Trace Id is missing
2024/05/10

“The SAZABY LEAGUE” 全体のセキュリティ強化 & コンプライアンスの徹底と、事業ごとの裁量権を Microsoft 365 E5 によるゼロトラストセキュリティで実現

“The SAZABY LEAGUE (以下、サザビーリーグ)” は 1972 年の創業以来一貫して、生活が少し楽しくなるような “新たな価値観の提案” を行うことで、お客様の支持を獲得。ロンハーマンやマッドハッピー、アフタヌーンティーにシェイクシャック、そしてフライングタイガーなど「アパレル」「服飾雑貨」「生活雑貨」「飲食」「ビューティ」とライフスタイルのすべてに関わる 40を超えるブランドを展開しています。類稀なフロンティア精神で “新たな価値観” を開拓し続けてきたサザビーリーグは、お客様情報の分析・活用によってビジネスをさらに強固にするべくデジタルトランスフォーメーション (DX) を推進。それに伴い、2021 年 6 月頃からグループ全体のセキュリティ & コンプライアンスの見直しを始めていました。そして Microsoft 365 E5の導入に、驚くべきスピードでゼロトラストセキュリティとコンプライアンスの両立実現。各ブランド全店のセキュリティ強化およびコンプライアンスの徹底を実現させています。

SAZABY LEAGUE IRIS

新しい市場の開拓と働き方の変化に応じた DX の推進へ向け、セキュリティを変革

サザビーリーグでは今、40 を超えるブランドと 600 近い店舗 (海外店舗含む) のすべてを対象として DX 化を推進しています。その狙いの 1 つとして「各ブランドが管理しているお客様情報の分析・活用」があると説明するのは、同グループの IT を支える株式会社サザビーリーグ IRIS 代表取締役社長 石橋 晃 氏です。

「私たちサザビーリーグは昔から “マーケットイン” の発想ではなく、自分たちが “わくわくするような面白いコト” を大切にして、自分たちがマーケットを作るというスタンスでビジネスを展開してきました。これは、創業者である鈴木陸三がヨーロッパで見つけた、まだ日本ではなじみのない使い込まれたユーズド家具の輸入販売を始めた時から続く DNA と言っていいでしょう。そのため、今まではお客様情報の分析・活用などを行ってこなかったのです。しかし今、ビジネスをさらに加速させるためにデータを分析して、さまざまな取り組みを始めていこうとしています。それは、既存のビジネスを強化するだけではなく、これまでまったく踏み込んでこなかったビジネス領域に進出する可能性も視野に入れた取り組みです。サザビーリーグには『過去の成功体験に捕らわれない』という文化が創業以来、非常に強く根付いているのです」

そしてこの DX 推進に際して、課題となったのが情報セキュリティの見直しです。
サザビーリーグでは従来から、グループ全体の IT ガバナンスを規定した上で、各ブランドで利用する基幹システム等に関してはそれぞれ独自の裁量権をもって SaaS アプリなどを採用して運用してきたという特色があります。
そうした状況に対応し、情報セキュリティに関しては多数のセキュリティ製品・サービスを利用、運用してきた経緯があると、サザビーリーグ IRIS インフラグループ プロジェクトマネージャー 今上 一樹 氏は説明します。

「これまでは、いわゆる境界型のセキュリティを固めてきました。しかし、ファイアーウォールやアンチウイルスソフト、アクセスログの保管など、各レイヤーに対してそれぞれ異なるベンダーの製品を利用していたために、運用コストもセキュリティ上のリスクも共に高くなっていたのです。加えてコロナ禍によるテレワークの実施など働き方の変化も生じてきたこと、さらに SaaS アプリの活用が増えてきたことで境界型のセキュリティに限界が見えていました。そこで、情報セキュリティを根本から見直し、ゼロトラストセキュリティへと移行することを計画したのです」

