ゼロ トラスト ネットワークの実現に向けて――Microsoft 365 E5 で整備した包括的なセキュリティ体制のもと、ポケモンというコンテンツを "安全" "安心" に提供し続ける

セキュリティへの考え方を抜本的に見直す

セキュリティ インシデントは、ブランドの失墜を招く大きな経営リスクです。ブランドの規模が大きくなればなるほど、その損失は増大します。全世界で累計 3 億4000万本のゲームを出荷し、169 の国と地域でテレビ アニメを放送するポケモンは、その規模ゆえにブランド マネジメントが極めて重要と言えるでしょう。しかし、株式会社ポケモン 開発事業本部 システム部の 関 剛 氏は「ポケモンのコンテンツを安心して楽しんでいただくために、セキュリティは重要です」と言います。

「ゲームやアニメ、グッズはもちろん、オフィシャル ショップの運営、イベントの開催など、当社では様々な形で "ポケモンという体験" を提供しています。ゲームから出発したポケモンですが、本当に多くの方に楽しんでいただけるコンテンツに成長することができました。ただ、こうしたサービスの質的向上も当然重要ですが、セキュリティリスクがあれば、どんなに魅力的な体験であろうともお客様は利用したいと思ってくれなくなるでしょう。サービス品質と同じくらいに、サービスが安全に提供されることは重要なのです。私たちは、これがあって初めてビジネスは成り立つと考えます」( 関 氏)。

株式会社ポケモンの事業は、多くのパートナー シップの下で成り立っています。そのためにビジネスパートナーとの情報共有も安全にかつシンプルに行うことが求められます。

しかし、ビジネスを取り巻く環境はめまぐるしく変わっていきます。関 氏は、「従来通りのセキュリティでは、いずれ "安全" " 安心" という前提が揺らいでしまうのではないか、そんな危機感がありました。」こう述べ、現在、セキュリティへの考え方を抜本的に見直す段階に差し掛かっていることを言及します。

これまでのセキュリティでは、ファイヤー ウォールなどを用いて企業の "内" と "外" を遮断して、この内側の安全性を確保するという手法が一般的に採られてきました。しかし、サイバー攻撃の手段は巧妙化、複雑化の一途をたどっており、内部侵入されるリスクは高まってきています。また世の中に目を向けると内部にいる従業員の過失による情報流失もしばしば発生しており、クラウド サービスの普及によって近年は "内" と "外" の境界線も不明瞭になってきました。

こうした動向を見定めて、株式会社ポケモンでは現在、ゼロ トラスト ネットワークへと、セキュリティの考え方をシフトしているといいます。この意図について、株式会社ポケモン 開発事業本部 システム部の井上 絵美子 氏と篠原 大輔 氏は、次のように説明します。

「ゼロ トラスト ネットワークは、ネットワーク上のパケットについて、内側外側を問わず " すべてを疑う" ことを前提にした仕組みです。すべてのパケット、すべてのログを取得して、システムに対するアクセスやユーザー、端末を検証し、信頼できるものだけを認証する。こうしたプロセスを経ることで、セキュリティ レベルとサービスの利便性の双方を高めていくことが可能になります。これまでのやり方でセキュリティを追求する選択肢もありますが、その場合、仕事ができる場所を制限するなどの対応が必要となります。ユーザーは新しい "ポケモンという体験" を日々求めていますから、セキュリティと生産性は両立させねばなりません。このためには、セキュリティの在り方そのものをシフトさせることがふさわしいと考えたのです」(井上 氏)。

「ゼロ トラスト ネットワークにあたっては、未知の脅威であっても検出できるような検証力と、すべてのパケットをトレーサビリティ化する仕組みが必要です。ただ、私たちはセキュリティ会社ではありませんから、独自でこうした仕組みを用意する事は困難を極めます。当社では、膨大な脅威情報(Threat Intelligence) を有するマイクロソフトの Microsoft 365 E5 を採用することで、ゼロ トラスト ネットワークの整備を進めています」(篠原 氏)。

