クラウド サービスがビジネスに浸透し、AI などの活用が活発となっている現在、サイバー攻撃は巧妙化、高度化の一途をたどっています。そのため、同様に各企業のサイバー攻撃に対する対策と意識は高まり続けているのが現状でしょう。しかし、サイバー攻撃対策の次のステップとなるデータセキュリティについては、日本人特有の性善説という考え方に基づいて、取り組みを実施していない企業も少なくありません。そこで本稿では、セキュリティを重視しながらクラウド移行・マルチ デバイス対応をはじめとした社内インフラ環境のモダナイゼーションを推進する株式会社 TKC に注目。ゼロトラスト化を実現した後、 Microsoft 365 E5 Compliance の機能を活用したデータ セキュリティの強化という先進的な取り組みについて紹介します。

東日本大震災をきっかけに、セキュリティ対策の見直しを含めた社内インフラの整備に着手

「顧客への貢献」を経営理念に掲げ、会計事務所向け事業と地方公共団体向け事業の2つを軸に、ICT システム・サービスを提供し続けてきた株式会社 TKC (以下、TKC )。

会計事務所や地方公共団体という、法的に守秘義務を課されている顧客に対して ICT サービス等を提供する同社では、クラウドシフトやマルチデバイス対応といった DX の取り組みと併行して、高度化するサイバー攻撃への対策も講じる必要がありました。株式会社 TKC 経営管理本部 IT 投資企画 セキュリティアドバイザー担当 部長の金森 直樹 氏は、2011年の東日本大震災が、社内インフラに潜むセキュリティリスクに気付くきっかけになったと当時を振り返ります。

「3.11 で会計事務所のシステムがダウンした際に、弊社社員のモバイルカードを一時的に貸与する形で事業継続を支援したのですが、その際に ID とパスワードだけで閉域網のシステムにアクセスできてしまうことに危機感を持ちました。一度システム内に入られてしまえば、社内の機密データや個人情報が流出するリスクが高まるため、セキュリティ対策の見直しを含めた社内インフラの整備に着手することにしたのです」(金森氏)。

  • 株式会社 TKC 経営管理本部 IT 投資企画 セキュリティアドバイザー担当 部長 金森 直樹 氏

    株式会社 TKC 経営管理本部 IT 投資企画 セキュリティアドバイザー担当 部長 金森 直樹 氏

同社では、マイクロソフトが提唱したとされる脅威分析モデル「 STRIDE (なりすまし、改ざん、否認、情報漏えい、サービス拒否、特権の昇格)」の考え方に加え、意図しないデバイスからのアクセス、意図しないエリアからのアクセスといった脅威を意識したセキュリティ要件を策定。2013年の Microsoft 365 E3 (当時は Office 365 )の展開、VPN 基盤更改を皮切りに、本格的な社内インフラのモダナイゼーションを推進していきます。

インフラ整備を進めていくなか「モバイル端末と PC で、管理する MDM が異なり、ポリシーも統一されていないため、ダブル スタンダードが常態化してしまうなど、管理負荷の増大に加えてセキュリティ面での懸念が生じていました」と金森氏は、当時の懸念点を振り返ります。

さらに、同社がより一層セキュリティ強化を推進するきっかけとなった出来事が起こります。当時対応にあたったのは、現在、TKC 経営管理本部 IT 投資企画部長を務める市川 裕洋 氏でした。

「2017年11月、当時の協力会社からセキュリティ インシデントの可能性があるログが大量に出ているという連絡があり、PC やサーバーのイベントログをすべて洗い出して、原因究明を行っていました。その際に EDR 製品なども導入したのですが、当時の EDR は検知後に、ドリルダウンするところまでしか対応しておらず、原因を特定するのに苦労した記憶が強く残っています。この出来事をきっかけに、インシデント対応を含むセキュリティのさらなる強化を図る必要があると判断し、当時展開していた Microsoft 365 E3 から Microsoft 365 E5 への移行を検討し始めました」(市川氏)。