ゼロトラストセキュリティへ移行することのメリットは「ユーザーである従業員が、働きやすくなることにある」と今上 氏は続けます。
「“社内” と “社外” のネットワークを切り分けて考える境界型のセキュリティは、社外から PC で仕事をするために、VPN 接続で社内のネットワークにアクセスして、閉域網の中で作業する必要がありますが、これだけテレワークが一般化している状況では、VPN接続による回線速度の低下などのマイナス面が目立ちます。また、当グループの従業員は、買い付けのために海外出張に行く機会も多く、VPN 接続が難しくなってしまうこともあります。そうした不便さを解消していきたいという思いがありました」

“すべてのデバイス、ネットワークを信用せず、常に検証する” というゼロトラストセキュリティにおいては、PC やスマートフォンの管理も厳格化され、インターネットや SaaS アプリへのアクセスも常に監視して、安全性を確保します。これらの管理や監視は自動で行われるため、ユーザーの目線から見れば “会社から提供 (あるいは許可) された PC やスマートフォンを使っていれば、どこにいても、社内システムや SaaS アプリなどに何不自由なくアクセスして仕事ができる” という非常に利便性の高い環境が得られることになります。

ただし、サザビーリーグの店舗は広範囲に広がっており、約 2,000 ユーザーが PC を使用しています。全ユーザーを一気にゼロトラストセキュリティ環境に移行させることは、容易ではないと考えられました。
そこでサザビーリーグでは 2021 年 9 月から 2 か月をかけて情報セキュリティに関するアセスメントを行い、もっとも効率よく、“最善” なゼロトラストセキュリティ環境を構築するためのグランドデザインを策定。その結果、Microsoft 365 E5 を活用してゼロトラストセキュリティ環境を構築。全ユーザーの PC も Windows 10 から、当時リリースされたばかりの Windows 11 搭載機種にリプレースするプランに決定されました。

そしてもう 1 つ、大きな変更がありました。それが「メールやファイル共有などの情報共有基盤の変更」です。今上 氏は、次のように説明します。
「サザビーリーグでは 2012 年頃からメールやグループウェアなどに某クラウドサービスを利用してきましたが、ゼロトラストセキュリティへの移行に際して、これらもすべて Microsoft 365 E5 に移行することを決めました。決め手は『Microsoft 365 E5 には必要なライセンスがすべて揃っている』ということに尽きます。従来利用していた某クラウドの場合、ゼロトラストセキュリティに必要だとされている 7 つの技術のうち、3 つが不足していました。ほかに比較検討したベンダーの製品も同じように不足している技術がありました。その不足分を、他社製品に頼ってしまうと、万一インシデントが発生した場合に責任の切り分けが難しくなり、サポートを依頼しても『ここから先は、あちらの窓口に』『これについては、そちらの窓口に』とたらい回しになってしまう可能性があります。そうした状況は避けたかったのです。さらに言えば、複数のベンダーにまたがると、全体のライセンスコストも上がってしまいます。Microsoft 365 E5 への移行は最善の選択肢だったと思います」

設計わずか 2 か月。全国約 600 店舗への展開も 6 か月で完了

こうしてゼロトラストセキュリティへの移行プランができ上がると、プロジェクトはスピーディーに進行。わずか 2 か月で設計を終えると、全国約 600 の店舗への Windows 11 搭載 PC の配布も 6 か月で完了。ゼロトラストセキュリティの全社展開を2022年度中に終えています。

この驚異的なスピードを達成した主な理由として、今上 氏は「PC を一斉にリプレースしたことが大きい」と話します。

「古い PC を残したままで、中のイメージだけを書き換えようとするとスペック要件等でつまずいてしまうこともあったでしょう。たとえば、これまで使っていたアンチウイルスソフトを削除した後で、マイクロソフトの Defender が “入らない” となってしまうと、取り返しがつきませんよね。その点、最初からセキュリティポリシーに適合した PC を配布する方が、労力が圧倒的に少なくて済みます。タイミング的に Windows 11 のリリース時期と重なったことも運が良かったと思います」

