ブレーキ配管・燃料配管を中心に、さまざまな自動車関連製品の製造を手がける三桜工業株式会社では「人を育て、システムを育て、技術を育て」という社員と会社の双方が成長する企業風土を軸に、およそ 20 カ国 約 80 拠点とグローバルにビジネスを展開。世界中の自動車メーカーと取引がある独立系の自動車部品メーカーとして新たな価値の創造を目指しています。近年の自動車業界ではデジタル技術による革新が進んでいますが、その一方でサイバー攻撃のリスクも増大しています。同社においてもセキュリティ強化は喫緊の課題と認識しており、自動車産業サイバーセキュリティガイドラインに合わせたセキュリティ対策の見直しに着手。高度なセキュリティとコンプライアンス機能を備えた Microsoft 365 の最上位プランである「Microsoft 365 E5」の採用を決定し、全社導入を進めています。

自動車業界におけるセキュリティ意識の高まりに対応し、セキュリティ体制の見直しに着手

“モノづくり”の世界にもデジタルトランスフォーメーション(DX)の波は押し寄せており、デジタル技術を活用した生産性向上や業務効率化、イノベーションの創出を図る企業はあとを絶ちません。自動車業界においても同様で、自動車メーカーやサプライチェーンを構成する企業はデジタル化を中心とした業務改革に取り組んでいます。その影響もあり、自動車業界をターゲットとしたサイバー攻撃も増加を続けており、サプライチェーン全体でセキュリティリスクへの対応が求められています。多様化・複雑化するサイバー攻撃に対処するため、2020 年には日本自動車工業会(JAMA)と日本自動車部品工業会(JAPIA)の共同で自動車産業サイバーセキュリティガイドラインが策定され、22 年には改訂版が策定されるなど、業界全体でスピード感を持ったセキュリティ対策強化が求められている状況です。

こうした流れを受け、グローバルにビジネスを展開する三桜工業株式会社(以下、三桜工業)では、2021 年末から本格的なセキュリティ対策強化の検討を開始します。同社では以前より DX の取り組みを推進しており、Office365 E3 を全社導入していました。さまざまなソリューションを比較検討した当時を、同社の IT 全般を統括し、今回のプロジェクトにおいても中心的な役割を担った三桜工業 技術本部 ICT・DX 戦略部 部長の植木 義文 氏は、振り返ります。

「自動車業界全体でセキュリティに対する意識が高まっているなか、当社においてもセキュリティ対策強化は急務となっていました。当時はファイアウォールやウイルス対策ソフトなどを用いた境界防御型の対策だったため、まずは NIST サイバーセキュリティフレームワーク(CSF)をベースに、ID・デバイス・データ・ネットワークの 4 つの領域を防御するというアプローチで検討を開始しました。当初は 4つの領域に対して個別の製品の組み合わせで検討を進めていたのですが、コストの増大や運用の複雑化といった課題が顕在化したため、すべてをカバーできるソリューションとして Microsoft 365 の導入を検討したという経緯です」(植木 氏)。

  • 三桜工業株式会社 技術本部 ICT・DX 戦略部 部長 植木 義文 氏

    三桜工業株式会社 技術本部 ICT・DX 戦略部 部長 植木 義文 氏

マイクロソフトの密接なサポートが、最上位プランである Microsoft 365 E5 の導入を後押し

セキュリティ対策に関するさまざまな領域を 1 つのソリューションでカバーできるMicrosoft 365 を導入するという基本骨子を固め、以前から導入していた Office 365 E3 のライセンス更新期限に合わせて切り替えを実施するという方針を決定しました。

「Microsoft 365 導入の検討と併行して、セキュリティの専任組織の立ち上げも進めていましたが、セキュリティの専門知識やスキルを持った人材が足りていない状況でした。そのため、疑わしい挙動やインシデントにはシステム的なアプローチで対処することが有効と考え、自動化の機能が充実している Microsoft 365 E5 が第一候補となりました。また自動車メーカーから各サプライヤーに対して、サイバーセキュリティガイドラインで評価点数の必達要請がきており、E5 ならば高い点数を獲得できることもポイントとなりました」(植木 氏)。