ペネトレーションテストでMicrosoft 365 E5の有用性を証明し、導入へと踏み切る

こうした経緯で、Microsoft 365 E5 への切り替えを検討した TKC ですが、導入へと踏み切るには導入・運用コストの増加に見合う効果の証明が必要でした。そこで同社は、Microsoft 365 E5 を活用したペネトレーション テストを実施。現行環境のままであるタイプ A ケースと、Microsoft 365 E5 を展開して Windows 10 Enterprise と Defender for Endpoint を導入したタイプ B ケース、さらにタイプ B ケースに自社が策定した新基準グループ ポリシーを導入したタイプ C ケース、3 つでテストが実施されました。

  • 図版

    ※「Defender ATP」は現在の「Defender for Endpoint」

「一般的なアタックに関してはタイプ A でもすべてブロックできていましたが、より巧妙化した特殊なサイバー攻撃では社内システムへの侵入を阻めませんでした。タイプ B では E5 セキュリティ向上の効果を十分に確認でき、タイプ C でゼロトラスト セキュリティを実現することで、巧妙化したサイバー攻撃にも対処できるという検証結果となりました。E5 が外部からの侵入リスクを軽減化することが確認できたことで、E3 からの移行に踏み切れた形です」(金森氏)。

Microsoft 365 E5 は、「 Microsoft 365 E5 Security (以下、E5 Security )と Microsoft 365 E5 Compliance (以下、E5 Compliance )のライセンスが付加された Microsoft 365 E3 の上位ライセンスとなります。同社では、クラウド環境のセキュリティを強化する Defender for CloudApps や、EDR の Defender for Endpoint 、MDM の Intune といった E5 Security のセキュリティ機能群を活用。これまで個別で運用・管理していたセキュリティ ツールを統合し、デバイスとポリシーの一元管理を実現することで、セキュリティ強化に加え、ゼロトラスト環境の構築、管理者の業務負荷を大幅に軽減することにも成功しています。金森氏は「 E3 からの移行でコストは増大しましたが、ツールの統廃合により削減できた部分も多く、管理面でのメリットを合わせると費用対効果は高いと感じています。」と手応えを口にします。

ゼロトラスト環境構築の次は「秘密度ラベル」機能を用いたデータセキュリティの強化

巧妙化を辿る外部からのサイバー攻撃に対する対策として従来の境界型セキュリティからゼロトラスト環境への移行を終えた TKC は、次のステップであるデータ セキュリティに取り組みます。まずは2022年に既存のファイル サーバーを廃止、SharePoint と OneDrive でファイルを一元管理に切り替えました。

「 SharePoint と OneDrive にデータを集約していくと、さまざまなものが可視化されます。これまで外部からの攻撃にしか目を向けていなかったものが、内部からの攻撃、具体的にいうと“悪意のあるなしに関わらず、データの扱いに起因する情報漏えいのリスク”も見えてくるわけです。そうなると、データ保護を起点としたセキュリティ対策、すなわちデータ セキュリティの強化が必要になってきます」(金森氏)。

2024年1月時点で、同社の SharePoint サイトと OneDrive 内に保存されているファイル数は合計 13,367 万ファイルに及び、合計容量は 201 TB 。さらに 1 年間で 50 TB 近い増加が見込まれており、今後 5 年間ではファイル数が 1.3 倍、データ通信量は 2 倍、データサイズが 2.2 倍まで増加する予測でした。しかし、そのすべてを、人員を増やして管理するのは現実的ではありません。また、2024年以降さらなる活発化が見込まれる AI を活用したサイバー攻撃、ハイブリッド ワーク上のコミュニケーションに向けた対策が急務であると考え、TKC ではデータ セキュリティの強化に乗り出します。

  • 図版

そこで同社が着目したのが、E5 Compliance に含まれる Microsoft Purview の Information Protection and Governance 機能でした。Microsoft Purview にはデータの分類と自動ラベリングを行う秘密度ラベルの機能が実装されており、これを活用することで、データ保護とユーザーのセキュリティ意識向上を図ったと金森氏。約 1 年かけてユーザーに負荷をかけない適用方法を議論したと当時の苦労を語ります。市川氏も「ラベルの仕組みは理解していましたが、実際に全社導入となると、これは大変なミッションになると思いました。」と当時の苦労を振り返ります。

