乃村工藝社 130 年超の信頼と創造性を守るゼロトラストセキュリティへ、Microsoft 365 E5 を活用

お客様の機密を守るために、ITに注力し続けてきた歴史

乃村工藝社は日本各地で企業のオフィスや展示場、そして観光の目玉となるランドマークなど、さまざまな「空間創出」を手掛け、コンサルティングから施工・運営まで一貫したサービスを提供しています。

乃村工藝社がこれまでに創出してきた空間は、大規模な博覧会や人気キャラクターを活かしたエンターテインメント施設など多種多様であり、その 1 つ 1 つが、デザイナーやプランナーなど、異なる才能と経歴を持つ社内外のプロフェッショナル達のコラボレーションによって成り立っています。

彼らのコミュニケーションを安全に守るため乃村工藝社では従来からサイバーセキュリティに力を入れてきたと、株式会社乃村工藝社 コーポレート本部 IT・リスク管理統括部 統括部長であり、監査室長を兼任する原 武彦 氏は説明します。

「当社は 130 年を超える歴史の中で、非常に重要な施設やイベントなどを手掛けてきました。それらすべてがお客様の大切な機密情報になります。その機密情報がコミュニケーション環境の不備によって漏えいすることは許されません。そのために当グループではさまざまな取り組みを重ねてきました」

そして 2022 年に入ると、サイバーセキュリティに関する大きな方針転換が検討されます。それが、境界型セキュリティからゼロトラストセキュリティへのシフトチェンジであり、その実現に向けて採用されたのが Microsoft 365 E5 でした。

原 氏は次のように説明します。

「Microsoft 365 E5 というライセンスの中に、ゼロトラストセキュリティの実現に貢献するセキュリティ製品が揃っていることに安心感があります。今後さらに活用を広げることで、社内外に存在するあらゆるリスクへの対策を深め、社員が安心して作業できる、理想的な環境へ近づけていけると考えました」

クラウド活用とテレワーク。柔軟になった働き方を守る最適解へ

乃村工藝社がゼロトラストセキュリティを目指した背景には、コロナ禍に定着したテレワークと、利便性を増した各種 SaaS サービスの存在があります。乃村工藝社のビジネスを強力に推進するプロフェッショナル達は今も週 2 日を目安にテレワークを継続。ノート PC を携帯し、時と場所を選ばずに、SaaS サービスを利用しながら作業を進めることが当り前になっています。

これは、境界型のセキュリティを実施してきた乃村工藝社にとって、大きな変化でした。コーポレート本部 IT・リスク管理統括部 IT 部 インフラ推進課 課長 釘本 哲知 氏は次のように説明します。

「当社では従来、社外から社内ネットワークにアクセスするために VPN 環境をオンプレミスで用意してきました。しかし、コロナ禍以降、働き方が柔軟に変化していく中で、限界が生じてきました。オンプレミスの VPN サーバーを拡充するには、コストも人員も不足します。それに、SaaS などのクラウド利用が進む中で当社の情報資産を守り抜くには、境界型のセキュリティよりも、ゼロトラストセキュリティの方が適しています」

こうしてゼロトラストセキュリティの実現に向けたプロジェクトが始動。その第一段階として SSE に、マイクロソフトのパートナーでもある Zscaler を採用。2023 年に入ると、Microsoft 365 E3 に E5 Security のライセンスを追加して、さらに安全かつ快適なコミュニケーション基盤の構築を進めました。

数多くの国産クラウドサービスも対象としたリスク評価

行いやすかったです」ここで E5 Security を採用した理由について、釘本 氏は「リスク スコアの評価を補完するためだった」と話します。

「Zscaler に『企業リスクレポート』という便利な機能があるのですが、評価対象に自社で使用している国内のクラウドサービスがあまり含まれていなかったことが課題となりました。そこで、Microsoft Defender for Cloud Apps と連携活用することを考えました。元々、Microsoft Defender for Office 365 を使って標的型メール対策も行っていましたので、マイクロソフトのセキュリティ製品には理解も信頼もありました。何より、Defender for Cloud Apps はグローバルなサービスでありながら、思っていた以上に国内のクラウドサービスをリスク評価の対象として網羅していたのです」

