SOMPOホールディングスは2022年5月から、SSC(シェアードサービスセンター)を導入してITサービスの展開やセキュリティ対策の効率化に着手している。SSCは企業内の特定業務を集約・標準化して請け負う組織だ。SSC設置の目的は主に3つある。新しい働き方の実現と、それを実現するためのITインフラやデジタルサービスなどのリソースの最適化、そしてインフラの陳腐化やセキュリティリスクの集中管理だ。

IT環境を整備したうえで、ホールディングス傘下の事業会社(以下、グループ会社)にはそれぞれの事業に即したDX(デジタルプラットフォーム)に取り組んでもらう構想だ。

  • SOMPOホールディングスがSSCを設置する目的は3つある。いずれも、最終的にはホールディングス全体のDXにつながっている

プロジェクトを主導してきたIT企画部の担当者に、IT業務のSSC設置に踏み出した理由と、プロジェクトのベースとなるセキュリティの高度化に向けた取り組みを聞いた。

【関連記事】
≪VMware、脅威インテリジェンス機能「VMware Contexa」発表 - NSXなどに標準装備≫
≪NISC副センター長が語る政府のサイバーセキュリティ戦略≫

要件定義やツール選定・導入までをホールディングスが主導

SOMPOホールディングスでは、2017年からITシステムの老朽化が課題に挙がり、ネットワークやセキュリティも含めたIT環境の最適化が検討されてきた。

グループ各社がそれぞれITインフラの整備を進めていたため、システムの更改や導入のリードタイムに時間がかかっており、レガシーな環境が散見されていた。また、セキュリティ対応のレベルもまちまちで、各社で導入しているツールも統一されていなかった。例えば、セキュリティ要件が満たされていない環境から開発プラットフォームにアクセスできたり、ファイル共有にバラバラのサービスが利用されていたりした。

約2年かけて全社での課題を集約し、要件を定め、2019年頃に基本構想をまとめた。だが、2020年に新型コロナウイルスの感染が拡大。感染対策のためにテレワークの全社導入が必要になったことで、再度、業務プロセスも含めたIT環境の見直しが行われた。

あらためて2021年に構想を策定し、ITインフラのクラウドシフト、特にSaaS(Software as a Service)をはじめとした既存のパッケージサービスを活用する方針に切り替えた。セキュリティはゼロトラストを適用させる方針とした。

現在、SSCにはグループ会社から複数分野のIT・セキュリティ担当者が出向し、基幹システムの運用保守、ITサービスの導入、セキュリティ体制の構築など、各社のさまざまなIT業務のシェアードサービス化を順次進めている。

プロジェクト全体の統括のほか、システムの共通化やツールの共同購買を担当するSOMPOホールディングス IT企画部 プロジェクトマネージャの末吉俊博氏は、「コロナ禍を経て、働き方改革も含めたDXの必要性が指摘された。だが、ホールディングス傘下の各社に必要なのは自社のコア事業にまつわるDXで、そのための基盤を整えるリソースは足りず、手が回らないのが実情だ。システムのリプレイスやクラウド化、セキュリティの高度化まで個社に任せてしまうと、本来行うべきDXが遅れてしまう。そのため、迅速な開発環境や効率的な業務フロー、それらを支える高度なセキュリティを満たすためのリソースを、SSCという形で担保している」と説明した。

  • SOMPOホールディングス IT企画部 プロジェクトマネージャ 末吉俊博氏

組織を横断した取り組みでは、ホールディングスが方針を打ち出し、各社の取り組みの方向性や進捗を統制しつつ、施策の実行はグループ会社に一任していることが珍しくない。だが、SOMPOホールディングスのSSCプロジェクトでは、全体のマネジメントからグループ会社の情報システム部門へのヒアリングやリプレイスの要件定義、具体的なサービス・ツールの選定・導入までを担当し、導入後の運用はグループ会社に任せている。

SOMPOホールディングスは、基本的に全社へのSSC設置を推進する方針であるものの、SSC設置のスケジュールには期限を設けず、柔軟に対応する方針としている。端末の更改時期など個社の状況が異なるうえ、これまでなかった管理体制に移行するため、慎重に動きたい事業部門の担当者も多くいるという。

「全社で推進するプロジェクトだからといって、現場の状況を顧みずに進めて良い結果が出るとは思わない。SSCによる管理体制に移行した方がメリットがある、と常に訴えているが、あくまで個社で経営判断してもらい、『いいものだ』と認めたうえで導入してもらっている」と末吉氏は明かした。