段階を踏んで「秘密度ラベル」を普及させることで、全社導入をスムーズに実現

IT 投資企画部を中心に議論を重ねた結果、開始段階ではグループ企業単位でのラベル付けは行わず、TKC グループ共通の「社外秘」ラベルを展開し、すべてのファイルに対して初期値を「社外秘」とする仕様になっています。

「デフォルトはラベルなしで、ユーザー自身にラベルを付加してもらうやり方と、「社外秘」を初期値として必要に応じてラベルなしに変更してもらうやり方、どちらにするか本当に悩みましたが、最終的にはデフォルトで「社外秘」ラベルを付加、つまり印刷禁止・転送不可を初期値としました。その理由としては、社員自らが意識してラベル付加を行う可能性は低いと判断したこと、さらに初期値を「社外秘」にし、ファイルを外部共有するたびにラベルを変更させることで、社員にデータセ キュリティの意識を根付かせられることがあげられます」(金森氏)。

とはいえ、初期値を「社外秘」にすることは、社員(ユーザー)にとって業務の利便性を損なうことにもなりかねず、反発・クレームは避けられません。そこで同社では、以下の 7 つのステップを経ることで、社員の反発を抑えながら秘密度ラベルを普及させていきました。

Step1:クレジットカード、マイナンバー、運転免許証等の個人情報を含むファイルに対する自動ラベルは初期値で有効(社外秘)とする。
Step2:「アーリアダプタ層(初期採用層)役社員」が任意で有効化できるように案内する。
Step3:「テレワークで自宅Wi-Fi利用が必要な役社員」に本機能は必須とする。
Step4:全社適用のための経営層への稟議とその周知を 6か月前から開始する。
Step5:「アーリーマジョリティ(前期追随層)役社員」が先行有効化できるように案内する。
Step6:本番適用前1か月前からメール、Teams チャットを併用し、「レイトマジョリティ(後期追随層)役社員」に事前有効化するように案内を複数回にわたり送信する。
Step7:全アカウントを有効化し、Teams で最終情報を案内する。

  • 図版

「まずは Teams で周知し、アーリアダプタを募りました。具体的には Microsoft Forms で先行ユーザー自身が申込を行い、有効化してもらいます。次にテレワーク(在宅勤務)時の自宅 Wi-Fi の利用を、秘密度ラベルを有効化したユーザーに限り、許可するという施策でユーザーの増大を図りました。この時点で全体の 5.7 %がラベル機能をオンにしています。そうなると、部署内でのファイル共有ができないケースも出てくるので、そこで全社適用の周知を開始。部署内のデータ共有が必要な層が有効化してアーリーマジョリティとなり、利用ユーザーは 23 %に達しました。そこからは本番適用に向けてメールや Teams で定期的に周知し続けて、最終的に全アカウントを有効化するといったステップでラベルの導入を進めました」(金森氏)。

「 Step6 までを経て、52.4 %のアカウントが有効化されました。秘密度ラベルはコンプライアンスに関わる機能なので、コンプライアンス研修の機会を使って全社的な周知を行い、2023年8月1日に全アカウントの有効化に至っています」(市川氏)。

TKC ではシステム部門が一方的に導入を促すのではなく、ラベルの有効性と必要性を理解したアーリアダプタを増やすことで、スムーズに展開することができたとし、全社導入の段階で各部署に味方がいる状況を作っておくことが大切と金森氏は説明します。当時はコロナ禍の影響でテレワークが普及していたこともあり、ラベル付けによりデータ セキュリティが担保されたユーザーのみ、自宅環境での Wi-Fi 利用を認めるという施策の効果も大きかったといいます。

「もちろん、初期値を「ラベルなし」にして秘密度ラベル機能を導入するというやり方ならば、ここまでのステップを踏まなくても大丈夫かもしれません。しかし、その場合にはこの機能が形骸化してしまう可能性もあると思いました。そのため、ある程度のステップが必要であっても、“会社を守る”、“社員を守る”という目的を突き詰めて、すべてのファイルに「社外秘」ラベルを付加するという判断をしました」(金森氏)。