また、多くの企業が時間を費やしてしまいがちな「コンプライアンスの評価」に関しては、マイクロソフトが公開している設定値や IT パートナーの推奨値をそのまま採用することで、スピーディーに進められたと言います。

「ゼロから設定しようとすると、非常に難しいものがあると思います。設定値が厳しければ、誤検知が多発してしまいますし、緩すぎれば安全が損なわれてしまいます。そういう意味では、実績豊富な IT パートナーさんの推奨値を採用するのは理に適っていると思います。それに、マイクロソフトが SaaS として提供しているサービスですから、機能の改善が随時適用されていくという点でも、非常に安心感があります」(今上 氏)

「一般的な話でいうと、過去に策定したポリシーを、どのように設定するかということで悩まれるケースも多いのだと思います。ただ、私たちとしては『今までのポリシーにこだわるのはやめよう』というスタンスでいますので、推奨値を採用することに抵抗はありませんでした」(石橋 氏)

豊富な機能で高い安全性を獲得。統合された管理画面で運用負荷を軽減

サザビーリーグがゼロトラストセキュリティに活用している主な機能は、以下の通りです。

  • Microsoft Entra ID (旧称:Azure AD) とActive Directory (オンプレミス) のハイブリッド参加による認証・ID 管理
  • Microsoft Intune : PC およびスマートフォンを統合管理。最新のセキュリティパッチ適用や、サザビーリーグが支給している iPhone の OS 更新まで確実に管理
  • Microsoft Defender for Office365(MDO): スパムやフィッシングのブロック、添付ファイルの安全性の確認、不正なメールの検知やメールの保護
  • Microsoft Defender for Endpoint(MDE): 未知の脅威や攻撃に対し高度な検出機能を提供、エンドポイントの保護を強化
  • Microsoft Defender for Identity(MDI): ユーザーの ID に対する異常なアクティビティを監視し、不正アクセスや悪意の活動を検出して防御
  • Microsoft Defender for Cloud Apps (MDCA) : ブランドごとに利用している SaaS アプリを完全に保護し、次の機能領域でクラウド アプリ データを監視および保護
  • Microsoft Sentinel : ネットワーク監視の自動化

サザビーリーグIRIS インフラグループ マネージャー 吉見 孝徳 氏は、次のように話します。

「以前利用していたアンチウイルスソフトは、Windows のパフォーマンスに影響を及ぼしてしまうことなどがありましたが、今はマイクロソフトの製品同士、非常に親和性が高くまったくストレスがありません。また、日頃の運用管理についても、Microsoft 365  管理センターから全体を見渡せますし、Intune の管理画面などに遷移すれば、詳細がすぐに把握できます。これは非常に便利です。こうした点も大きなメリットですね」

また、2023 年度からは IT パートナーに委託して、SOC (Security Operation Center) の運用を開始。Microsoft Sentinel が取得するセキュリティ分析と脅威インテリジェンスを利用して、インシデント発生時には即時に対応できる体制を整えることで、本プロジェクトを完了させています。

なお、SOC 運用開始から半年が経過した現在までインシデントは発生していないため、取得しているイベントログの解析などを実際に行った事例は「ない」と石橋 氏言います。

「私たちのシステムも、アタック自体は何度となく受けています。それが実際のインシデントにまで発展していないのは、きちんとしたセキュリティを実践しているからにほかなりません。情報セキュリティは直接収益に絡まないため、投資の必要性が理解され難い側面もあります。しかし、こうして安全を守っていること、きちんと対策を打っていること自体がすでにベネフィットなのです。万一、個人情報漏洩など発生した場合の損失は莫大ですし、その時に情報セキュリティを怠っていた事実があれば、社会的信用を取り戻すことも困難でしょう。情報セキュリティは、それだけ重要なのです」

マニュアル動画の配信で、ユーザーの混乱を防止

そのほか、某クラウドから Microsoft Exchange Online や Microsoft SharePoint Online、Microsoft Teams へと移行した情報共有およびコミュニケーションのツールについては、独自の「マニュアル動画」を作成。

