セキュリティーサービスの連携と自動化で
全体最適なセキュリティー運用を実現

　セキュリティーサービス事業を手掛けるラックでは、自社のセキュリティー運用についても継続的な改善を実施している。その背景について「当社では昔から様々なセキュリティー製品を取り扱っており、社内導入も進めてきました。しかし、当初は最適だったシステムも、時代とともに次第に陳腐化していきます。また、環境が複雑になることで、運用負荷も高まってきます。そこで個別製品の組み合わせではなく、全体最適なセキュリティー運用を目指すこととしました」と語るのは同社の若居 和直氏だ。

　ここで注目されるのが、「Microsoft 365」(以下、M365)を中心としたマイクロソフト製品を積極的に利用している点だ。例えば、認証基盤に「Microsoft Entra ID」を用いているほか、ログ管理には「Microsoft Sentinel」、デバイス管理は「Microsoft Intune」と、主要なマイクロソフト製品がフル活用されている。「M365を使う理由は、細かい粒度でのアクセス制御がMicrosoft Entra IDで容易に行えるからです。実際に現在では、ほとんどのアクセス制御をMicrosoft Entra IDの条件付きアクセスで行っています」と若居氏は話す。

　もっとも、こうした環境が一朝一夕にできあがったわけではない。同社ではセキュリティー運用の改善に先立ち、まず今後に向けたグランドデザインを描くこととした。そこで重要なキーワードとなったのが「連携」である。

　「ID管理やログ管理、アラート管理が別々の製品で行われていると、問題が生じた際の対応もそれぞれ個別に行わなくてはなりません。現在のセキュリティーサービスにおいて、各製品間の連携はもはや必須といえます」と若居氏は説く。

　その点、M365であれば、Microsoft Entra IDを核とした認証連携を実現することが可能だ。また管理や制御を行うためのコンポーネントも豊富に用意されている。ゼロトラスト・セキュリティーを目指す同社のグランドデザインを具現化する上で、まさに最適なソリューションだったわけだ。

　加えて同社では、ベースライン／リスクベースの2つのアプローチによるリスク分析も行っている。前者では、自社の現状とあるべき姿を把握し、改善につなげるためのアセスメントを3年間かけて実施。また後者では、社内のペネトレーションテスト部隊による診断で具体的な改善点を洗い出した。

　「グランドデザインの実践にあたっては、まずID管理から手を付けました。何を調べるにしても、誰のデバイスか、誰の通信かといった情報が必要です。これを速やかに特定するには、ID管理が欠かせません。また、デバイスやネットワークに対するアクセス制限の効果を高める上でも、ID管理が重要になります」と若居氏は話す。

　なお、リスク対応を進めていく上では、「内部不正対策よりもサイバー攻撃対策を先に実施したほうが効果が分かりやすいです」と若居氏は言う。サイバー攻撃への対処は共通項も多く、取り組みやすいというのがその理由だ。

　このように環境整備に努めてきた同社だが、現在力を入れているのがセキュリティー運用の自動化だ。その裏側には、ゼロトラスト化に伴う新たな課題があった。

　「システム／サービスを利用する際には、ユーザーからのリクエストが正確かつ最小権限となるように適宜アクセス可否を判断しなくてはなりません。しかし、テレワークなどの働き方が普及した現在では、正しいユーザーと攻撃者の区別がつきにくい。しかも、社内の様々な部署の組織文化や業務特性を踏まえた形で管理を行うことが求められます」と若居氏は話す。

　とはいえ、むやみに制限を掛けてしまったのでは利便性が低下するおそれもある。これを避けるためには、現状の運用が実態と乖離していないか、常にモニタリングして改善することが必要だ。「こうなると、必然的に管理者側の手が足りなくなってしまいます。限られた人的リソースを有効に活用するためにも、自動化によって人がかかわるプロセスをできるだけ減らしていくことが必要でした」と若居氏は明かす。おそらくほかの企業においても、同様の課題に直面しているケースは少なくないはずだ。

　「特に最近では、IDSやWAFといった過去のセキュリティー製品のように、導入すれば即座にセキュリティーレベルが上がるといったものは少なくなっています。むしろ、新しい製品を入れる度に、見えることやできることが増えていく方向性にあります。当然、サービス間連携を行えば、さらに見えること、できることが増えていきます」と若居氏は指摘する。

　この問題を解決するために、同社では「Microsoft Power Platform」や「Azure Logic Apps」などのローコード・ノーコード開発ツールを活用している。「これらのツール群は、複数のサービス間をつなぐ潤滑油の役割を果たします。必要なデータの取得やAPIによる制御を自動化することで、無理のない運用を実現しています」と若居氏は話す。 　その一例として若居氏が挙げたのが、外部記憶媒体の一時制限解除手続きだ。基本的に同社では、USBメモリなどの書き込み利用を一律で禁止している。しかし業務を進める中では、顧客への納品やデータの受け渡しなどで、どうしても利用せざるを得ない場面も出てくる。

　そこでこの仕組みでは、「Microsoft Power Apps」や「Microsoft Power Automate」などのツールを用いて制限解除作業を自動化。利用者に対しては専用アプリを提供し、自ら申請作業が行えるようにしている。実施された内容は自動化によりログが蓄積される上、そのログも「Microsoft Power BI」のダッシュボード上視覚化されるため、後々の確認も容易に行うことが可能だ。さらに、このほかにも、クラウドストレージの利用申請や特定業務で利用するデバイスへの自動タグ付けなど、様々な運用業務の自動化に成功している。

　自動化による取り組みの成果は大きかったという。例えば、先に触れた一時制限解除では、管理作業の手間を約13％削減。そのほかにも機能改善を行っているため、トータルでの対応工数を大幅に引き下げることができた。さらに顕著なのが、承認が下りるまでのスピードである。以前は管理者の手が空くまで待つ必要があったが、現在は管理者ではなく上司が承認するだけで良いため、約69％もの時間短縮を図れたという。

　「セキュリティー上の例外申請など、突発的に飛び込んでくる依頼を自動化できたことで業務処理が大変スムーズになりました。さらに重要なポイントなのが、解除した後の再制限も自動で行われる点です。これにより戻し忘れなどのミスもなくなっています」と若居氏は強調する。また、自動化のもう1つのメリットが、見える化の実現だ。若居氏は「ログが残りますので、ダッシュボードを利用して、経営層にもきちんと効果を報告できるようになりました」と話す。

　同社ではこうして培ったノウハウを、顧客向けソリューションにも積極的に展開（図2）。各種マイクロソフト製品の導入・活用支援サービスを幅広く提供していく考えだ。