公的機関や金融機関、各業界の DX 推進を支援するシンプレクスは、3 大クラウドのセキュリティ強化に Microsoft Defender for Cloud を採用

シンプレクス株式会社 (以下、シンプレクス) は、メガバンク・三大証券・大手生保からネット銀行・ネット証券・ネット生保に至る金融機関や、エンタメ、製造、官公庁・自治体まで各業界をリードする企業に対し、DX 推進を支援する上流のコンサルティングから、システムの開発・運用保守まで一気通貫でサービスを提供。すべてのお客様のニーズに迅速に応えるため、3 大クラウドサービス (AWS・Microsoft Azure・Google Cloud) を活用した開発環境を、フル稼働させています。

シンプレクスでは、Microsoft 365 E5 をフルに活用したゼロトラストセキュリティを実践するなど、自社のセキュリティにも従来から注力。そして今、システム / サービス開発のためにAzure はもちろんのこと AWS 内に無数に立てられている VPC (Virtual Private Cloud) や Google Cloud を利用した開発環境までのセキュリティを強化・徹底するために Microsoft Defender for Cloud を採用。

Microsoft Defender for Cloud によって、3 大クラウドを活用した開発環境のすべてに、シンプレクスが定めているセキュリティポリシーが自動的に適用される環境が整ったことで、より強固なサイバーセキュリティを実現。開発環境に対する安心感が増したことで、生産性のさらなる向上が見込まれています。

お客様のニーズの先までを見据えた、自由度の高い開発環境

金融機関や公共機関などを対象に IT サービスを提供するシンプレクスでは、従来からサイバーセキュリティ対策を重視して、金融機関と同じガイドライン「FISC安全対策基準」に則した運用を実施。2020 年のコロナ禍によって働き方に変化が生じると、従来の境界型セキュリティから、Microsoft 365 E5 をフルに活用したゼロトラストセキュリティへと速やかに移行しています。

常に厳格なサイバーセキュリティを実践してきたシンプレクスですが、一つだけ「管理上の課題といえるものがあった」と、クロス・フロンティアディビジョンプリンシパル太田貴之氏は振り返ります。それが、AWS、Azure、Google Cloud という 3 大クラウド上に用意された、無数の開発環境でした。

お客様のニーズを先取りするかのように最新のテクノロジーにアンテナを張り、柔軟かつ迅速にさまざまなシステムやサービスの研究開発を行っているシンプレクスでは、常時数えきれないほどのプロジェクトが進行。Azure であれば、サブスクリプション単位で開発者に払い出し、AWS であれば AWS アカウント単位で払い出しを行う自由度の高い開発環境の中、Azure や AWS 上には毎日のように新しいインスタンスや VPC がいくつも作成され、開発・検証が行われています。

ビジネスのスピード感を重視するシンプレクスでは「承認されたプロジェクトには、かなり自由に 3 大クラウドのリソースを提供しています」と太田氏。3大クラウドそれぞれにセキュリティ管理者を立てられており、制御や監査などセキュリティ管理を実施されていますが、「より厳密に運用するためには、改善の余地がある側面もありました」と続けます。

「例えば AWS 内に作成される VPC などには、AWS Security Hub が適用はされているのですが、それが当社のセキュリティポリシーと一致しているのか、という懸念がありました。あまりにも VPC の数が多過ぎ、作成されるペースも早いため、私たちの少人数なチームですべてを把握・管理することは不可能に近かったのです」

この「不可能に近い」課題を解消し、あらゆる開発プロジェクトをさらに強固に守るためにシンプレクスが採用したのが、マイクロソフトが提供するクラウドネイティブアプリケーション保護プラットフォーム、Microsoft Defender for Cloud でした。

Microsoft 365 E5 によるゼロトラストセキュリティをさらに強固に

Defender for Cloud は、シンプレクスが実践しているゼロトラストセキュリティ環境との親和性が高く、「CSPM (クラウドセキュリティ体制管理) や CWPP (クラウドワークロード保護プラットフォーム) 製品の導入を検討していた私たちにとって、非常に魅力的な選択肢だった」と話すのは、同社クロス・フロンティアディビジョンアソシエイトプリンシパルの中野昇氏です。

「当社では、FISC安全対策基準を考慮したゼロトラストセキュリティの要件を満たす Microsoft 365 E5 をフルに活用しています。Defender for Cloud は、このセキュリティ環境とシームレスに統合され、より強固なセキュリティを可能にしてくれるソリューションです。Azure を保護することは当然として、マイクロソフト純正のコネクタを利用して、API 経由で AWS や Google Cloud などを併用するマルチクラウド環境まで保護することができます。これは、とても重要なポイントでした」

太田氏もまた「今年 (2025 年) の春に中野から『コネクタでつなげば AWS も自動で監視できるようになる』と聞いた時には心が躍りました。ずっと、そういうソリューションを待ち望んでいましたから」と笑顔で振り返ります。

こうして Defender for Cloud が俎上にのるとシンプレクスではすぐに PoC (Proof of Concept) 環境を用意して、AWS 上の VPC までをきちんと保護できるかどうかを検証。Defender for Cloud がいかに優れているかは、すぐに証明されたと言います。

「Microsoft Defender for Cloud を Azure だけでなく、AWS や Google Cloud にも適用するには、複雑な設定が必要なのだろうと想像していましたが、実際には非常に簡単でしたね。例えば AWS へのデプロイには AWS CloudFormation が利用できますので、驚くほど工数がかかりませんでした。たったそれだけの手間で自動的に AWS を監視してくれるのですから十分満足です」(中野氏)