同じく Microsoft 365 の導入検討時から携わり、現在はセキュリティ対策 Team でセキュリティ対策・監視業務などを担当している三桜工業 技術本部 ICT・DX 戦略部 セキュリティ対策 Team 小柴 隆寛 氏は、同時期に自動車産業サイバーセキュリティガイドラインの改定があったことも、E5 導入の決め手になったと語ります。

「E3、E5 のどちらを選ぶかを検討していた時期に、自動車産業サイバーセキュリティガイドラインが全面改定され、より先進的なセキュリティ対策が求められるようになりました。たとえば認証に関しても、生体認証・多要素認証が求められるようになりました。こうした要件を個別の製品で一から対処するのはコスト面・運用面から考えても困難だと考え、将来的な拡張性を考慮し、コンプライアンスや監査などにも対応できる E5 が有効と判断しました」(小柴 氏)。

  • 三桜工業株式会社 技術本部 ICT・DX 戦略部 セキュリティ対策 Team 小柴 隆寛 氏

    三桜工業株式会社 技術本部 ICT・DX 戦略部 セキュリティ対策 Team 小柴 隆寛 氏

Microsoft 365 E5 の採用にあたっては、マイクロソフトの密接なサポートにより E5 を選択する根拠を経営層に示せたといいます。植木 氏は次のように喜びを口にします。

「もともと導入していた Office 365 E3 から Microsoft 365 E5 に切り替えると、単純に考えてもコストが倍以上になり、E5 を採用する理由を経営層に説明する必要がありました。この際にもマイクロソフトの担当者からさまざまな助言やサポートをいただき、導入を決定することができました」(植木 氏)。

「FastTrack」の支援により、内製でセキュリティを運用するための仕組みと体制をスムーズに構築

こうして 2022 年 3 月に Microsoft 365 E5 の採用が決定し、同年 4 月にはセキュリティ対策 Team が設立。プロジェクトが本格的にスタートします。三桜工業では、セキュリティ対策の強化とその後の運用を内製で行う方針を決めていましたが、サイバーセキュリティの最新技術に関する知見が少なかったこともあり、当初はベンダーとの協働による伴走型で Microsoft 365 E5 の導入を進めていきました。同年 5 月~ 6 月にかけて、実装する機能と設定についての検証を行い、 Officeライセンスの更新によりMicrosoft 365 E5 のライセンスが発行されたタイミングで、従来のローカルログオンから、Microsoft Entra ID(旧Azure Active Direcotry) を用いたMicrosoft Entra ID Join への切り替えが行われ、さらにこれまで利用していたセキュリティ対策ソフトを Microsoft Defender へと移行しました。

小柴 氏は当時の苦労を次のように語ります。

「2 カ月ほどかけて全員の端末を Microsoft Entra ID Join 化したのですが、ユーザーの理解を得るために、部員全員が総出動して説明と操作手順の案内を実施しました。部長の植木自身も、他の事業所に赴いて説明する必要があるほど、人手と丁寧な説明が必要な状況でした」(小柴 氏)。

セキュリティ対策 Team のリーダーとして本プロジェクトに参画した三桜工業 技術本部 ICT・DX 戦略部 セキュリティ対策 Teamリーダーの松本 敬司 氏は、プロジェクトを進めることで、これまでの社内の IT 管理体制が不十分だったことが浮き彫りになったと語り、移行に伴うユーザーからの苦情や問い合わせが想定以上に多かったと振り返ります。

「もともとローカル環境でログインしていたので、Microsoft 365 のアカウントで入るとプロファイルが変わってしまい、環境を構築し直す必要があります。このためユーザーからは想定外の反発があり、サポート体制の構築には苦労しました。セキュリティを意識していないユーザーが多く理解を得るのが難しい状況でしたが、1 つ 1 つ丁寧に根気強く説明していくことで、少しずつ理解者を増やしていきました。またプロジェクトを進めていくなかで、シャドー IT 的な業務環境も表面化し、これまでの管理体制が十分でなかったことを実感しました」(松本 氏)。

  • 三桜工業株式会社 技術本部 ICT・DX 戦略部 セキュリティ対策 Teamリーダー 松本 敬司 氏

    三桜工業株式会社 技術本部 ICT・DX 戦略部 セキュリティ対策 Teamリーダー 松本 敬司 氏

この点について、植木 氏も次のように説明します。

「当社には、自由な発想で自発的にアイデアを出し合ってビジネスを展開していくという社風があります。こうした文化が根底にあるため、セキュリティ強化のために必要なことだと理解していただくのは思っていた以上に大変でした」(植木 氏)。

