セキュリティ インシデントの発生が企業ブランドを失墜させることは、疑いようのない事実です。これを受けて多くの企業がセキュリティの強化に取り組んでいますが、日々巧妙化する脅威を前に十分な対策を施すことは、容易ではありません。こうした中で三井生命100%出資の保険代理店である三生オンユー・インシュアランス・マネジメント(以下、三生オンユー) が取り組んでいるのが、クラウド技術を活用したセキュリティ対策です。同社は Microsoft 365 の導入や Windows AutoPilot の活用、パートナー支援をもって、わずか 1 か月という短期間で「トレーサビリティを担保した強固なセキュリティ基盤」を構築。クラウド ベースの更新管理により、常に強固なセキュリティ基盤であり続けることにも成功しています。

未知の脅威に対する先行的対策として、セキュリティ基盤の抜本的な見直しを検討

三井生命 100% 出資の保険代理店として設立された三生オンユー。三井住友海上から代理店の最高ランクとなる「ハイ・グレード・エージェント」の認定を受ける同社は、企業や団体のリスク マネジメントを、損害保険/生命保険という商品、長年のビジネスで培った豊富なノウハウを武器に支え続けています。

三生オンユーが支える法人/ 団体の数は、実に 800 を数えます。最高ランクの保険代理店として、信頼を維持しながらこれらの顧客に安心を提供する。この命題を果たす上で、セキュリティ インシデントは決して発生してはならないものだと、同社 代表取締役社長の鴻巣 憲寿 氏は語ります。

「世の中には様々な個人情報が存在します。中でも保険に関わる情報は、きわめてセンシティブなものです。外部に漏洩することは決して許されません。お客様の信頼で成り立っているわれわれのようなビジネスにおいて、情報は『守られて当然』なのです。しかし、悪意を持った脅威は日々増加し、しかも巧妙化しています。『守られて当然』の情報ながら、これを厳格に管理することに対しては、もはや一企業の取り組みだけでは限界があると感じていました」( 鴻巣 氏)。

三生オンユーは従来、顧客情報を含む各種システムを社内で構築/ 運用してきました。また、これらを利用するための端末も、原則として社内での利用に制限。くわえてユーザーに対して徹底したポリシー、セキュリティ ルールを課すことにより、強固なセキュリティ体制を維持、継続してきたのです。こうした組織的対策の体制は、親会社である三井生命が定期的に実施するセキュリティ調査、そして第三者評価においても高く評価されています。

しかし三生オンユー 取締役の上杉 信久 氏は、こうした従来型の対策の延長では日々脅威を増す攻撃に対応できなくなる恐れがあったと説明。2017年度より、セキュリティ基盤の見直しに着手したと述べます。

「当社では 2017 年度より、親会社の CSIRT 担当、自社 IT を支援する JBサービスなどセキュリティ有識者を招き、定期的にサイバー セキュリティ対策会議を開催してきました。その一環として 2017 年下旬に外部機関のセキュリティ監査を受ける機会があったのですが、そこで『セキュリティ強化(入口対策) 』『コンピューター フォレンジックの集積』、そしてこれらを実行する『体制整備』という 3 点について、改善推奨を受けたのです。この推奨は決して強制力を有したものではありません。しかし、近い将来に社会が『当たり前のもの』として我々の業界に求める要件と同義だといえます。であれば、早急に対応すべきと考えました。ネットワーク セキュリティは先駆して対策済でしたので、エンドポイントやシステム サイドの対策のみを強化するという選択肢もあります。しかし、改善点には『体制整備』を含むため、従来施策の延長線上ではこれを満たすことができないと考えました。そこで、セキュリティ基盤を見直すことにしたのです」(上杉 氏)。

少ない管理部門で強固なセキュリティ体制を整備すべく、高い技術を有する JBサービスへ業務を委託

近い将来に社会から要請される要件への先行的対策として、三生オンユーは 2017 年 12 月、セキュリティ基盤の抜本的な見直しに乗り出します。この取り組みでは、外部機関のセキュリティ監査にて指摘された以下の 3 点が、主な改善点として検討されました。