Microsoft Defender for Cloud Apps と Zscaler の統合については、両社共に公式のドキュメントを公開してサポートしています。この選択は自然な流れだったと言えるでしょう。

そして、2024 年 1 月になると Microsoft 365 E3 ＋ E5 Security から、ライセンスを Microsoft 365 E5 へとアップグレードしています。その理由は「Power BI Pro の全社展開にある」と釘本 氏は振り返ります。

「Power BI Pro について 2023 年に少数のライセンスを取得して評価した結果、全社に展開するメリットが十分にあると結論が出ました。Microsoft 365 E5 には、セキュリティおよびコンプライアンスの徹底に必要な機能が揃っているだけではなく、Power BI Pro のライセンスも含まれます。各種セキュリティ製品と Power BI Pro の両方を必要とした時点で、ライセンスをアップグレードした方がコストメリットを得られると判断しました」

要望に応える唯一のパートナーに SOC 運用を一任

乃村工藝社がここまで順調にプロジェクトを進行してきた背景には、もう 1 つ大きな存在があります。それが、株式会社アイネットテクノロジーズです。

ゼロトラストセキュリティ実現に向けた新しいセキュリティ環境の構築と、その運用体制の刷新を検討していた乃村工藝社は、2022 年 9 月に Microsoft Base for Security で行われたセミナーで大きなヒントを得たと言います。

アイネットテクノロジーズが最初に乃村工藝社のサポートを行ったのは、2023 年 8 月から進められた Microsoft Defender for Endpoint の展開でした。従来使用していた製品からの移行は円滑に進み、4 か月ほどで乃村工藝社グループ 約 2,500 ユーザーの端末への展開を完了しています。

さらに乃村工藝社では、SOC (Security Operation Center) と CSIRT (Computer Security Incident Response Team) の運用を外部に委託することで、IT部のメンバーの負担を軽減し、本来業務に注力することを検討。RFP をまとめて入札を行った結果、乃村工藝社の要望をすべて満たすことができたのは、アイネットテクノロジーズ 1 社だけだったと、原 氏は説明します。

「各社の提案を比較した結果、Microsoft 365 E5 と Zscaler の両方をサポートできるのが、アイネットテクノロジーズさんだけだったのです。ある社は Zscaler だけ。またある社は、Zscaler と Microsoft 365 E5 のごく一部の機能までしかサポートできないとありました。それでは Microsoft 365 E5 のメリットを活かしきれません。結果、アイネットテクノロジーズさんに SOC および CSRIT の運用、そして E5 の導入および活用のサポートをお願いすることになりました」

株式会社 アイネットテクノロジーズ 業務執行役 丸田 崇志 氏は、このプロジェクト自体が非常に円滑に進んだと振り返ります。

「乃村工藝社様の社内 IT 運用が非常に整われていたこともあり、Defender for Endpoint の導入は、短期間でスムーズに完了させることができました。また、Defender for Endpoint の導入支援に関わらせていただいたことで、SOC 運用のご提案も、非常に行いやすかったです」

IT部の負担を減らし、機会損失を軽減する新体制

ています」乃村工藝社における Microsoft 365 E5 活用と、新たな SOC / CSRIT 運用は、管理を行うIT部だけでなく、ユーザーにも大きなメリットを提供していると言います。

「まず、Microsoft 365 E5 に関していえば、すべての製品が連携しており、社内の状況を一元管理できることが大きなメリットになっています」と釘本 氏。「以前はアンチウイルスや EDR、ファイアウォール、VPN などを個別に調達していたため、インシデントの疑いが発生するたびにアンチウイルスや EDR など複数のデータを確認する必要がありました。しかし、今は マイクロソフトが提供している管理画面を見れば、すぐに全体の状況を把握することができます。これは大きな変化です」