脆弱性の統合管理とADの要塞化が課題に

グループ会社では、すでにEPP(Endpoint Protection Platform)やEDR(Endpoint Detection and Response)を導入しているが、SSCの導入にあたって多層防御を実施するためにTenableが提供するソリューションを導入した。

具体的には、「Nessus」で各拠点のネットワーク機器の脆弱性検知、「Tenable.ad」でクラウド・オンプレミス環境のAD(Active Directory)の攻撃検知を行い、「Tenable.io」で検知した脆弱性や攻撃を管理。「Tenable Lumin」で、CSPM(Cloud Security Posture Management)によるパブリッククラウドの設定ミスのチェックを実施する構成としている。

  • SOMPOホールディングスがSSCで導入したTenableのソリューション

グループ会社では従来、脆弱性検知ツールは個別に導入して把握していた。だが、最終的には手動で膨大な数の検知結果を管理しており、個別での管理に限界が来ていたこともあり、統合管理による効率化が求められていた。また、SOMPOホールディングスにはグループ全体で約5万人の従業員がいるため、IT資産管理を確実に行えていても、誰かが意図せずに危険なメールを開いて攻撃を招き入れてしまいかねない。ラテラルムーブメント(水平移動)によるADの不正利用や、権限昇格攻撃による重要データの漏えいを防ぐためにも「ADの要塞化」が課題だった。

製品選定にあたっては、開発環境での実機検証や、複数社の本番環境での検証で脆弱性の検出率とスピードを比較。誤検知の少なさと検知スピードの速さからTenableに決定した。現在、脆弱性や設定ミスは単一のプラットフォーム上で管理し、リスクベースでトリアージ(選別)を行っている。

セキュリティ面の製品選定などを担当するSOMPOホールディングス IT企画部 セキュリティエバンジェリストの小中俊典氏は、「脆弱性検知やADの要塞化、SaaSの設定ミスなど、昨今リスクが高いとされている領域を統括管理できる体制に移行できた。個社ごとのSOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)との連携も進められており、SSCプロジェクトを支えるセキュリティを高度化できた」と振り返った。

  • SOMPOホールディングス IT企画部 セキュリティエバンジェリスト 小中俊典氏

今後は各製品から収集したログを蓄積し、SIEM(Security Information and Event Management)と連携した活用をする予定だ。また、各個社がクラウド上でアプリケーション開発をしていく上でのセキュリティ対策に取り組むという。

セキュリティの高度化により、SSCを導入した事業部門ではITの利便性が向上した。例えば、シングルサインオンを導入できるようになったため、1つのID・パスワードで複数のアプリケーションを利用できるようになった。また、従来はインターネット分離(Web分離)でWebブラウザを利用していたため、検索結果がうまく表示されなかったり一部の情報が欠落したりしていたが、Web分離せずともセキュリティ要件を満たせるようになったので、Web検索がしやすくなったという。

このほか、シンクライアントからローカル端末に切り替えたので、サーバのリソース不足による処理の遅延も減った。例えば、SOMPOホールディングスでもWeb会議サービスを利用していて、途中で画面が停止してしまうことが珍しくなかったが、いまではほとんど起こらないそうだ。

「基本的にどんな端末でも受け入れ可能になったので、端末更改時には高パワーの端末を選定し、MDM(Mobile Device Management)で一度にキッティングして配布するような仕組みにしている」と小中氏。また、Nessusを利用して端末構成管理と脆弱性管理を合わせて行っているという。

成功事例を作りSSCをグループ内に横展開

現在は、SOMPOホールディングスをユースケースにして、グループ会社へのSSCの横展開を進めているが、SSCの設置にあたっては諦めなければいけない従来の要件が数多くある。

例えば、SOMPOホールディングスでは、「デジタル技術を活用してどこでも働けるようにする」と決めたため、業務のペーパレス化を徹底し、プリンタやスキャナを極力利用しない構成とした。

「どちらも、あれば使ってしまうので基本的に廃止とした。パッケージ版からクラウドサービスへの移行、導入済みだが活用されていないサービスの利用促進、旧バージョンからのバージョンアップなど、結果的には従来の働き方からの変更を強いている面もあるが、利便性に気づいて慣れて納得してもらうしかないところはある。ただ、SSCを導入したSOMPOホールディングス内で、業務がしやすくなっていく過程を見せられているので、グループ会社からは『うちもSSCをやってみたい』と関心を持ってもらえている」と末吉氏は述べた。

セキュリティについては、今後、個社の内部対策の高度化に向けて、ゼロトラストセキュリティ実践に向けたツールの選定や運用フローのアドバイスなどを実施していくという。