コロナ禍を受けリモートワークが急速に普及したことが大きなきっかけとなり、いま多くの企業の間で「ゼロトラストセキュリティ」が叫ばれています。そうしたなかにあって、“コロナ以前”の早い時期からそのコンセプトに着目し、ゼロトラストに向けた準備を進めていたのが、アサヒビールなどを傘下に持つアサヒグループジャパンです。同社におけるゼロトラスト導入のきっかけや、そのポリシー、そして具体的な実践方法などについて、DX統括部マネージャの清水 博 氏に話を聞きました。
アサヒグループ各社の国内のデジタル変革を統括する HQ
絶大な人気とブランド力を誇るビールメーカーであるアサヒビールをはじめ、清涼飲料水を製造販売するアサヒ飲料、食品・健康食品・医薬品の製造販売を行うアサヒグループ食品などを傘下に持つ持株会社として今年 1 月に発足したのが、アサヒグループジャパンです。これまで、国内の酒類・飲料・食品の各事業はアサヒビールホールディングス内に置かれた日本統括本部が統括していましたが、欧州、オセアニア、東南アジアに置かれていた地域統括会社と並ぶ位置づけとして、国内各事業を統括するアサヒグループジャパンが新たに発足したのです。
この大きな組織変革により各地域でのプレミアム戦略の推進や新たな価値提案を強化するとともに、アサヒグループの中長期経営方針のもと、社会的課題の解決を通じた事業の成長を目指したサステナビリティと経営の統合、DX(デジタル・トランスフォーメーション)や R&D(研究開発)の強化など、同社はコア戦略を一層強化していく方針を掲げています。
そうしたアサヒグループジャパンにおいて、グループ各社の情報システム部門のヘッドクオーター(HQ)としての役割と合わせて、今後のデータ活用や IT モダナイゼーションの推進といった使命も担うのが、同社 DX統括部です。
グループにおけるその位置づけについて、DX統括部マネージャの清水 博 氏は次のように説明します。
「日本国内に存在するアサヒグループ事業会社の、デジタルに関わる取り組みを一括して行うのが我々の組織の役割です。このうち IT モダナイゼーションについては、業務のスピードアップを目指した従来型のオンプレミス環境からクラウド環境への移行推進などが、具体的な取り組みとして挙げられます」
また、そこでの自身の役割について清水 氏はこう続けます。「数多くの事業会社が存在しているため、各社ではさまざまなチャレンジが日々行われていますが、今日ではそうした際には必ずデジタル IT が何らかのかたちで関わってくることになります。そこで、それらがどのようなアーキテクチャのもとで実現されるべきなのか、初動の段階から参加して、外部ベンダーのアーキテクチャやテクノロジーが“アサヒ”のポリシーに則っているのかなども踏まえて見極めつつ、一緒につくっていくのが私に課せられているミッションとなります。それと同時に、データドリブン経営をどのようなアーキテクチャに落とし込んで実現するべきなのかなど、戦略企画としてモデルをつくっていく役割も担っています」
コロナ以前からゼロトラストに注力してきた理由とは
“コロナ以降”のセキュリティ対策の潮流は、ゼロトラストセキュリティへと大きく向かっていますが、アサヒグループジャパンでは、そうした遥か以前からセキュリティ戦略として、ゼロトラストのアプローチを推し進めています。
“ゼロトラスト”を取り入れるようになった最初のきっかけについて、清水 氏はこう振り返ります。「最初にその概念に触れたのは 2017 年くらいで、ちょうど世の中で『ゼロトラスト』という言葉が使われ始めた頃だったでしょうか。外部のベンダーなどにも話を聞きながら調べてみると、概念自体はかなり昔からあるものだと感じましたが、同時にかつて多くの企業が取り入れていた、専用線を中心とする IT 環境を前提にしたビジネスモデルでは、なぜゼロトラストを実践するには至らなかったのか、という疑問を抱きました。
そこで考えたのが、ゼロトラストの概念をリードしているのは“IT側”ではなく“ビジネス側”ではないかということです。今やより良い製品やサービスをつくり提供することは企業として当たり前であり、そのためには自社内で仕事を完結するのではなく、多くの企業とのコラボレーションが欠かせません。しかし従来の企業のネットワーク環境は“外と中”を明確に分けた要塞のような仕組みを取り入れており、“通行手形”がなければ中へのアクセスは不可能でした。これに対しアサヒグループとしても、オンプレミスの IT 環境のみでビジネスを推進してきた時代から、よりオープンな環境へと移行しなければ、新たな時代におけるビジネスの推進はもはや不可能だと考えていました。そうしたなか、現在のビジネスが求めているオープン性やスピード感を実現しつつ、強固なセキュリティもまた担保するためには、ゼロトラストは欠かせないアプローチだと判断し、2018 年頃よりグループとしてゼロトラストセキュリティを適用していくようになったのです」
またアサヒグループでは、2020 年の夏に予定されていた東京オリンピックの開催に向けた準備を、いち早く手掛けていました。開催期間以前より相当な数の人々が世界中から一斉に東京に集まることが見込まれていたことから、オリンピックの開催期間中もスムーズにビジネスを遂行できるよう、東京の HQ においては 1000 人から 1500 人ほどの従業員はリモートで仕事ができるような体制を整えていたのです。
「当グループは東京オリムピックのゴールドスポンサーでもありますので、その点からも、コアな人材はどこにいてもビジネスを遂行できるようにすることは我々の使命だと考え、ネットワーク環境などを準備していました。これが具体的なゼロトラスト導入のスタートだったといえるでしょう。ただ、オリンピックに関してはご存知のとおりコロナ禍の開催となって大きく事情は異なったわけですが、どこでもセキュアに仕事ができるようにするというアプローチは同じく必要となりました。ただし、想定外だったのはその規模です。東京のみならず北海道から沖縄まで、すべてをオープンかつゼロトラストな環境としなければならなかったのですから。しかしそこも原点となる考え方は同じであり、そのための環境は既に準備していたため、スムーズに対応することができました」(清水 氏)。
