「投資」がセキュリティ対策の最善手になるわけではない。Microsoft 365 をもって、業務アプリとセキュリティ ツールの集約化と生産性向上に取り組む、三井物産セキュアディレクション

情報セキュリティの専門集団が考える、パブリック クラウドを活用したセキュリティ対策

情報セキュリティに対する社会的責任が高まる今日、インシデントの発生は、企業のブランド失墜という重大な問題へと派生するリスクを内包しています。こうした時勢を受け、24 時間 365 日間体制でネットワークやデバイスの監視を行う組織、通称 SOC (Security Operation Center) を自社内に構築する企業も少なくありません。この SOC をサービスとして提供する MBSD は、国内有数の「情報セキュリティ対策の専門集団」といえるでしょう。

高いスキルを持った専門エンジニアによって提供される MBSD のサービスは、その高い品質ゆえに提供コストも決して廉価ではありません。同社サービスに限らず、情報セキュリティ対策は一般的に、大きな投資を伴うものです。そうした中で「セキュリティ対策は要するコスト、そして運用負荷を鑑みて計画を進めるべきです」と語るのは、三井物産セキュアディレクション株式会社 代表取締役社長 神吉 敏雄 氏です。

「セキュリティ対策で見落としがちなものに人的リソースの割り当てがあります。明確に定めたポリシーのもとで各システム、各製品を運用しなければ、十分な対策を講じることは困難です。しかし悩ましいことに、セキュリティ対策の対象を拡大するほど、そしてその水準を高めるほどに監視対象となるシステムの数、求められる人的リソースも増大します。経営リスクを低減させるためにセキュリティ対策は必要な投資です。しかし、こうした金銭、人員の投資がビジネスや収益に悪影響を及ぼしては意味がありません。今日の企業に求められるのは、自社にどんなセキュリティ対策が必要なのかを見極めること。そしてその対策を実装するための現実解を綿密に検討することだといえます」(神吉 氏)。

IT への依存度が上昇する昨今、企業が利用する業務アプリの数も増加の一途をたどっています。これは管理、監視すべき対象のシステムが増加していることを意味します。神吉 氏は専門家の目線から、「IT 部門に十分な人的リソースを割くことが難しい中堅中小企業にとっては、自社だけで十分なセキュリティ水準を担保することが困難になってきています」と説明。続けて、自社の取り組みを引き合いに、業務アプリとそれを守るセキュリティ ツールの集約化、運用監視の最適化が求められていると述べます。

「MBSD は『情報セキュリティの専門集団』を名乗っていますが、従業員の規模でいえば数百名規模となり、いわゆる中堅企業にあたります。IT 部門には当然セキュリティの専門家をそろえていますが、人数は他社の例に漏れず数名です。いかに専門技術を有しているといえ、人的リソースには限りがあります。ビジネスを伸張させていくうえで IT の活用は欠かすことができません。それゆえ、今後も確実に増えていくであろう業務アプリとセキュリティ ツールをいかにして集約化するか、運用管理に要する人的リソースを最適化するかが課題となっていました。これらの課題をクリアすべく、当社では現在、パブリック クラウドの活用を進めています」(神吉 氏)。

Microsoft 365 に期待した、業務アプリとセキュリティ ツールの集約化

従来、MBSD ではアプリケーションごとにパッケージ製品やスクラッチ開発でシステムを構築し、オンプレミスでこれらを運用してきました。同社は2015 年、オンプレミスの Exchange Server を Office 365 へ移行したことを契機に、パブリック クラウドを活用した業務アプリ、セキュリティ ツールの集約化に着目します。この理由について、社内 IT の運用管理を担当する三井物産セキュアディレクション株式会社 経営企画部 ITグループ セキュリティアナリスト 戸崎 辰雄 氏は次のように語ります。

