CAC ではセキュリティ環境を、E5 をコミュニケーションツールとして活用範囲を広げる中で得られたセキュリティ機能の活用、デバイス上での素早い脅威の検知と対処、統合的なセキュリティの監視と運用という 3 つの観点から見直し、具体的な施策を実施してきました。
セキュリティ対策の中心に据えられた Microsoft 365 E5 は、全社員が同じ環境でコミュニケーションでき、従来からの防御を強化した EPP に加え、エンドポイントで検知と対処を行う EDR にも対応。さらに、統合的なセキュリティの監視と運用も可能にします。
現実的なセキュリティ対策を講じやすく、セキュリティソリューションの導入・運用コストを最適化できます。さらに、脅威の状況を迅速に把握し、インシデントの調査に要する時間を大幅に短縮することで、ロードマップに沿ったスムーズなセキュリティ対策の実施を支援します。
1966 年に日本で最初の独立系ソフトウェア専門会社として発足し、情報化戦略・計画に関するコンサルティングからシステムの設計・構築・導入・運用管理・保守まで、情報システムに関する一貫したサービスを提供するシーエーシー( CAC )。2014 年の持株会社体制への移行後は、CACグループの中核企業として社会課題や企業の経営課題を解決する IT サービスやプロダクト、受託開発等を国内外の顧客に提供しています。
1970 年代からは海外法人を設立し、海外進出した顧客企業の現地システムをサポートしてきました。現在、グループ企業数は、国内 16 社に加え、米国 5 社、英国 2 社、中国 4 社、インド 3 社など 30 社以上に及び、連結従業員数は 4,653 名( 2024 年 12 月末 )を数えます。CAC の強みについて、経営統括本部 副本部長 兼 セキュリティ統括室長 小林 吉郎 氏はこう話します。
「CAC は、プライムコントラクターとしてお客様のニーズを汲み取り、お客様ごとに最適化した IT サービスを提供しています。大手企業のなかでも金融や医薬といった分野で多くの実績があります。お客様にはグローバル企業も多いため、グローバルアウトソーサーとの協業などによりグローバル全体のマネージドサービスを CAC 主体で提供する体制も整えています。中長期ビジョン『CAC Vision 2030』では、社会にポジティブなインパクトを与えるデジタルソリューションを提供する企業グループとなることを掲げ、受託型の開発・運用事業に加えて、能動的に取り組むプロダクト & サービス事業を新たな柱にすることを目指しています。また、AI を活用したシステム開発・運用の高度化も重要なテーマであり、注力しているところです」( 小林 氏 )。
CAC がビジネスを加速させるべく、力を入れているのがコラボレーションとサイバーセキュリティです。同社では 2011 年頃から柔軟な働き方に対応するために Web 会議やチャット、仮想デスクトップ( VDI )の導入を進めてきました。また、2020 年頃からはフルリモートでの働き方に対応するためにデバイスやクラウドのセキュリティの強化に取り組んできました。
そうした CAC のコラボレーションとセキュリティの基盤として活用されているのが、Microsoft 365 E5( E5 )です。
“中長期ビジョン『CAC Vision 2030』では、社会にポジティブなインパクトを与えるデジタルソリューションを提供する企業グループとなることを掲げ、受託型の開発・運用事業に加えて、能動的に取り組むプロダクト & サービス事業を新たな柱にすることを目指しています。また、AI を活用したシステム開発・運用の高度化も重要なテーマであり、注力しているところです”
小林 吉郎 氏, 情報セキュリティ統括責任者(CISO) 経営統括本部 副本部長 兼 セキュリティ統括室長, 株式会社シーエーシー
Microsoft 365 E3 は、前身となる Office 365 への移行を 2011 年に実施したことから利用がスタートしました。導入を推進した経営統括本部 経営企画部 齋藤 学 氏はこう振り返ります。
