスやファイアウォールといった社内ネットワークに閉じた従来型の対策だけでは不十分なのです。クラウド上のユーザー アカウントやアクセスを絶えず管理し、あやしい挙動があるならばこれを検知して対応せねばなりません。もちろん、社内にはクラウドに移行できないシステムも残っていますから、オンプレとクラウドの両方を効率的に管理していくことが求められます。そうしたハイブリッドかつマルチなクラウド環境で、セキュリティをどう仕組み化していくかが課題でした」(荻原 氏)。

ZOZOグループの社内 IT は、約 10 人の専任チームが運用管理しています。セキュリティ管理についても、同専任チームが日々の運用を行い、インシデントが発生したときには、 ZOZOグループの CSIRT 組織である ZOZO CSIRT と連携する体制です。業務システムへアクセスするクライアント PC は、フル フィルメント業務やカスタマー業務を含めると約 3000 台。Windows だけでなく、エンジニアやデザイナーに多く利用されている Mac も約 1 割存在し、Android や iOS デバイスも管理しています。

こうしたマルチ デバイス、マルチ OS、マルチ クラウド環境のセキュリティを仕組み化するために採用されたのが、Microsoft 365 E5 を中心としたセキュリティ ソリューションでした。

IDaaS、MDM、EDR、CASB などの領域を包括的にカバーできる

荻原 氏は、クラウド時代においてはゼロ トラスト ネットワークの考え方が不可欠だといいます。ただ、セキュリティのみに目を向けることにはリスクがあるとし、求められる要件をこう整理します。

「セキュリティ対策を高度化するからといって、従業員の業務水準は絶対に落としてはいけません。クラウド シフトの目的は生産性の向上にあるのですから、従業員が普段どおりに業務できることを前提にして考えるべきです。また、セキュリティ レベルを引き下げるような運用ミスが生じないよう、管理業務を簡素化する必要がありました。アカウント、デバイス、OS、場所、デバイス、このすべてについてセキュリティ レベルの条件を設定することで、従業員が意識せずとも自動的にアクセス制御がかけられる。シングル サイン オン (SSO) により従業員の利便性を確保する。こうした仕組みを、可能な限りシンプルな形で実現することを目指しました」(荻原 氏)。

荻原 氏が述べた要件を満たすためのソリューションとしては、クラウド上でアカウントを管理するための IDaaS (ID as a Service)、さまざまな条件に応じてアクセス制御が実施できる MDM (Mobile Device Management)、侵入した脅威をエンドポイント レベルで迅速に検知・対処する EDR (Endpoint Detection and Response)、各種クラウド サービスへのアクセスを管理し利用状況などを可視化する CASB (Cloud Access Security Broker) などがあります。

同氏は「Microsoft 365 E5 は IDaaS として Azure Active Directory Premium (以下、Azure AD Premium)、MDM として Microsoft Intune (以下、Intune)、EDR として Microsoft Defender ATP (Advanced Threat Protection)、CASB として Microsoft Cloud App Security (以下、MCAS) を備えています。これらは 1 つのコンソールで一元的に管理することができますから、運用管理を大幅に簡素化することが可能です。Microsoft 365 E5 という単一ソリューションで当社が求める要件すべてをカバーできることは大きな魅力でした。」と語ります。

マルチ OS、マルチ デバイスの業務環境に対応可能な点も、Microsoft 365 E5 は高く評価されたといいます。たとえば Microsoft Defender ATP の場合、Windows のみならず、Mac や Linux にも対応していくことをマイクロソフトは表明しています。「検討にあたって本国 Microsoft のプロダクト責任者との面会の機会をいただきました。マルチ OS という業務環境はセキュリティ ポリシーを統一化するうえで大きなハードルになるため、面会のなかで Microsoft Defender ATP for Mac のプレビュー版を紹介いただいた際に、"これならいける" と手応えを感じました。」こう荻原 氏は述べ、Microsoft 365 E5 の選定理由を明かしました。

• Microsoft Defender ATP。2019 年 9 月には Mac に対応した Microsoft Defender ATP for Mac をリリースするなど、マルチ OS への対応が進められている。

Microsoft 365 E5 でさまざまな環境を一元管理

アクセス制御と SSO によって従業員に不便をかけることなくセキュリティを担保する――ZOZOグループが敷くセキュリティ対策は、一言でいえばこのように表すことができます。具体的にそれは、どんな姿なのでしょうか。

現在のセキュリティ対策のあり方について、荻原 氏は一例をこう説明します。

「まず Azure AD Premium で外出先での二段階認証を必須としています。また、各種クラウド サービスは SSO で一度ユーザー認証すれば再認証することなく利用できるようにしています。そのうえで、各種サービスの利用条件をアカウント、場所、デバイスによって変える『条件付きアクセス制御』を施します。たとえば、Microsoft Defender ATP がオンボードされていない PC や事前に決めたセキュリティ水準に達していないデバイスは、社内サービスやクラウド サービスにアクセスできないようにしています。万が一従業員が PC を紛失した場合には Intune でリモート ワイプします。いまでも十分シンプルな仕組みになっていますが、MCAS を使ってクラウド アプリの利用状況を可視化することで、運用をもっと効率化していけるでしょう」(荻原 氏)。