「企業として利用する業務アプリの数は今後も増加の一途をたどることが予想されます。必然的に、これを守るためのセキュリティ ツールも増えていきます。このままでは、そう遠くない未来に人的リソースが枯渇することが明白でした。ビジネスの成長に合わせて IT を拡大していく。これを現在のリソースで進めるには、Office 365 のような『複数の業務アプリ、セキュリティ ツールを集約化したサービス』の活用が不可欠です」(戸崎 氏)。

Office 365 は、Exchange Online (メール) だけでなく、Skype for Business Online (オンライン会議) や SharePoint Online (文書管理) など、多様なサービスを提供します。MBSD ではまず Exchange Online の単体利用を開始し、翌年の 2016 年には、集約化に向けた取り組みを推進。Office 365 が備える Microsoft Cloud PBX の活用を計画します。

客先常駐や営業活動など普段から外出する従業員が多い MBSD において、音声連絡は、企業の固定電話宛てではなく個人に貸与したモバイルデバイス宛てが大半を占めていました。用途が限られている固定電話の運用、更新に予算と人員を割くことは、経営戦略上避けるべきです。そこで、同社は老朽化したレガシー PBX (構内交換機) のリプレースにおいて、クラウド型 PBX による VoIP の活用を構想。ここで Microsoft Cloud PBX が検討されたわけです。

「Microsoft Cloud PBX を活用すれば、スマートフォンや PC 端末上の Skype for Business Online で内線電話と外線電話を使用することが可能です。これによって、オンプレミスの PBX へ更改するよりも廉価に、より利便性の高いモバイル ワーク環境が整備できると期待しました。しかし、モバイル ワークを推進するためには、エンドポイント セキュリティ、デバイス保護、ID 保護、データ保護といったセキュリティ基盤の強化が必要です。セキュリティを強化し、管理、運用作業の集約化も進める。これらを実現するソリューションとして注目したのが、Microsoft 365 です」(戸崎 氏)。

Microsoft 365 は、Office 365、Windows 10 Enterprise、 Enterprise Mobility + Security (EMS) を統合的に提供する、生産性向上とセキュリティ強化のためのソリューションです。同サービスの活用によって、音声通話を含むコラボレーション ツールがクラウド上で統合的に利用可能になるほか、働き方の見える化、データ活用などを通じて生産性向上に向けた歩みを進めることもできます。さらに、世界水準ともいえるマイクロソフトのセキュリティ技術によって、脅威の未然予防をサービスとして利用することが可能。これによって、従来個別のシステムで実装してきたセキュリティツールの集約化にも期待できたのです。

神吉 氏はここで、Microsoft 365 の検討時にオーランドで開催されていた技術カンファレンス「Microsoft Ignite」について触れます。同カンファレンスでは Office 365 や Windows 10、EMS、Azure など、マイクロソフトが提供する各サービスのセキュリティ ロードマップが提示されました。「ここへ参加した当社社員の報告が、Microsoft 365 を採用する決め手となりました」と神吉 氏。Microsoft 365 が有する「発展性」をキーワードに、この理由を説明します。

「参加者の報告から、Microsoft 365 の提供する各サービスが高い連携性を持つこと、これによって企業全体のセキュリティ強化が可能であり、その水準もきわめて高いことが確認できました。さらに、マイクロソフトがロードマップに沿って自社クラウド サービスを発展させていくことによって、Microsoft 365 を利用する当社のセキュリティも同様に向上していくことが可能です。いまの運用体制のままでこうした発展性を有することができる。これは、人的リソースに限りがあるわれわれにとって、大きな価値でした」(神吉 氏)。

パブリック クラウドというと、セキュリティを懸念する企業がいまだに少なくありません。しかし、多数の専門技術者を配備し、厳格なポリシーのもとで自社環境を運用している企業は、はたしてどれだけ存在するでしょうか。これをサービスとして提供するパブリック クラウドは、オンプレミスと比べても遜色ない信頼性を提供しているといえます。三井物産セキュアディレクション株式会社 経営企画部 ITグループ セキュリティアナリストの和田 建希 氏は、「近年は脅威情報を活用する Threat Intelligence の技術が発展しています。誤解を恐れずにいえば、多くの攻撃を受ける事業者ほどそこへの対策をサービスに反映しており、堅牢だといえます」と語り、そのうえで、マイクロソフトのクラウド サービスを次のように評価します。