「Web 会議やチャットなどを使って、時間や場所にとらわれない働き方を実現することを目指しました。ちょうど 2011 年 2 月に日本マイクロソフトが現在の品川本社に移転したこともあり、実際にオフィスを見せていただいたり、ツールやシステムの活用についてアドバイスをいただいたりしました。そのタイミングで、Office 製品のライセンスを Office 365 E3 へ変更し、PBX の廃止と固定電話の IP 化、ペーパーレス化、オンプレミスで利用していた Exchange や SharePoint のクラウド化などを進めたのです。2015 年頃には、在宅勤務をフルリモートで実施できる体制を整えることができました。Microsoft 365 E3 は、CAC にとって欠かせないコミュニケーション & コラボレーションインフラになっていました」( 齋藤 氏 )
“2015 年頃には、在宅勤務をフルリモートで実施できる体制を整えることができました。Microsoft 365 E3 は、CAC にとって欠かせないコミュニケーション & コラボレーションインフラになっていました”
齋藤 学 氏, 経営統括本部 経営企画部, 株式会社シーエーシー
当初、CAC における Office 365 のライセンスは、社員の職務や利用状況に応じて E3 と E5 を併用するかたちとなっており、システム開発や運用を共にする協力会社にも E3 ライセンスを提供していました。そんななか、ライセンスを見直すきっかけの 1 つとなったのが、コロナ禍以降のビジネス環境の変化でした。CISO を兼務する小林 氏は、ビジネス環境の変化とセキュリティ戦略についてこう話します。
「CAC のサイバーセキュリティ戦略には大きく 2 つの方向性があります。1 つは受託開発や受託運用におけるセキュリティです。お客様のセキュリティポリシーに則り、安全で確実な業務を実行すること。また、それを実行するうえでのリテラシー教育をしっかりと行うことが重要です。もう 1 つは、CAC の社内セキュリティです。日々新しい脅威が生まれるなか、予防や防御といった対策だけでなく、侵入されることを前提とした対策も重要だと考えています。そのためには、いま何が起きているのかを早期に発見・封じ込めができるよう、監視の強化に取り組むとともに、内部からの情報漏えいといった内部脅威の対策にも重点を置いています。もちろん、当社が提供しているプロダクト & サービスのセキュリティを確保する取り組みも言わずもがなです」(小林 氏)
そこで、2022 年からセキュリティ環境を見直し、Microsoft 365 E5 への全面移行を行ったのです。
“日々新しい脅威が生まれるなか、予防や防御といった対策だけでなく、侵入されることを前提とした対策も重要だと考えています。そのためには、いま何が起きているのかを早期に発見・封じ込めができるよう、監視の強化に取り組むとともに、内部からの情報漏えいといった内部脅威の対策にも重点を置いています。”
小林 吉郎 氏, 情報セキュリティ統括責任者(CISO) 経営統括本部 副本部長 兼 セキュリティ統括室長, 株式会社シーエーシー
セキュリティ環境の見直しは、大きく 3 つの観点で進められました。
1 つめは、E5をコミュニケーション基盤として積極的に活用する中で、セキュリティ機能の導入・運用も加速しました。これにより、E5 の高度なセキュリティ機能を活用し、情報保護やコンプライアンス対応の強化につながっています。以前から一部のユーザーが E5 ライセンスを利用していましたが、その理由は、VDI ライセンス( Azure Virtual Desktop )と、E5 に含まれる Microsoft Teams の電話連携機能を利用するためでした。齋藤 氏は、「限られた社員だけが Teams や VDI を利用するのではなく、全社員が同じ環境でコミュニケーションできるようにすることが重要でした。全社員が同じ環境でシステムを利用することで、利便性とセキュリティを高めることができます。そこで、協力会社の社員を含む全社員が E5 ライセンスに移行しました。社員は国内で約 1,500 名。協力会社の社員を含めて約 2,800 の E5 ライセンスを管理しています」と、E5 の利用状況を説明します。
2 つめは、デバイス上での素早い脅威の検知と対処です。デバイスのセキュリティは、従来はウイルス対策ソフトによる脅威の防御が中心でしたが、近年はランサムウェアを中心に防御をすり抜けてデバイスに侵入する脅威が増えています。セキュリティ統括室の岩崎 貴行 氏は、こう話します。