Microsoft 365 E5 で、複数レイヤーを横断して未知の脅威が検出できるように

Microsoft 365 は、Windows 10 Enterprise と Office 365、そしてモバイル セキュリティ スイートの Enterprise Mobility + Security (EMS)、これらを統合的に提供するクラウド ソリューションです。

株式会社ポケモンが利用する最上位エディションの Microsoft 365 E5 では、マイクロソフトが有する脅威情報を基にしてパケットや動作ログ、メールなどから怪しい挙動を検出する、ATP(Advanced Threat Protection)という仕組みが実装されています。これを導入するメリットについて、関氏は次のように述べます。

「ゼロ トラスト ネットワークではすべてのパケットが検証対象となりますから、セキュリティ管理に要するリソース負荷は必然的に増大します。1 件1 件対応していてはパンクしてしまうため、いかにして検証作業を自動化するかが重要となるのです。Microsoft 365 では、当社だけでは検証ができない未知の脅威も含めて検証が可能で、軽微なものは自動的に解決するよう設定できます。市場には他にもこうした TDR (Threat Detection and Response) と呼ばれるサービスが存在しますが、Microsoft 365ではエンドポイントは Windows Defender ATP が、ID (ユーザー) はAzure ATP と Azure Active Directory の Identity Protection が、メールやドキュメントは Office 365 ATP といったように、様々なレイヤーの脅威を横断的に検出できます。1 つのサービスで、複数レイヤーをまたがってパケットを自動検証できる。これは大きな優位性でした」（関 氏）。

• Microsoft 365 では、エンドポイントだけでなく ID (ユーザー) やメールなど、様々なレイヤーにおけるふるまいを横断的に監視して脅威を検出することが可能

株式会社ポケモンではこうした ATP の仕組み以外にも、アンチ マルウェアの Windows Defender AV、認証基盤となる Azure Active Directory Premium、データを保護する Azure Information Protection など、Microsoft 365 の備えるセキュリティ機能を全面的に採用しています。井上 氏と篠原 氏は、レイヤーを横断した多層防御の仕組みが構築できることも同サービスの強みだと語り、詳細を説明します。

「ATP だけに頼っては、リスク可能性をゼロに近づけることはできません。脅威が侵入した場合のことも考慮して、ハードやネットワーク、ソフトウェアなどあらゆるレイヤー上で多層防御の仕組みを構築する必要があります。ただ、そのためにサード パーティ製のシステムを増やすことは適切でないと判断しました。管理コンソールが複数あっては運用負荷が増加しますし、運用プロセスが複雑化することで人的ミスを誘発する危険性もあります。くわえてセキュリティのシステムもまた脆弱性というリスクを内包しています。システムの増加は、セキュリティ リスクを高めることにも繋がってしまうのです。Microsoft 365 では、エンドポイントやネットワーク、アプリケーション、モバイルなど、あらゆるレイヤーにおいて、多層防御の仕組みを実装することができます」( 篠原 氏)。

「標準機能だけを利用した限りなくシンプルな仕組みのもと、複数レイヤーを横断した多層防御を構築することができる、この点も、私たちが Microsoft 365 を採用した大きな理由でした。また、今はまだ未実装ですが、Microsoft Cloud App Security にも魅力を感じています。当社ではマイクロソフトのサービス以外にも、各事業部門が様々なクラウド サー ビスを利用して業務をしています。高生産性を維持することが理由なのですが、Microsoft Cloud App Security を利用すればこうした他のクラウド サービスも統合的に監視することが可能です。業務ツールの分散はセキュリティ リスクとなりますが、ただ制限するだけでは生産性を阻害してしまいます。統合的に監視してまずどのように使っているのかを可視化する、そして適切に利用されるようガイドライン化してあげれば、現場の業務を邪魔することなくセキュリティ リスクを低減していけると考えています」( 井上 氏)。