Microsoft Stream を活用して全社に配信することで、ユーザーの混乱を防ぎ、使い方の周知徹底を図ったといいます。

そしてもう1つ、サザビーリーグにとって大きな価値をもたらすと考えられているのが、Power BI Pro の存在であると石橋 氏は説明します。

「冒頭にお話しした通り、サザビーリーグの中でデータ分析を行う機運が高まっています。それに応じて、BI ツールのライセンスを利用者分だけ個別調達してきました。しかし、今は Microsoft 365 E5 の中に全社員が使用できるだけの Power BI Pro のライセンスが含まれています。実は今回プロジェクトに際しては、Microsoft  365 E3 に、Microsoft   365 E5 Security と Microsoft 365 E5 Compliance を組み合わせるプランも検討していました。その方が、若干コストが低かったのです。しかし、E5 には Power BI Pro が付いてきます。これが非常に魅力的でした。データの分析・活用については、専門の担当者だけが行うのではなく、社内の誰もが行えるように環境を整え、さまざまな仮説とアイデアを試していくことが重要だと思っています。いわば『BI の一般化』です。これが実践できたら、もっとわくわくするようなビジネスが生まれるかもしれません」

中小のアパレル・生活雑貨事業者に適した、情報セキュリティの提案

こうして多くのベネフィットを生み出したプロジェクトについて、石橋 氏は「新しいスタートを切った私たち自身にとっても、大きな価値を持っている」と強調します。

サザビーリーグIRIS は元々、株式会社サザビーリーグの IT 統括部門であり、約 40 名が所属するチームでしたが、2024 年 4 月に実施された株式会社サザビーリーグの経営体制変更によって分社化。「アパレル・アクセサリー・雑貨・カフェ・レストラン」などの専門店を営む事業者に幅広く提供する IT 企業として、新たなスタートを切っているのです。

「今後、アパレルや生活雑貨などのお客様にサービスを提供していくにあたって、Microsoft 365 E5 による情報共有・コミュニケーション環境の活用から、ゼロトラストセキュリティの実現まで、当社のサービスとして提供できる準備が整ったことは、大きな意味があると思います。たとえば、アパレルであれば『大手』と言われる事業者は、国内にごくわずかしかありません。ほとんどが私たちグループと同じ中小の事業者です。そうした中で、十分な情報セキュリティを運用していくことは容易ではありません。私たち同様に小さなブランドを展開する事業者にとって、複数製品を混在させたセキュリティ環境を運用していくことは非常にリスクが高く、コスト的な負担も大きくなります。しかし Microsoft 365 E5 であれば、必要なものがすべて揃うため『安全』を提供しやすくなります」

また、店舗の運用に欠かせないパートやアルバイトといった人材の流動性の高さに対しても、ゼロトラストセキュリティへの移行が威力を発揮すると、石橋 氏は続けます。

「2021 年に当社が行ったアセスメントの結果でも『情報セキュリティに対する従業員の理解』という点に、低評価が付けられていました。これは人材の流動性も含めて考えると、何も驚く内容ではないと思います。しかし、ゼロトラストセキュリティへの移行が終わった今、ユーザーである従業員に何も意識させることなく、グループ内のガバナンスが保たれています。これはとても重要なことだと思います」

“私たち同様に小さなブランドを展開する事業者にとって、複数製品を混在させたセキュリティ環境を運用していくことは非常にリスクが高く、コスト的な負担も大きくなります。しかし Microsoft 365 E5 であれば、必要なものがすべて揃うため「安全」を提供しやすくなります。”

石橋 晃 氏, 代表取締役社長, 株式会社サザビーリーグIRIS

次のステップに進みましょう

Microsoft でイノベーションを促進

カスタム ソリューションについて専門家にご相談ください

ソリューションのカスタマイズをお手伝いし、お客様独自のビジネス目標を達成するためのお役に立ちます。

実績あるソリューションで成果を追求

目標達成に貢献してきた実績豊かな製品とソリューションを、貴社の業績をいっそう追求するためにご活用ください。

Microsoft をフォロー