清水 氏は言います。「ゼロトラスト全体ではビジネスとして捉えています。いかに自分たちのビジネスの身の丈に合っており、かつ必要とされるネットワーク構成やシステム環境を調達するのか、そしてそこでのセキュリティをどう実現するのかを考え実践する部分を我々が担っているのです」
ビジネスに価値をもたらすセキュリティソリューションに注目
このように、アサヒグループにおけるビジネスと IT の戦略を踏まえて積極的にゼロトラストセキュリティを取り入れているアサヒグループジャパンですが、さらに一歩踏み込んだ取り組みとして、Microsoft 365 E5 Security の利用を来る 6 月より開始する予定です。Microsoft 365 E5 Security は、DX 時代におけるゼロトラストセキュリティを実現することを掲げてマイクロソフトが提供する、クラウド型のセキュリティサービスです。そこではゼロトラストネットワークのセキュリティの鍵となるID(Azure Active Directory)を起点に、標的型メール、CASB、EDR、DLPといったセキュリティ対策を包括的に管理・提供します。
同ソリューションに着目した背景について清水 氏はこう語ります。「Office 365 E3 はかなり以前より取り入れていましたが、Microsoft 365 E5 Security に関しては正直なところ我々にとっては遠いところにあると見ていました。なぜならば、当時はワークスペースとは切り離されたセキュリティ製品軍の固まりだという捉え方をしてしまっており、ちょうど同じような機能の別製品をセキュリティチームが検討していたので、彼らに任せればいいと考えていたからです。しかしながら、アサヒグループに相応しいアーキテクチャを考えるという我々の使命のもと、Microsoft 365 E5 Security への理解度を深めていくなかで、いかにこのソリューションがビジネスに直結したものであるかがわかったのです。そこでビジネス上の価値にもつながると考え、まずはワークスペース周辺のゼロトラストを実現すべく Microsoft 365 E5 Security の導入を本格的に検討することとなりました」
かねてより同社では Microsoft 365 を活用してデジタルワークスペースを構築していますが、そこでのゼロトラストセキュリティを実現するべく、Microsoft 365 E5 Security に着目することとなったのです。
「セキュリティチーム側が別の製品を検討していたのも、あくまで現行の運用管理に基づいた理由からでした。しかし我々の視点から見ると、そうした個別のセキュリティ製品ではゼロトラストは実現できません。目指すのは、社員にとっては現状の運用のままゼロトラストへと移行することです。そのためにはさまざまなセキュリティ対策を包括的にカバーする Microsoft 365 E5 Security のほうが、活用中のマイクロソフト製品に”ビルドイン”されているため、よりスピーディーに実現できるという結論に至りました。我々としては、ビジネスにどのような価値をもたらすのか、事業会社に説明することが求められており、その際に Microsoft 365 E5 Security であれば『まずはワークスペースレベルでは自由自在にやってください』といえるので、事業会社さらには個々の社員にとって目に見えるかたちでメリットが理解しやすいはずです」(清水 氏)。
ワークスペース外にも拡げたゼロトラスト適用に向けて
こうして Microsoft 365 E5 Security の導入を決定したアサヒグループジャパンでは、6 月の運用開始に向けて、約 2 万台ものエンドポイント端末の各種設定や、それらの端末を管理する Azure 側の各種設定も既に終えています。
Microsoft 365 E5 Security の導入により得られるであろうメリットについて、清水 氏は次のように期待しています。「1 つはパフォーマンスの向上です。クラウド型サービスなので、セキュアな状態とオープンな通信が担保されているため、操作上のパフォーマンスも向上するでしょう。これが実質的にはビジネスの生産性にも直結するだろうと期待しています。また、従来型の受発注等を中心としていたデータセンター周りのトラフィックに、最近では映像通信などにより多大な負荷がかかるようになっています。そこをしっかりと分岐させ、本丸である受発注のトラフィックを滞らせないといった効果も大きいと見ています。さらに災害時においては、コラボレーションツールなどを使用してリモートでビジネスを遂行していくことになるので、そのためのネットワークを専用線から切り離して冗長化し、社員間のコミュニケーションを絶たないようにできるのも大きなメリットになるでしょう」
そして今後、清水 氏は、Microsoft 365 E5 Security の自動検知機能などを活用して、外部に出して良いのかなどのドキュメントレベルのセキュリティなども実現していきたいと考えています。
「Microsoft 365 E5 Security により、ドキュメント共有やコラボレーションといった Microsoft 365 周辺のエリアは間違いなくゼロトラストを達成できると確信しています。しかしながら、自社のデータセンターにある IT 環境については未だに多くの脆弱性が残されており、そこは一気にオープンにはできません。そこで、まずは Microsoft 365 周りから着手し、そこを起点に関連する SaaS をはじめとした現状“トラストの外”にあるサービスまでをオープンかつセキュアな環境へと移行していくことを目指しています。そしてその先では、データセンターに残されたビジネスに直結する業務アプリケーションも含めてクラウドへと移行したうえでゼロトラストセキュリティを実現すべきと考えており、そこがこれからの課題として認識しています」と、清水 氏は将来に向けた構想を力強く語ります。
[PR]提供:日本マイクロソフト