こうしてユーザーから理解を得ることに苦労しながらも、Microsoft Entra ID Join への切り替えは完了しました。2022 年 11 月からはサポートプログラムである「FastTrack」による支援が開始され、三桜工業の内製でセキュリティを運用するための仕組みと体制の構築が進められました。

「Microsoft Entra ID Join化し、Defenderに切り替えたことで膨大な数のインシデントが送信されてきたのですが、セキュリティ管理に関する知識がなかったため、最初は何もできませんでした。FastTrack の支援が開始され、インシデントの見方やツールの使い方を教えてもらえたことは本当に助かりました」(松本 氏)。

さらに松本 氏は、トライ&エラーを繰り返すことで適切なインシデント対応を実践できるようになったと喜び、さらにまだ使っていない Microsoft 365 E5 の機能について、導入のメリットや使い方を教えてもらえた FastTrack のプログラムを次のように高く評価しています。

「昨今のサイバー攻撃への対応に不可欠な機能として導入を提案してもらい、実際に試して自分たちで評価するきっかけを作っていただきました。一例を挙げるなら、Identity Protection の機能と条件付きアクセスを組み合わせたリスクベース認証の実現などです」(松本 氏)。

Microsoft 365 E5の機能をフル活用し、セキュリティ強化からデータ利活用の促進までの実現を目指す

こうした FastTrack の支援もあり、11 月からはセキュリティポリシーの厳格化を実施しました。さらに同年 12 月には Microsoft Purview Information Protection(MPIP)の利用検討を開始。2023 年 3 月から運用を始め、データ流出防止機能も稼働を開始しました。Microsoft Entra ID やDefenderを中心としたID、デバイス、データ、ネットワーク保護が充実し、NIST サイバーセキュリティフレームワークに沿ったシステムの構築ができていることを実感しています。小柴 氏は今後について次のように語ります。

「2023 年 3 月までに Microsoft 365 E5 の基本的な機能を導入し、ポリシーを厳格化して運用も軌道に乗りつつあります。また、PC のキッティングにAutopilot を活用していく予定です。今後はコンプライアンス機能をさらに活用していくフェーズに向けて取り組んでいきたいと考えています」(小柴 氏)。

また、セキュリティ強化の取り組みに確かな手応えを感じている小柴 氏は、次のようにも説明を続けます。

「Microsoft 365 E5 の導入効果としては、Microsoft Entra ID を中心とした認証基盤が手に入ったことが一番のポイントです。あとは Defender を軸としたデバイスセキュリティに関するゼロトラストの実現、さらに利用状況の可視化ができたことも重要です。インシデント発生時に前後関係をトレースできる環境を整備できたことは、継続的にセキュリティ強化を図るうえで大きなメリットと捉えています。今後はビジネスプロセスの自動化にも取り組み、マイクロソフトの AI アシスタント機能『Copilot』や市民開発促進を図れる『Power Platform』などに注目しています」(小柴 氏)。

一方、松本 氏も次のように今後の期待について語ります。

「FastTrack により内製化の土台を作れたことで、新たなリスクへの対応も迅速に行える体制が構築できたと考えています。また、少人数でセキュリティ監視や迅速な対応を実現するための技術として、マイクロソフトの『Security Copilot』にも注目しています」(松本 氏)。

三桜工業では現在、日本で約 1,500 ライセンス、海外拠点で約 300 ライセンスが導入されており、植木 氏は海外拠点への展開を拡大していきたいと今後の展望を語ります。

「今回の Microsoft 365 E5 導入プロジェクトで得たノウハウを、海外拠点に展開していきたいと考えています。専任の IT 担当者がいない拠点もあるので、導入から運用に至るまでの知識と経験を自前で持っていることには大きな意味があります。将来的にはセキュリティ強化だけにとどまらず、データ利活用にも Microsoft 365 E5 を活用していきたいと考えております」(植木 氏)。

製造業においては前例の少ない Microsoft 365 E5 を約半年という短期間で導入し、内製化を見据えたセキュリティ運用を実践する三桜工業。同社が見据える Microsoft 365 を活用した取り組みからは、今後も目が離せません。

[PR]提供:日本マイクロソフト