Trace Id is missing
2024/02/28

Microsoft Sentinel 導入で年々厳格化する認証基準に対応――わずか2カ月で導入を果たし認証審査を突破したセキュリティ基盤とは

地方拠点を活用した BPO サービスやコンタクトセンターサービスを展開する株式会社プレステージ・インターナショナル(以下、プレステージ・インターナショナル)では、年々高まるセキュリティ要求に対応するために、Microsoft Azure(以下、Azure)のセキュリティサービスを活用しています。その中で同社は、2023 年に自動車業界のセキュリティ基準「TISAX」に対応するためにMicrosoft Sentinel(以下、Sentinel)を採用、さらに Azure Arc や Microsoft Defender for Cloud を用いて、全社的なセキュリティを強化する基盤を構築しました。また TISAX 対応では、わずか 2 カ月という期間で Sentinel を導入するために、サポートサービス FastTrack for Azure を活用し、実際に短期導入を実現したといいます。

Prestige International Inc

「BPO × DX」による価値創造に向けて情報セキュリティの強化に取り組む

「エンドユーザー(消費者)の不便さや困ったことに耳を傾け、解決に導く事業創造を行い、その発展に伴い社会の問題を解決し、貢献できる企業として成長する」をグループ経営理念に掲げ、さまざまな BPO(ビジネス・プロセス・アウトソーシング)サービスを展開するプレステージ・インターナショナルグループ。

主な事業としては、損害保険会社や自動車メーカー、ディーラーをクライアントにお客様対応やロードサービスを提供するオートモーティブ事業、住宅の水回りや電気設備、建具、鍵などのお困りごとを 24 時間 365 日受付・現場対応したりコインパーキングやカーシェアステーションの保守点検をサポートしたりするプロパティ事業、24 時間日本語受付サービスやクレームエージェントサービスなど提供するグローバル事業、コールセンターや人材派遣などを行うカスタマー事業などがあります。

各種センターを地方拠点で展開していることが大きな特徴で、雇用を創出し、地域を活性化させ、収益を地域に再投資する経済循環を生み出す「真の地域還元モデル」を掲げています。地方の重要拠点は、秋⽥県(4 拠点)、⼭形県(2 拠点)、富⼭県、新潟県、岩手県にあり、従業員は正規社員として雇用され、約 7 割が女性です。企業内保育園などの福利厚生施設や、多様な働き⽅の実現を目指すプロジェクトの取り組みにより、ライフステージに関わらず誰もが活躍できる制度や環境づくりを推進しています。

IT システムの活用にも積極的で「コンタクトセンター、フィールド、IT の三位一体によるサービス提供」を基本とし、単なるコスト削減だけでなく、新しいテクノロジーを活用した「BPO × DX」による価値創造に取り組んでいます。そんなプレステージ・インターナショナルが事業拡大や DX 推進に向けて力を入れているのが情報セキュリティの強化です。プレステージ・インターナショナル グループ経営統括部 情報セキュリティ室 室長の川野 研一 氏はこう話します。

「BPOやコールセンターをサービスとして提供する際には、各種ISO認証を取得することはもちろん、お客様が求めるさまざまなセキュリティ要件に対応していくことが必須です。情報セキュリティ室では、グループの各事業部門におけるセキュリティを横断的に管理しています。ビジネス環境やセキュリティ要件の変化に合わせて、柔軟にセキュリティ対応を進化させていくことが求められています」(川野 氏)。

そこでプレステージ・インターナショナルがセキュリティの強化に向けて採用したのが「Azure」が提供するセキュリティサービス「Sentinel」やハイブリッド環境の統合管理サービス「Azure Arc」でした。

TISAX 審査対応をきっかけに、ログの統合分析基盤がないことが課題に

プレステージ・インターナショナルが Azure を採用した背景には、クライアントや消費者からの高まるセキュリティ要件がありました。

「セキュリティ要件はお客様ごとに存在しており、たとえばオートモーティブ事業とプロパティ事業では、業界ごとに満たすべき要件が違うことはもちろん、自動車業界の中でも、損害保険会社、自動車メーカー、ディーラーといった会社ごとに要件は異なります。また、外資のお客様では、NIST(米国国立標準技術研究所)の規格や EU GDPR(欧州一般データ保護規則)などへの対応も必要とされており、各拠点で取得した ISO 認証をベースとしつつ、クライアントごとに個別のセキュリティ対策を講じることで対応しています」(川野 氏)。