また、ユーザーに配布されたノート PC やタブレットの状態は常に Microsoft Intune で管理されています。Windows Update も IT部が望むスケジュールで適用されており、各デバイスが常に良好な状態に保たれています。そのため、トラブルがあったデバイスを復旧し、ユーザーの元へと戻すまでの時間が大幅に短縮されたと言います。

「以前はアンチウイルスや EDR でスキャンしても検知できないことがあり、その製品間の隙間に原因が隠れているようなことなどもありました。そのため、トラブルのあった PC は半日ほどかけてフルスキャンするのが常でした。その間、ユーザーは作業ができません。しかし今はアンチウイルスも EDR もすべてデータが連携しており、製品間の隙間などありません。デバイスの健康状態も Intune で常に把握していますので、対処も簡単です。あっという間にユーザーは作業に戻ることができます」

さらに、アイネットテクノロジーズによる SOC 運用も順調で「私たちも、自分の業務に専念できるようになった」とコーポレート本部 IT・リスク管理統括部 IT部 部長 東 崇城 氏は言います。

「以前は IT部まで直接赴いてトラブルの相談に来るユーザーが多くいました。しかし、アイネットテクノロジーズさんにトラブル対応の窓口を一本化したことで、そのようなユーザーはほとんどいなくなりました。おかげで、本来業務に注力できます。これはとても助かっています」

二人三脚でセキュリティとコンプライアンスの徹底へ

ゼロトラストセキュリティの実現に向けた乃村工藝社のプロジェクトは、まだ完了していません。外部リスクへの対応はほぼ整っていますが、まだ「内部リスクへの対応も残っている」と原 氏は言います。

内部リスクへの対策は、サイバーセキュリティにおいてとても重要な項目です。それは IPA (独立行政法人 情報処理推進機構) が 2024 年 1 月に公表した「情報セキュリティ10大脅威」において「内部不正による情報漏えい等の被害」が 3 位となっていることでも明らかです。しかし「内部リスクに備える」という言葉だけを聞けば「自分たちが疑われているのか」と反発するユーザーが出ることも想像に難くありません。

それでも「若い人たちを中心に、サイバーセキュリティに対する考え方も変わってきていると感じる」と東 氏は言います。

「自分たちが利用するノート PC が監視される、ということに対してスムーズに受け入れてくれるユーザーは増えているように感じています。内部リスクに備えたコンプライアンスの徹底についても、きちんとアナウンスすることができれば、働きやすい環境を維持するために当然のことだと理解してもらえるだろうと思います」

アイネットテクノロジーズ 常務取締役 上口 裕樹 氏は、この内部リスクに備える対応についても、同社の持つノウハウを活かして、乃村工藝社に伴走すると誓っています。

「今は SOC および CSRIT の運用を含め、Microsoft 365 E5 の機能を活かして、外部リスクに対応したサイバーセキュリティを中心にサポートさせていただいていますが、今後はさらに、内部リスクへの対応も含めたシステムの構築、および運用体制作りを、乃村工藝社様と共に進めさせていただきます」

原 氏もまた次のように話します。

「内部リスクに備えるということは『悪意あるユーザーを見張って取り締まる』ということだけではありません。組織内のユーザーが『機密情報と知らずにアクセスしてしまう』といったリスクを冒さないようにして、彼ら自身を守るという側面が大きいとも言えるでしょう。そのために Microsoft 365 E5 の活用深化は今後も続きます。その代表格が、組織内にある情報資産の管理と保護に役立つ Microsoft Purview です。とは言え、コンプライアンスの徹底には、さまざまな課題もあるでしょう。幸い、私たちにはアイネットテクノロジーズさんのノウハウを通じて “正しい道筋に導かれている” という実感があります。Purview を活用したコンプライアンスの徹底に関しても、二人三脚で歩んでいきたいと思います」