三生オンユーが検討した、主な改善点
[1] 「エンドポイントとシステム双方のセキュリティ強化
[2] トレーサビリティとなるコンピューター フォレンジックの蓄積
[3] [1][2]を継続して実践し、発展させていくための体制づくり

しかし、上杉 氏はここに挙がった改善点を解消することは容易ではなかったと語ります。同氏は「当社の従業員は、多くを渉外担当といった営業人員が占めます。従業員数 28 名 (2018 年 4 月現在)という規模ですから、管理部門に割り当てられる人材はどうしても限られます。『セキュリティの強化』や『コンピューター フォレンジックの集積』には、これらを常に運用管理し、そして発展させていくための人員確保が不可欠です。専任者なしに果たせるものではなく、われわれだけで [3] にあるような体制づくりを進めることは、どうしても限界がありました」と説明し、検討の結果、JBサービスへセキュリティ業務をアウトソースすることに決定したと述べます。

「ネットワーク セキュリティ対策の頃から JBサービスとはパートナーシップの関係を築いてきたため、1 から説明をせずとも当社の課題に基づいた提案、管理をいただけます。くわえてセキュリティに関して高い技術力を有していることも、JBサービスへ依頼した理由でした」と、上杉 氏は JBサービスを評価。これに応えるように、JBサービスの小林 憲一 氏は、改善点の解消におけるポイントについて、次のように整理します。

「セキュリティの強化やフォレンジックとなるログを収集するためには、一般的に新たなシステムが必要です。しかし、システムは脆弱性を内包するものです。セキュリティ強化として実施したシステムの増強がかえってセキュリティリスクを増やすことにもなりかねるため、留意して作業を進める必要がありました。また、三生オンユー様は、ご相談を頂いた 2017 年 12 月からわずか 4 か月後の翌年 3 月までで、改善点を解消することを希望されていました。システムを無駄に増やすのではなく簡素化したしくみのもと、有効な対策を、早期に実現する。これを果たすべく、当社は Microsoft 365を活用した対策を考案しました」(小林 氏)。

Microsoft 365 の最上位エディションの Microsoft 365 E5 を採用し、セキュリティ強化を図る

Microsoft 365 は、Office 365、Windows 10 Enterprise、Enterprise Mobility + Security (EMS) を統合的に提供するソリューションです。JBサービスが考案したのは、まず従来物理サーバーで稼働していた社内システムを Office 365 に統合。Office 365 と Windows 10 が標準で備えるセキュリティ機能をもってシステムとエンドポイント双方のセキュリティ水準を向上し、これらを EMS によって、常に最新でセキュアな環境として維持運用するという案でした。

同案では Office 365、Windows 10 Enterprise が備える標準機能を多く活用します。ハードウェアの調達やサード パーティのシステムが不要なため、簡素なしくみで、なおかつ迅速に作業を進めることが可能でした。小林 氏はまず Windows 10 Enterprise の利点について、こう説明します。

「Windows 10 Enterprise は Windows Defender や Device Guard など様々な標準機能を備えるため、エンドポイント セキュリティの水準を、多角的かつ飛躍的に高めることができます。最上位エディションとなる E5ではWindows Defender Advanced Threat Protection によってコンピューターフォレンジックも収集可能なため、トレーサビリティの担保にもつながります。システムの増加は、脆弱性の問題だけでなく、システム間の整合性を注意深く管理する必要性も生じさせます。OS と密結合する標準機能を使用すれば、セキュリティ ホールやシステムの一貫性に対して考慮をせずに多層防御を実現することが可能です」(小林 氏)。