プレステージ・インターナショナルでは 1986 年に創業してから IT の内製化を基本にさまざまなシステムを自社で開発・運用してきました。BPO に関連するシステム数は現在 150 を超える規模で、パブリッククラウドの活用はもちろん、オンプレミス環境としては各地方拠点ごとにラック 20 本規模のシステムが稼働しており、この状況での各種認証取得などに対し川野 氏はこう話します。

「現在は複数のパブリッククラウドとオンプレミスに混在したシステムを、それぞれで監査ログやイベントログなど取得しています。しかし、システム数が多く、お客様の事業ごとにシステムを運用していることもあり、すべてのログを統合管理することは、技術的にも、工数的にも、安全性の観点からも難しく、各種認証取得や審査対応の際は、その都度必要なログを収集して対応していました。ただ、審査は年々厳格化しており、個別に対応することは現実的ではなくなってきていました」(川野 氏)。

対応の難しさに直面したきっかけの 1 つが「TISAX」への対応でした。TISAX は、ドイツ自動車工業会が定めた自動車業界のサプライチェーンを対象とした情報セキュリティの審査基準です。TISAX 認証の取得は事業を展開するうえで必須要件でしたが、審査基準の厳格化で、当時のシステムでは再認証審査への対応が困難だとわかったのです。

「TISAX は、ISMS(ISO/IEC27001)などの ISO 認証の要件よりも高いレベルが求められます。3 年ごとに再認証審査が必要で、前回取得した 2020 年と比べて 2023 年はさらに要求が上がっていました。具体的には、関連するシステムからログを取得すること、データを暗号化領域に格納すること、多要素認証をオペレータなどの一般ユーザーでも実施することなどです。ただ、審査までに残された時間が少なく、素早く対応することが求められ、加えて将来にわたって審査に対応するための体制も作る必要がありました」(川野 氏)。

FastTrack for Azure を活用して、Microsoft Sentinel を2ヵ月で導入

TISAX 審査に対応しつつ、年々厳しくなるセキュリティ要件に対応していくために採用したのが Sentinel です。情報システム部門の拠点である秋田でISMSやTISAXといったマネジメントシステムの構築や運用に携わっている仁部 友裕 氏は、Sentinel を採用した理由と要件をこう説明します。

「TISAXの審査準備をするにあたり、マルチクラウドとオンプレミスのハイブリッド環境で一括してログが収集・管理できるソリューションとしてSentinelの採用を検討し、最終的にはSentinelの機能をマイクロソフトの営業担当の方、技術担当の方を含めて協議させていただいたうえで、機能面で審査を乗り越えられると判断し導入に至りました。加えて、当社では Microsoft 365 を含めて、情報システム基盤の一部に Microsoft Azure を使用していたため、そのノウハウもあり、情報セキュリティ室としてもセキュリティを含めた社内システムログ管理を Azure で統一していくことが最適だと考えました。 Sentinel の採用はスムーズに決まったのですが、大きな課題だったのは、TISAX の審査までタイトなスケジュールだったことです」(仁部 氏)。

TISAX の審査は、審査担当者がオンサイトで 5 日間かけて各種資料とヒアリングシートに記載した当社の取り組みを裏付けるエビデンスを1つ1つ確認していく厳しいものです。審査の際にはエビデンスを提出する必要があり、ログの収集から分析を行う基盤の作成・運用設計の上、エビデンス作成までにかなりの時間やコストがかかることが予想されました。そうした悩みをマイクロソフトに相談したところ、提案されたのがクラウド ソリューションをすばやく効果的に設計・デプロイできるようにするための支援プログラム「FastTrack for Azure」だったといいます。

「FastTrack for Azure では、Azure のサービスを実際に利用できるようにするためにテクニカルな内容を含めてサポートを受けることができます。実際に、週 1 〜 2 回の頻度でミーティングを設定いただき、製品部門担当の方から、Sentinel の機能や審査対応に必要な作業など、さまざまなアドバイスをいただくことができました。具体的には、Sentinel でどのようにデータを検索するかについてクエリー(命令文)のサンプルを書いていただいたり、暗号化した領域をどう作り、どのようにログを保護するかについてのストレージ構成を教えていただいたりしました。デッドラインが 2 カ月後に設定されているなかで、こうした手厚く顧客に寄り添ったサポートを提供いただけるのは、マイクロソフトならではだと感じました」と、仁部 氏は導入時のことを振り返ります。