「マイクロソフトと協力し、他社製品を含めたセキュリティ環境のアセスメントを行いました。このセキュリティアセスメントで確認できたのは、従来からの防御を強化した EPP( Endpoint Protection Platform )に加え、エンドポイントで検知と対処を行う EDR( Endpoint Detection and Response )の重要性です。その両方に対応できる製品として、E5 に含まれる Microsoft Defender for Endpoint( MDE )を活用することにしました。約 2,500 台の社内標準 PC で MDE を利用しています」(岩崎 氏)。
3 つめは、統合的なセキュリティの監視と運用です。MDE を導入することでセキュリティに関するさまざまなデータを取得できるようになります。これについて岩崎 氏は、「Microsoft Entra ID を使って社内で利用していたさまざまな ID の共通 ID 化を進め、MDE から収集されるデータを SOC( セキュリティ運用センター )で管理する体制を整えました。セキュリティ監視のために Microsoft Sentinel を導入し、Entra ID への不正なログイン、Office のアクティビティ、社内ファイルサーバーへのアクセスログ、オンプレミスのドメインコントローラのログなどを監視しています」と、MDE や Sentinel を中心
とする現在のセキュリティ環境を実現したと話します。
“このセキュリティアセスメントで確認できたのは、従来からの防御を強化した EPP( Endpoint Protection Platform )に加え、エンドポイントで検知と対処を行う EDR( Endpoint Detection and Response )の重要性です。その両方に対応できる製品として、E5 に含まれる Microsoft Defender for Endpoint( MDE )を活用することにしました。”
岩崎 貴行 氏, セキュリティ統括室, 株式会社シーエーシー
CAC では、これまでに、E5 へのライセンス移行、MDE の導入による脅威検知とログ収集、Sentinel によるログやアラート分析とインシデント対応という 3 つのステップを進めてきました。すでにさまざまなメリットや効果を確認しており、更なる E5 の活用に向けて、次のセキュリティ強化のポイントも整理しています。
E5 の導入効果は、現時点で、大きく 3 つに整理できます。1 つめは、セキュリティソリューションの導入・運用コストの最適化です。近年は、脅威の高度化、巧妙化にともなって、セキュリティソリューションの数も増え、ソリューション導入コストやインシデント対応工数は増加する傾向にあります。
「Microsoft 365 E5 が提供するセキュリティ機能は現実的なセキュリティ対策を講じやすいソリューションです。Microsoft Cybersecurity Reference Architectures などを参考に、今あるソリューションで抜けている部分を埋めていき、それでも不足するところを次の対策として考えることができます。実際に対策を行う際も、必要なセキュリティ機能は E5 に用意されているため、これらを採用していくことで個別の製品を新たに購入することなく対策が可能です。また、SOC での脅威のログ分析や可視化も限られた人員リソースで効率良く実施できています」( 小林 氏 )
2 つめは、脅威に対する迅速な可視化とインシデント対応です。
「MDE や Sentinel を活用することで、これまで数時間かかっていたような作業が数分で実施できることもあります。例えば、生データに対して Kusto クエリー言語( KQL )で脅威を検索するアドバンスドハンティング機能を使うと、今まではリソース的にも難しかったセキュリティ対応を数分で実施できます。これまでは時間や工数の関係で実施できなかった対策も積極的に実施できます。また弊社のアカウントに対しては、数万、数十万単位のアタックや攻撃キャンペーンが行われることもありますが、それらを可視化したうえで、素早く影響を確認できるようになりました」( 岩崎 氏 )
3 つめは、ロードマップに沿ったセキュリティ対策の実施です。