また、Microsoft 365 はシステム側のセキュリティ強化においても有効だったといいます。マイクロソフトのクラウド サービスは、Threat Intelligenceと呼ばれる技術を実装しています。これはグローバルでサービスを提供するマイクロソフトが日々集積する脅威情報を、絶えずサービスに還元するというものです。「脅威の主な侵入口に電子メールがありますが、たとえばOffice 365 が備える Office 365 Advanced Threat Protection を有効化すれば、Threat Intelligence 技術によって最新の脅威を検知することが可能となります。三生オンユー様や当社だけでは把握できない未知の脅威であっても、クラウド ベンダー側が対策を講じてくれるわけです」と、小林 氏はそのメリットを説明。これに続けて上杉 氏は、JBサービスの提案時に受けた所感について、当時をこう振り返ります。

「Microsoft 365 を利用した案は成果が明瞭でしたので、提案後すぐ導入を決定しました。エディションの間で価格差がそれなりにあったため、E3 と E5 のどちらのエディションを採用するかという点は悩みましたが、『トレーサビリティを担保した強固なセキュリティ基盤』は、近い将来、社会がわれわれに求めることとなる『あたり前のもの』です。ここへいち早く対応することは企業としての責務だと判断し、最上位エディションの E5 で契約することにしました」(上杉 氏)。

三生オンユーが実装した、Windows 10 の備えるセキュリティ機能
機能名 機能概要 搭載エディション
Windows
Defender
アンチウィルス 全エディション
BitLocker 暗号化 全エディション
Windows
Information
Protection
データ保護 全エディション
Credential
Guard
認証情報の保護 Windows 10
Enterprise E3
Device
Guard
実行アプリケーションの制御 Windows 10
Enterprise E3
Windows
Defender
Advanced
Threat
Protection
動作ログの収集と異常な挙動の検知 Windows 10
Enterprise E5

Windows AutoPilot によって、わずか 1 か月で展開を完了。発展性を持ったセキュリティ基盤を獲得

三生オンユーが Microsoft 365 の導入を正式に決定したのは、2018 年 2月のことです。契約手続きなどを背景に、Windows 10 へのリプレースやOffice 365 の設定作業をスタートしたのは、3 月に入ってからでした。

既述のとおり、三生オンユーでは 2018 年 3 月までに新たなセキュリティ基盤を整備することを構想していました。しかし、PC リプレースだけみても、その作業には通常数か月の期間を要します。わずか 1 か月で各種作業を完了して強固なセキュリティ基盤を整備することは、きわめて困難だといえました。そうした中、JBサービスは目標にかかげた 3 月中で、PC リプレースや Office 365 などの設定作業を完了。新たなセキュリティ基盤を整備することに成功しています。

小林 氏とともに顧客提案から実作業に携わった JBサービスの守本 俊輔氏と篠原 菜都子 氏は、PC 展開においてあらたな手法を採用したことが、成功の 1 つの要因だと語ります。

「今回、PC 展開に際してはマスタ コンピューターを構築してイメージ情報をベアメタル展開するという一般的な手法ではなく、Windows 10 の備える Windows AutoPilot を活用する手法を採用しました。Windows AutoPilot は、管理者側で指定したコンピューター設定を、EMSのMicrosoft Intune を通じて各 PC に自動適用する機能です。当社のキッティング センターで全標準 PC の設定を Windows AutoPilot で均一化し、それから各ユーザーへ配布しましたが、展開に必要な工数、期間が 3 分の 2 ほど圧縮されたと感じています」( 守本 氏)。

  • 従来の展開手法と、Windows AutoPilot による展開手法

「Windows AutoPilot はこうした初期展開でも有効ですが、真価を発揮するのは更新ファイルの適用だと感じています。Windows 10 の魅力は、年に 2 回配信される更新ファイルによって、常に最新のセキュリティ水準を実装できる点にあります。ただ、これを標準 PC に適用するには、マスタイメージの作成など初期展開と同等の作業労力が必要です。Windows AutoPilot によってクラウド ベースの管理下に置かれたコンピューターの場合、最新の環境、設定に更新してしまえば、あとは Microsoft Intune が自動でユーザー環境に適用してくれます。更新ファイルを適用するまでのリードタイムが短縮されるほか、標準 PC の設定が統一化できる、またそれが容易に管理できるという面でも有効だと考えています」(篠原 氏)。