“Microsoft Defender for Cloud を Azure だけでなく、AWS や Google Cloud にも適用するには、複雑な設定が必要なのだろうと想像していましたが、実際には非常に簡単でしたね。例えば AWS へのデプロイには AWS CloudFormation が利用できますので、驚くほど手間がかかりませんでした。”

中野昇氏, クロス・フロンティアディビジョンアソシエイトプリンシパル, シンプレクス株式会社

年次で行っていた設定確認を日次で実施へ。管理工数を圧倒的なまでに削減

シンプレクスでは、PoC を経て Defender for Cloud の活用を段階的に実施。まずは下記の 2 つを検証課題として、Azure への適用を開始しています。

Azureの脆弱な設定の検知
Azure 上端末の脆弱性管理

中野氏は次のように説明します。

「高いセキュリティを満たすために設計・監査を行っていますが、設定ミスや設計漏れは発生してしまいます。また、Azure上の端末・VM の管理について、現状は開発者が個別に行っているため、セキュリティ管理者が VM の脆弱性情報やマルウェア検知などのインシデントを把握・検知できていないという課題がありました。こうした課題を解消するために、Defender for Cloud で全量チェックを実施できるようにしたいと考えました。また、Azure 上の端末でマルウェア検知などインシデントが発生した場合のインシデント対応について、社内オフィス環境の端末と同様に、Microsoft Defender XDR (Extended Detection and Response) のインシデント対応フローに組み入れたいと考えていました」

そして、Defender for Cloud 導入の効果は、すぐに確認できたと中野氏は続けます。

「まず、脆弱な設定の検知については、これまでは非常に工数がかかっていたため、年次で監査を行っていたのですが、Defender for Cloud によって自動化したおかげで工数がまったくと言っていいほどかからなくなり、日次で確認できるようになりました。これは劇的な変化です。また、開発段階での設定漏れや設計段階では気が付けていなかった脆弱な設定を検知でき、セキュリティ向上にも効果がありました。そして、Azure上端末の脆弱性管理についてですが、Microsoft Defender XDRで管理している社内端末と同等の脆弱性管理が行えることが確認できました。今、当社のゼロトラストセキュリティでは、PC などのエンドポイントとクラウド、そしてネットワークという複数のレイヤーを統合的に監視し、検知した脅威に対応できる XDR が実現しており、Defender for Cloud もその中に統合されています。そのため、1 つの管理画面でほとんどのことを網羅して確認できます。先ほど『コネクタでつないだら、スイッチを ON にするだけ』と説明しましたが、それは、このように Microsoft 365 E5 をフルに活用していればこそ実現できた成果でもあるのです」

マルチクラウド環境の管理を一元化

中野氏は「これだけ抜け漏れの少ないセキュリティを、これだけ少ない工数で実現できるメリットは、ほかのソリューションでは得難い」と強調します。

「少なくとも、私が 1 人で Azure に Defender for Cloud を設定した時には、コネクタも不要で、管理画面でスイッチを ON するだけで終わってしまいましたから、工数は “ほぼゼロ” です」

さらに、「AWS や Google Cloud を含むマルチクラウド環境全体の脆弱な設定の検知が可能であることも確認済み」であり、今後の活用拡大によって得られる効果は大きいと、中野氏は続けます。

「これまではクラウドサービスごとに異なる製品を使って脆弱な設定の検知を行い、何かを検知した後に開発者へ修正連絡などを行うための仕組みも併せて構築していました。それを Defender for Cloud に一元化していくことで、管理工数を大幅に削減できます。また、管理者も Defender for Cloud の機能さえ習熟すればマルチクラウド環境に対応できるので、キャッチアップ工数も削減できます。今後の導入効果はさらに増していくでしょう」

“開発の勢いを『管理が追いつかないから』といって妨げることはできません。お客様のニーズを先取りしていくためにも、開発のスピード感は重要ですから。しかし、Defender for Cloud を導入したおかげで、Azure、AWS、Google Cloud などのマルチクラウドをまとめて自動監視できるようになりました。この変化は、とても歓迎しています。”

太田貴之氏, クロス・フロンティアディビジョンプリンシパル, シンプレクス株式会社

新しいテクノロジーの積極活用でイノベーションを促進

シンプレクスにおける Defender for Cloud の活用は始まったばかりですが、「期待は大きい」と太田氏は言います。

「開発環境がクラウドに移ってからは、インスタンスや VPC を簡単に作成できるようになりました。昔は PC やサーバーの調達に時間がかかっていましたから、そのスピード感には隔世の感があります。そうした開発の勢いを『管理が追いつかないから』といって妨げることはできません。お客様のニーズを先取りしていくためにも、開発のスピード感は重要ですから。しかし、Defender for Cloud を導入したおかげで、Azure、AWS、Google Cloud などのマルチクラウドをまとめて自動監視できるようになりました。この変化は、とても歓迎しています」

最後に太田氏は、次のように締めくくります。

「今回のように Azure だけでなく AWS までマイクロソフトの製品で管理するというと、チャレンジングな印象もあります。けれども、より強固なセキュリティを実現できる可能性があって、ビジネスのスピード感まで後押しできる成果が期待できるなら、延々と議論するよりもクラウド上にリスクのない環境を作って検証してみるというのが、当社の企業文化なのだと思います。特にセキュリティに関しては、実際に試す前に調査・検討を重ねても答えが見つからないことが多いですからね」