経営課題としてのデジタルビジネス投資 今こそセキュリティに「投資」せよ

日本マイクロソフトPresents エグゼクティブ向け Security 厳選コンテンツ

ベネッセホールディングスが選んだ「クラウド化」の最適解

2017年3月9日、東京都で開催された「IT Leaders xChangeサミット 2017 Spring」。この内、ベネッセのクラウド活用の取り組み、そしてマイクロソフトのクラウドセキュリティに関するリーガルコンプライアンスについて解説されたセッションの内容を紹介。刻々と変化するビジネスニーズに柔軟に対応するために、推進するクラウド活用プロジェクトの舞台裏とは?

IT投資比率約8%――
積極的な投資がもたらすクラウド活用のメリット

子供向けの通信講座をはじめ、社会人向け英語教育や高齢者向けの介護サービスなどを提供するベネッセでは、現在グループ内でのクラウド利用に向けた環境とルールの整備を進めている。

本セッションの登壇者であるベネッセホールディングスの増井一隆氏は「IT投資の最適化」「IT資産の管理」「クラウドセキュリティ」がこの取り組みを推進するドライバになっていると説明。

オンプレミス型だとシステム構築時に、ピーク時を想定してスペックやサーバーの台数を決めなくてはならないが、クラウドでは機能やサービスを使う時に使う分だけ導入すればよい。「IT投資の最適化」とは、そのような利点を活かした運用によって、TCO(IT導入、管理維持に関わる全コスト)を削減することを指すが、そのインパクトは同社には非常に大きい。元々多様化するニーズに対応するために積極的なIT投資を行っているからだ。

増井氏は売上に対するIT予算比率をグラフで示し「これは全事業ではなく、抜粋した一部の事業かついわゆる基盤の費用のみならず原価となるデジタル商品とそれに伴うサービスコストも入ったものですが、約8%という数字が算出されています」と紹介。この数字は、セッションのモデレーターを務めた日本マイクロソフトの蔵本雄一氏が「昨年のJUAS(一般社団法人 日本情報システム・ユーザー協会)の調査でも、売上高に占めるIT予算の産業全体の平均は1.2%、フィンテックなど積極的なIT活用を進める金融系でも7.8%くらい。付帯コストがどれくらいかにもよりますが、最適化できる可能性がありますね」と付け加えた通りの水準だ。

ドライバの2つ目に挙げられた「IT資産の管理」は、乱立するクラウド資産をしっかりと管理しようということ。

その背景について増井氏は「やはりクラウドって気軽に使えますので、各事業部門、チーム、グループ会社それぞれが使いやすいものを導入していった結果、我々IT部門が管理しきれていない状態になってしまっている」と述べた。

そして、3つ目の「クラウドセキュリティ」とは、クラウドを利用するにあたって、安全性をしっかり担保しなければならないということだ。

システム構築・運用のテンプレート化でニーズ対応力を強化

しかし、いざクラウド環境の統一化・本格利用について検討し始めると、クラウドのセキュリティそのものに対して「どんな情報までクラウドに置けるのか?」「機能として何が満たされていればよいのか?」「いろいろなクラウドがあるがどれにすればよいのか?」という疑問が沸いてきたと増井氏は当時を振り返る。

そして、これらの疑問を解決しながら、効率よく安全なクラウド利用を実現するために4つのステップでプロジェクトを進めたという。

ベネッセの考えるクラウドセキュリティ実現のステップ。「クラウド」に適合するかどうか、
「DB層」「Webアプリ層」のそれぞれでPaaSが適用できるかを判断し、
すべてにおいて適用可能と判断されれば、クラウドで基盤を構築する優先度が高いとしている

各ステップは、ゴールである「セキュリティの確保」を第4段階に据え、そこから逆算して考えていった。第3段階がセキュリティを確保するための「システム設計・構築」、第2段階がシステム設計を実現するための「クラウド利用におけるガイドラインの整備」、第1段階がガイドライン遵守を徹底するために「クラウドをデータセンタとして扱いガバナンス下に置くこと」という具合である。