Windows AutoPilot による最新 OS の適用、Threat Intelligence 技術による未知の脅威への継続的対策により、三生オンユーのセキュリティ基盤は、強靭さだけでなく発展性も備わったといえます。さらに、三生オンユーとJBサービスでは現在、Windows Defender ATP で収集したコンピューターフォレンジックなどセキュリティに関する様々な情報をレポート化し、その内容に関して議論する定期会議を開催。PDCA サイクルによって、エンドポイント、システム、体制のすべてを継続的に発展していくことがめざされています。

鴻巣 氏は、サイバーセキュリティ対策会議を開始した 2017 年と同じ年度内で、こうした強靭で、なおかつ発展性をもったセキュリティ基盤が獲得できたことを、高く評価します。

「JBサービスの強固な支援のもとで Microsoft 365 を導入したことにより、無事、年度内に強固なセキュリティ基盤が整備できました。この取り組みの成果は、単にインシデント リスクを低減させただけに留まりません。従来のセキュリティ体制では、外出先や商談時などで IT の持つ可能性を活かすことができませんでした。こうした『IT を活用したサービス価値の向上』に向けて取り組みが、現在のセキュリティ基盤であれば着手することができます。当社にとってのリスク軽減、そして当社自身の企業価値の向上、この双方において、大きな意義を持つ取り組みになったと感じています」(鴻巣 氏)。

"予算ねん出に向けた計画立案など、セキュリティ基盤の整備に際しては、実作業を着手するまでの事前準備に相応の期間を要します。Microsoft 365 を採用したことで、こうした事前準備のタイムロスを取り戻す形で、早期にセキュリティ基盤が整備できました"
-鴻巣 憲寿 氏: 代表取締役社長
株式会社三生オンユー・インシュアランス・マネジメント

セキュリティ水準の向上とともに、IT を活用したサービス価値の向上にも取り組む

鴻巣 氏の触れた「IT を活用したサービス価値の向上」は、遠い未来の構想ではありません。三生オンユーは 2018 年 4 月より開始した 3 か年計画の中で、IT を活用したサービス価値の向上を提唱。渉外現場での IT 活用、社内のペーパーレス化など、さまざまな取り組みが、今まさに取り組まれているのです。

「現在、営業人員には当社が管理する標準 PC のほか、親会社である三井生命のネットワーク配下で管理されている渉外用モバイル 端末を貸与しています。しかし、標準 PC と渉外用端末との間には連続性、互換性がなく、有効に活用されているとはいえない状況です。Microsoft Intune を利用すれば、出先で利用する端末を、当社でもセキュアに管理できます。先の連続性、互換性を備えた渉外用端末を営業人員に貸与することが可能であり、SharePoint Online と合わせて活用すれば、大量の紙資料を持ち歩かずともスピーディかつセキュアにお客様へサービスを提供できるようになるでしょう」と、上杉 氏は意気込みをみせます。

"IT の持つ力を事業へ還元することサービス価値の向上が期待できます。しかし、これはあくまで、セキュリティが守られていることが前提となります。JBサービスや Microsoft 365 の力を十分に活用し、強固なセキュリティ基盤のもと、事業を伸長させていきたいと考えています "
-上杉 信久 氏: 取締役
株式会社三生オンユー・インシュアランス・マネジメント

三生オンユーでは 3 か年計画の過程で「社内に一切の紙がない」「情報はすべてクラウド上にある」環境とすることをめざし、現在取り組みを進めています。顧客に関するあらゆる情報がセキュアに運用され、物理的損失といったリスクもなく、どこからでも有効に活用される。こうした世界の実現が、三生オンユーにおいて間近に迫っているのです。同社の取り組みは、日々高まる脅威への対策に限界を感じている企業、そして IT を活用してサービス価値の向上をめざす企業の指針として、有益なモデル ケースとなりそうです。

[PR]提供:日本マイクロソフト