• Microsoft Cloud App Security では、Microsoft 365 以外の他社サービスも監視配下に置くことが可能

ゼロ トラスト ネットワークの効果を最大化すべく、Surface Pro も導入

Microsoft 365 E5 を採用の下、株式会社ポケモンは現在、ゼロ トラストネットワークへ向けた歩みを着実に進めています。実はこのプロジェクトは当初、もっと小規模な取り組みだったといいます。関 氏は、Microsoft 365 E5 の存在によって先の歩みが具体化できたとし、検討当時を振り返りながらこう述べます。

「もともとは新旧の業務 PC が混在したクライアント環境を標準化するためにこの取り組みをスタートしました。2017 年夏のことで、最初は "Active Directory を最新版にリプレースしよう" とか "シングル サインオンを実装しよう" といった話だったのですが、検討過程でマイクロソフトより Microsoft 365 を紹介いただき、ゼロ トラスト ネットワークへのシフトが可能性として浮上しました。もともとこのシフトは将来構想にはあったのですが、必要な仕組みが多かったり管理体制を整えねばならなかったりとハードルが高く、まだ先のことだと考えていたのです。ただ、議論を重ねていくうちに、必要な仕組みが Microsoft 365 ならば実装できる、運用体制も大きくは変えずに進められると感じました。同サービスの存在が、私たちのゼロ トラスト ネットワークへの歩みを加速させたといえるでしょう」( 関 氏)。

ゼロ トラスト ネットワークの加速は、セキュリティ水準と生産性の向上と同義だと言えるでしょう。ここでの効果を最大化するために株式会社ポケモンでは、Microsoft 365 の導入と並行して、業務 PC も Surface Proへリプレースを進めています。井上 氏はこの理由について「Surface Proはマイクロソフトの製品ですから、Microsoft 365 の備える各機能を最大限に活かすことができると期待しました。」と説明。ここでの成果について、篠原 氏とともにこう続けます。

「社員が特に意識せずとも、裏側の仕組みによってセキュリティが堅持されている。これが理想形だと私たちは考えており、様々な側面からこれが達せられつつあります。例えばクライアント管理でいえば、今回の取り組みでは、社員が業務 PC をネットワークに接続するだけで規定ポリシーが適用される形へと変更しました。これは Windows Autopilot とMicrosoft Intune を利用して実装していますが、業務 PC を新たに用意する際に従来必要だった申請、キッティングなどの工程を無くしたことで、急遽人員の補充が必要になった場合でも即座に環境を提供できるようになりました。Surface Pro と Windows Autopilot との高い親和性もあって業務 PC は常に最新かつセキュアに保たれますから、社員が配慮を行う必要なく堅牢な環境が維持できます」( 井上 氏）。

• Surface Pro は Windows Hello に対応したイン カメラも備えており、Microsoft 365 の機能を最大限生かすことができる

ゼロ トラスト ネットワークの歩みを加速させていく

株式会社ポケモンが Microsoft 365 の利用を開始したのは、2018 年末のことです。まだ利用開始から間もないため、関 氏は、現在まだゼロ トラスト ネットワークへのシフトは過渡期にあると述べます。ですが、そう遠くない未来でこのシフトが完了できる見通しだと語り、次のように意気込みを語ります。

「まだ Microsoft 365 の管理下にないシステムやネットワークがあるため、すべてのパケットをトレーサビリティ化できるまでにはもう少し時間がかかるでしょう。また、Windows Defender ATP などが持つ高度な機能を最大限に活用するためにも、運用のノウハウを蓄積して SOC (セキュリティ オペレーション センター) の体制をより最適化していく必要があります。早期にこれを進めることで、ユーザーだけでなく、社員やパートナーにとっても " 安全" に " 安心" して利用できる社内システムを提供していきたいと考えています」( 関氏)。

ゲームや映像、アパレル、飲食など、株式会社ポケモンがプロデュースするサービスは、すべてパートナーとの協力によって成り立っていると言えます。ユーザー、パートナー、そして社員、これらのステークホルダーが安心して利用できる環境を、常に用意し続ける。ゼロ トラスト ネットワークへのシフトによって、株式会社ポケモンは、今後ますます世界中に愛されるサービスをプロデュースしていくことでしょう。

[PR]提供：日本マイクロソフト