実際には、まず第1段階を実現するためにクラウドサービスを一本化する必要があると考え、クラウドサービスの選定を実施。複数の候補に対して、セキュリティ面はもちろん、ビッグデータの分析やAI活用などといった今後のビジネスを見据えた機能性などの項目についての評価をスコアリング。その結果、すべての項目において得点が高かった「Microsoft Azure」が選ばれた。そして「グループ全体に対して『Microsoft Azure』の利用を推奨することが決まった」(増井氏)という。

さて、4つのステップの中で、蔵本氏が「使っているけどルールがないという話を結構聞きますが、その辺りをはじめにしっかり固めていくということですね。こうすると迷うことがなくなるので、ビジネスの変化に対応するスピードも速くなると思います」と特に評価するのが、第2段階の「ガイドラインの整備」だ。

具体的には、はじめに「こういうシステムを構築する際はオンプレミス、こういうシステムはクラウドで構築する」という基盤の選定マニュアルを作成。さらにクラウドを活用したインフラ設計の構築マニュアルやセキュリティ対策も定めている。

安心して運用できるのは、セキュリティへの信頼から

現在、プロジェクトは第4段階の「セキュリティの確保」を検討するフェーズにある。「クラウドになったとしても、オンプレミスと同等またはそれ以上のセキュリティ対策が実現できることを目指している」(増井氏)。

具体的には、外部公開セグメントと内部処理セグメントを分離させるなどして外部の脅威に対する安全を担保。内部脅威に対しては、オンプレミスのデータセンタをゲートウエイにしてログのキャプチャリングを行って、監視するなどしてセキュアな環境を実現するという。

とはいえ、クラウドのセキュリティに関しては「世界最大級のマイクロソフトのクラウドデータセンター自体のセキュリティを信頼するということが全てのベースとなる」と増井氏は強調する。

そして、「『Azure Active Directory Activity Logs』という機能がありますが、これを使うと、どういうアプリケーションで、どこから誰が、どのくらいアクセスしているかがリアルタイムに分かります。今後は、このようなAzureで準備されている機能もうまく使って、セキュリティ確保にも活用していきたいと考えています」と、「Microsoft Azure」独自のセキュリティ機能を積極的に活用してより盤石なセキュリティの仕組みを構築していきたいとの展望を示し、降壇した。

セキュリティに関する心配は一切不要! 
マイクロソフトのリーガルコンプライアンス

増井氏に続いて、壇上に上がったのは、日本マイクロソフト政策渉外・法務本部 弁護士の中島麻里氏。セッションの後半は中島氏による、マイクロソフトのクラウドのリーガルコンプライアンスについての説明が行われた。

はじめに説明されたのが、クラウド上のデータの取り扱いについて。

「ご利用される企業様にとって、一番ご懸念があるのが、マイクロソフトのクラウド上にデータがくることで、お客様自身のデータの利用に何か制限がかかるのではないか? マイクロソフトが勝手にアクセスするのではないか? またはマイクロソフトがお客様データの中身を勝手に見て利用するのではないかとことになると思いますが、全くそういうことはございません。これは契約にも明記されています」と中島氏。

では、警察などの第三者機関からのデータの開示要請があった場合はどうなのか?

これについては、基本的に第三者からの開示要請に応えることはないが、政府機関からの要請が法律に基づく場合は開示することがあり得ると説明。

しかし、中島氏曰く「ご安心いただきたいのは、そもそも法人のお客様のデータの開示要請というのはほとんどありません」とのこと。一般的な企業では、その心配は無用だろう。

また、マイクロソフトのセキュリティ基準は、法律以上に厳格な業界標準やガイドラインを満たすものであることにも言及。

例えば、認定基準が厳しく、同社の他にはNTT1社のみが認定を受けているという「クラウドセキュリティゴールドマーク」を取得しているのもその好例である。

その他、クラウド利用が個人情報保護法に違反しないこと、来年5月25日にルールが強化されるEUの個人情報保護法へもきちんと対応していくことなどにも話は及んだが、いずれにせよ、マイクロソフトのクラウドサービスが、テクノロジー面だけでなく、法律面でも信頼できることを印象付ける内容であった。