Microsoft Purviewの機能を活用することで、全社的なセキュリティ意識の向上を図る

秘密度ラベルの導入に合わせ、TKC では Microsoft Purview DLP を用いたデータ損失防止にも取り組んでいます。「日本の金融データ」「日本の個人情報データ」「日本の個人情報保護」「日本金融関連データ」といった標準テンプレートのポリシーを有効化し、機密情報を検出することで情報流出の抑制を図っています。

「 OneDrive や SharePoint のサイト上でデータを所有しているユーザーや、監査項目事項の管理者にアラート メールを出すことで、効果が得られることを期待しています。ただ、アラート メールが届いても「何をすればよいのかわからない」と悩むユーザーもおり、DLP を効果的に運用していくためには、TKC に特化したポリシーを定義してく必要があると考えています」(金森氏)。

また市川氏は、現状の成果について所感を述べます。

「秘密度ラベルを全社展開したことで、すでに社員のセキュリティに対する意識が変わってきています。ラベルのメリットは、ファイル 1 つ 1 つに付加されることで、“これを社外に送っていいのか”という意識を必ず持つようになるところだと思っています。これにより、添付ファイルだけではなく、文面にも気を配るようになりました。社員からは工数が増えて大変という声もまだありますが、無意識の部分でデータのやり取りに注意するようになっており、データ セキュリティ強化における効果は現れています」(市川氏)。

  • 株式会社TKC 経営管理本部 IT 投資企画 部長 市川 裕洋 氏

    株式会社TKC 経営管理本部 IT 投資企画 部長 市川 裕洋 氏

データセキュリティとコンプライアンスのさらなる強化に向け、TKCの取り組みは続く

同社では、Communication Compliance や Insider Risk Management といった Microsoft Purview の機能検証も行っており、E5 Compliance をフル活用することで、データ セキュリティとコンプライアンスのさらなる向上を目指しています。

この取り組みについて金森氏は、将来的には、退職予定者や休職社員に対する監視機能強化にも活用していきたいと述べつつも「人事情報をシステム部門が触れるのは越権行為の範疇に入りかねず、コンプライアンス的に問題が生じる可能性も否めません。このため、経営層や部門間での議論を重ねて、検討していきたいと思います。」と話します。

TKC では Microsoft 365 E5 に限らず、マイクロソフトの先進的なソリューションに期待を寄せており、市川氏と金森氏は、同社が見据える今後の展望について次のように語ります。

「今回の取り組みを踏まえて、社内のインフラに関しては、やはり定期的に見直すことが重要だと感じたため、継続的なアップデートをしていきたいと考えています。またデータセキュリティも含めて、セキュリティ対策の基本は ID 管理だと思いますが、現状は手動で行っている作業も多いので、マイクロソフトの自動化ツールなどを用いて、管理者の軽減につなげられることを期待しています」(市川氏)。

「データ保護という観点では、いまだに“保存場所”をサイバー攻撃から守るというアプローチで取り組む企業が多い印象を持っています。しかし、クラウドやAIがビジネスの世界に浸透し、さまざまな場所からアクセスが可能な現在では、場所を起点にしたセキュリティ対策では万全とは言えません。そのため、ラベルや DLP といったデータ セキュリティの実施が不可欠です。環境の構築や社員への周知など、やるべきことは多岐にわたりますが、Microsoft 365 E5 を導入している企業ならば、必要なソリューションはすでに揃っています。まだ導入していない企業も含めて、外部からのサイバー攻撃に対する対策はもちろんですが、より被害を極小化するために、データ保護についても日本の性善説に基づいた運用ではなく、データ セキュリティへの取り組みを始めるべきでしょう」(金森氏)

顧客の安全と社員の安全を確保するため、データ セキュリティの強化に取り組む TKC の取り組みを、マイクロソフトはこれからも強力に支援していきます。

[PR]提供:日本マイクロソフト