「マイクロソフトは世界有数の IT 企業であり、当然、同社をねらう攻撃は圧倒的な数となります。そうした企業がいまだに致命的なセキュリティ インシデントを引き起こしていないという事実は、プラットフォームを信頼するに足る実績といえるでしょう」(和田 氏)。

従来以上の環境を、コストを削減しながら実現。 これは「コスト削減」でも「投資」でもない、いわば「マジック」

検討開始から 1 年が経過した 2017 年 11 月、MBSD は Microsoft Cloud PBX を擁する最上位プラン Microsoft 365 E5 の採用を決定。同時期から構築作業に着手し、2018 年 2 月には Skype for Business Online の外線化、内線化を完了しています。翌年度以降では EMS や Windows 10 の利用も計画しており、今後段階的に、Microsoft 365 が備えるサービスを実装していく予定です。

2018 年 2 月現在はまだ Exchange Online、Skype for Business の利用のみに留まっているものの、既に大きな成果が生まれているといいます。

「日本独自の文化に対応してきたレガシー PBX から世界標準であるMicrosoft Cloud PBX へ移行することは弊社にとっても大きなチャレンジでしたが、Microsoft Cloud PBX の豊富な機能とマイクロソフトの手厚い技術サポートにより、導入はスムーズに進みました。結果、固定電話の削減などを含め、オンプレミスでの更改より 2/3 ほどコストを削減できています」(和田 氏)。

「たとえば EMS が備える AIP を活用すればドキュメント単位でデータが保護できますし、Office 365 ATP では Threat Intelligence 技術によるメール セキュリティの強化が可能です。今回、Microsoft 365 最上位プランを選定していますが、既存ソリューションを統廃合することにより、既に 2 割のコスト削減を実現しています。今後、同プランにより提供されるさまざまな機能をデプロイしていくことで、さらなるセキュリティ基盤の強化を狙っています。今と同じものをコストを下げながら実現することを『コスト削減』、今以上のものを大きな予算を投じて実現することを『投資』と呼びますが、今回の狙いはどちらにも該当しない、『今以上のものを、コストを削減しながら実現』したものとなります。これは、一種の『マジック』のようなものだと感じています」(戸崎 氏)。

Microsoft 365 は、多くの企業で共通するセキュリティ課題を解消する

「投資」がセキュリティ対策の最善手になるかといえば、必ずしもそうとは限りません。MBSD のように自社において必要なものは何かを明確化し、そこへ注力することが、結果として「マジック」のような成果を生み出すこともあるのです。

企業によって、必要なものは異なります。しかし神吉 氏は、Microsoft 365 が多くの企業に共通する課題を解消するソリューションになるだろうと説明。さらに、これを早期に自社導入したことが、同社ソリューションの価値向上にもつながると述べます。

「限られた人材、限られた予算でセキュリティを担保する場合、まず多くの企業に共通する課題を優先的に対処していくことが有効です。この有効性は WannaCry のような攻撃が依然として数多く発生していることからも明らかでしょう。こうした課題への対応をまず進め、並行して自社特有の資産、リスクについての検討と対処法を計画、実践していくことが重要なのです。Microsoft 365 は『多くの企業に共通する課題』への対応をおおむね包括しており、当社だけでなく多くの企業が今後採用していくだろうという可能性を感じています。MBSD 内で早期に Microsoft 365 の知見、技術を蓄積することは、ノウハウをお客様に還元できるという意味でも有効だと考えています」(神吉 氏)。

セキュリティの専門集団として確固たる地位と実績を有する MBSD。同社が自らのセキュリティ対策としてマイクロソフトのクラウド サービスを選択したことは、多くの企業がセキュリティに対する認識を改めて考える契機となるでしょう。

[PR]提供：日本マイクロソフト