FastTrack for Azure の活用もあり、Sentinel 導入と審査対応は、想定した以上にスムーズに進み、事業継続への影響も無かったといいます。また、審査時には、「Sentinelなどの分析ツールを使っている点はよい点である」と審査員からのコメントもいただけました。

将来的な認証取得・審査への対応と、全社的なセキュリティ強化を実現

川野 氏は、マイクロソフトのサポートについて「ITシステムはもちろん、顧客のビジネス状況やセキュリティ環境を考慮した提案してくれることがポイント」だと評価します。

「ログの収集や分析という点だけで見れば、ほかの製品やベンダーが選択肢に入るかもしれません。ただ、マイクロソフトは、普段から Microsoft Teams などを使ってざっくばらんに相談できる環境があり、セキュリティ対応や審査対応についても豊富な実績を持っています。実際、今回も TISAX 対応をきっかけに、Sentinel の導入だけにとどまらず、将来的な認証取得・審査対応や全社的なセキュリティ強化を視野に入れた提案をしてくれました」(川野 氏)。

Sentinel 導入に際しては、TISAX 対応で必要になるシステムだけでなく、クラウド、オンプレミスを含めたハイブリッド環境におけるすべてのシステムからログを収集する仕組みを構築しています。具体的には、ハイブリッドクラウド環境をシームレスにつないで統合的に管理できるようにするソリューション「Azure Arc」や、マルウェアからの保護やクラウドの設定ミスなどを検知できるソリューション「Microsoft Defender for Cloud」をあわせて導入することで、将来にわたってセキュリティを強化できる体制を構築したのです。川野 氏は、今回の取り組みの成果をこう話します。

「TISAX 認証を取得したことをきっかけとして、さまざまな認証への対応がしやすくなったことが大きな成果です。セキュリティ認証の取得・更新、審査への対応は今後ますますハードルが上がっていくでしょう。しかし今回、スピーディーかつ柔軟に対応できる基盤を作ることができました。実際、目の前に迫っている ISO 認証への対応を今回の基盤を活用してスムーズに実施することができています。また、もう 1 つの大きな成果として、全社的なサイバーセキュリティを強化するための基盤を構築できたこともあげられます。オンプレミス、クラウドを含めたさまざまなシステムのログを Azure Arc で収集し、Sentinel で分析しながら、Microsoft Defender for Cloud で脅威に対応していく仕組みを整備できました。この仕組みは部分的な運用にとどまっていますが、今後、地方の各拠点にも展開し、セキュリティ強化を図っていきます」(川野 氏)。

マイクロソフトとの協業のなかで、新しい取り組みもスタートしています。情報システム関連部門および情報セキュリティ室では、共同プロジェクトとして、Azure OpenAI ・Azure Cognitive Servicesを活用した、AI とコンタクトセンター基盤を連携した音声自動要約機能の活用など人手不足に対応する施策も進行中です。

「今後もBPO × DX を推進するためにさらなるセキュリティの強化を図り、お客様に新しい価値を届けていきます」(川野 氏)。

FastTrack for Azure(FTA)は終了したプログラムで、現在は提供されていません。

“TISAX 認証を取得したことをきっかけとして、さまざまな ISO 認証への対応がしやすくなったことが大きな成果です。セキュリティ認証の取得・更新、審査への対応は今後ますますハードルが上がっていくでしょう。しかし今回、今後ますます厳しくなるセキュリティ要件にスピーディーかつ柔軟に対応できる基盤を作ることができました”

川野 研一 氏, グループ経営統括部 情報セキュリティ室 室長, 株式会社プレステージ・インターナショナル

次のステップに進みましょう

Microsoft でイノベーションを促進

カスタム ソリューションについて専門家にご相談ください

ソリューションのカスタマイズをお手伝いし、お客様独自のビジネス目標を達成するためのお役に立ちます。

実績あるソリューションで成果を追求

目標達成に貢献してきた実績豊かな製品とソリューションを、貴社の業績をいっそう追求するためにご活用ください。

Microsoft をフォロー