荻原 氏は、ここで触れた "シンプルな仕組み" こそが、何より大きな Microsoft 365 E5 の強みだと強調します。

通常、Windows や Mac、iOS、Android といったデバイスに対してマルウェア対策やアクセス制御、利用状況の可視化などを実施していこうとすると、異なるベンダーの複数の製品を組み合わせていく必要があります。Microsoft 365 E5 という 1 つのソリューション、1つのコンソールで一元管理できることは、次に荻原 氏が述べるような数多くのメリットがあるのです。

「Intuneと Microsoft Defender ATP はボタン 1 つで連携することができますし、日々の運用についても、管理コンソールの Microsoft セキュリティ / コンプライアンス センターを使えばさまざまな作業を自動化することができます。一例を挙げれば、振る舞いを検知してアラートが出た場合、『シグニチャを更新してフルスキャンを行ってください』といった推奨アクションが一緒に提示されます。基本的にはそれに基づいて対策を講じるため、トラブルの原因究明や最適な作業の選定などの時間が大幅に削減されるのです。弊社の知識で解決できない場合であっても、マイクロソフトのサポートの方とビジネス チャットでやりとりすることで迅速に解決できています」(荻原 氏)。

• セキュリティ対策にあたっては問題の特定とそこに対応するまでのリード タイムを短くすることが求められる。Microsoft セキュリティ / コンプライアンス センターは、ここに際して意思決定を強力に支援する。

セキュリティを強化しながら、従業員の利便性と生産性を向上

Microsoft 365 E5 の導入による成果は、従業員の利便性と生産性を向上させながらセキュリティを高度化したことにあります。荻原 氏はまず、エンジニアやデザイナー、アナリストといったエンド ユーザーの生産性について、こう話します。

「社外でも社内と変わらないように働くことができるので、テレワークへの移行が非常にスムーズでした。実際に自然災害や感染症といった有事の際にも、エンジニアやデザイナーは在宅勤務で普段と変わらない環境で仕事を進めることができています。自分で自由に働く場所や時間を設計できるので、働き方改革や生産性の向上という点で、特に大きな効果を確認しています」(荻原 氏)。

また、荻原 氏が所属するチームやセキュリティ担当者の生産性も向上しているといいます。

「Microsoft Defender ATP のタイム ライン機能を利用すると、どんなイベントが起こったのかがすぐ把握できます。MCAS のアプリ コネクタという機能を組み合わせれば主要なクラウド サービスの利用状況を可視化することができますし、どんなスクリプトがどんなアカウントで実行されたかもわかります。こうした仕組みによって、従業員に問い合わせたり、状況を確認したりする必要がほとんどなくなりました。情報システム部門としての生産性も大きく向上したと感じています」(荻原 氏)。

ZOZOグループでは現在、Microsoft 365 E5 の各種サービスを活用することで、運用作業の多くを自動化しています。自動化の推進にあたっては、不審な振る舞いをしたユーザー アカウントをスコア化する仕組み、脅威を詳細に分析する機能がポイントになるといいます。

「Microsoft セキュア スコアという仕組みを利用すると、あやしい振る舞いをしたユーザー アカウントのスコアがランキングされます。その上位を見ることで日々のチェック作業を効率化することができます。管理画面からスコアが上がった理由を突き詰めることも可能です。また、Microsoft Defender ATP の脅威ダッシュボードでは、ダッシュボード上からウイルス名を検索すれば、関連するパッチがどの PC に適用されているかがひと目でわかります。ZOZO CSIRT から『特定のマルウェアを検知した実績の有無』など問い合わせがあったときでも脅威ダッシュボードを見て即答できるのです」(荻原 氏)。

• Microsoft セキュア スコアや脅威ダッシュボードを利用することで、日々の運用を自動化していくことが可能。

ユーザーの利便性を考慮したセキュリティを追求していく

今後の展開について、荻原 氏は「ユーザーの利便性を考慮したセキュリティを追求していきます」と話し、その実現に向けては 2 つのアプローチがあるといいます。1 つはビジネス チャットのさらなる活用、もう 1 つはゼロ タッチ キッティングです。

ビジネス チャットのさらなる活用というのは、ビジネス チャットを起点にして業務を行うことにより誤送信のリスクがあるメールの利用それ自体を減らす、また、情報漏えいにつながる設定ミスを低減していくものです。

もう 1 つのゼロ タッチ キッティングは、PC やサービスのキッティング作業において可能な限りユーザーに負担をかけずに実施するというものです。

「キッティング作業はセキュリティに関係ないと思われるかもしれません。しかし、キッティング作業を標準化することは、セキュリティの標準化において重要な要素です。現在は残念ながらゼロタッチではないのですが、Microsoft 365 E5 には Windows AutoPilot といった便利な機能を備えています。こうした機能を活用して、ゼロ タッチ キッティングに近づけていきたいと思っています」(荻原 氏)。

そのうえで、荻原 氏は、日本マイクロソフトに対して、次のように期待を寄せます。

「マルチ OS を意識したセキュリティ サービスの実装を強化していくと伺っており、その点を非常に楽しみにしています。Microsoft Defender ATP も Linux 向けがパブリック プレビューされていますし、今後は Android、iOS 向けも提供されるということです。ユーザーの利便性を考慮したセキュリティがより実現しやすくなると考えています」(荻原 氏)。

[PR]提供：日本マイクロソフト