「当社では、日々取り組んでいる予防・防御から、監視に重点を置いた早期発見を実現するための取り組み、そして内部脅威への対応というロードマップを策定しています。通常、これらを実現するためには、導入する製品やサービスの検討、選定、影響調査などを実施する必要がありますが、E5 のセキュリティ機能を必要に応じて活用することで、スムーズにロードマップを進めることができています。なお、内部脅威への対応としては、データ損失防止の DLP 機能やクラウドセキュリティの CASB 機能の利用を検討していますが、有効活用するための研究と設定の設計に現在取り組んでいるところです」( 小林 氏 )
“当社では、日々取り組んでいる予防・防御から、監視に重点を置いた早期発見を実現するための取り組み、そして内部脅威への対応というロードマップを策定しています。通常、これらを実現するためには、導入する製品やサービスの検討、選定、影響調査などを実施する必要がありますが、E5 のセキュリティ機能を必要に応じて活用することで、スムーズにロードマップを進めることができています。”
小林 吉郎 氏, 情報セキュリティ統括責任者(CISO) 経営統括本部 副本部長 兼 セキュリティ統括室長, 株式会社シーエーシー
取り組みを進めるうえでは、マイクロソフトのサポートが非常に役立ったといいます。齋藤 氏は、「E5 移行時に行っていただいたセキュリティアセスメントをはじめ、さまざまな面で手厚いサポートを提供してもらっています。例えば、1 年に 1 回のセキュリティアセスメントサービスとして、社内に状況調査のためのサーバーを設置して、PC やサーバー 1 台 1 台について設定の不備がないか、システム構成上脅威になりえることがないかなどを確認してもらっています。CIS Control Ver8 ベースで実際にどこまで対策ができているかのアセスメントレポートも提出いただいています」と、マイクロソフトのサポートを評価しています。
こうしたアセスメントサービスにより、自分たちがどこまで、何ができているかの「健康診断」ができるようになるといいます。実際に、セキュリティアセスメントによって、デバイス管理が不十分であったことから、Microsoft Intune を使った管理体制の強化につなげるといった対策を行なった実績があります。
また、E5 は、セキュリティだけでなく、コミュニケーションやコラボレーション機能を含めたサポートが得られることもポイントだとし、「Microsoft 365 Copilot のテスト導入を進めています。法務や経営企画などの管理部門を中心に、ライセンスを配布して、自由に利用してもらっている段階ですが、それらについてもアドバイスや使い方の提案などを含めた丁寧なサポートをいただいています。E5 は、セキュリティを担保して生産性を向上させてくれるだけでなく、日々の業務に欠かせないコミュニケーションインフラであり、さまざまな面からサポートいただけることは大変ありがたいです」と、齋藤 氏は従来の目的であった E5 のコミュニケーション活用についても、マイクロソフトのサポートを高く評価します。
今後は、E5 のセキュリティ機能を中心にした外部脅威への対応に加え、内部脅威への対応などコンプライアンス面での強化を進めていく予定です。小林 氏は E5 活用の今後について、次のように語ってくれました。
「E5 のコンプライアンス機能を使って、内部情報の漏えい対策を進めていきます。例えば、Purview の秘密度ラベルを使った情報管理や、DLP による情報のコントロールなどです。規制をするというより、記録をして、何か起きたときに分かる、振り返るための仕組みを作ることが重要です。その意味では、第 1 フェーズとして外部脅威への対応、第 2 フェーズとして侵入後の対応に取り組み、今後の第 3 フェーズとして、内部脅威への対応に取り組むというロードマップで施策を進めていきます。そのいずれでも重要な役割を果たしているのが E5 です」( 小林 氏 )
“第 1 フェーズとして外部脅威への対応、第 2 フェーズとして侵入後の対応に取り組み、今後の第 3 フェーズとして、内部脅威への対応に取り組むというロードマップで施策を進めていきます。そのいずれでも重要な役割を果たしているのが E5 です”
小林 吉郎 氏, 情報セキュリティ統括責任者(CISO) 経営統括本部 副本部長 兼 セキュリティ統括室長, 株式会社シーエーシー
Microsoft をフォロー