SaaSのセキュリティ対策が管理部門に依存、人の手に頼った運用が限界に近づく

日本電気株式会社（以下 NEC）は日本を代表するICT企業のリーダーとして、創立から120年を超える活動の中で、先進的な技術・知見・経験・アイデアを駆使し、イノベーションを起こすことで社会に貢献してきた。2021年5月に発表した2025中期経営計画では、2030年に実現すべき未来像「NEC 2030VISION」を提示。安全・安心・公平・効率という社会価値を創造し、誰もが人間性を十分に発揮できる持続可能な社会の実現を目指している。コーポレートトランスフォーメーション部門 CI SO統括オフィス 上席プロフェッショナルの宮本智氏は「中期経営計画の中では未来への変革のためのDXの推進を掲げており、コアDX、社内DX、社会DXの3つを経営の中核に据え、社内で実践したDXを社会に還元していく方針です。その実現のためにも、また弊社が社会から信頼される存在であるためにも、セキュリティは最重要事項のひとつであり、われわれのDXを支えるものと位置付けています。そこで現在、堅牢性と柔軟性を兼ね備えたゼロトラストセキュリティプラットフォームの構築を目指しています」と語る。

さて同社では、DXの推進にあたり、社内でのSaaSアプリケーションの利用が急速に拡大していた。もちろん利用に際してはセキュリティ対策を十分に実施していたが、DX推進のスピードに追いつくのが徐々に難しくなっていたという。そうした中、2021年前後に国内外ではSaaSの設定不備によるセキュリティインシデントが相次いで報道されていた。コーポレートトランスフォーメーション部門 CISO統括オフィスの後藤優太氏は「当社では幸い、そうした問題は起きていません。しかし、導入時はしっかり審査するものの、運用フェーズで本当にセキュアな設定が維持できているのか。あるいは、新サービスや機能が追加された際、きちんと設定を継続して確認できているのかという懸念がありました」と当時を振り返る。

同社におけるSaaSの運用は各SaaS運用部門によって何がセキュアな設定であるのか、外部のリファレンスを基にそれぞれ調査をしていた。このことから各部門によってセキュリティベースラインに差異が発生するという問題点があった。それに加え、SaaSでは設定項目が山ほどあり、すべてを人手でチェックし続けるのは不可能であったという。

海外での実績と対応SaaSの豊富さを評価、ダッシュボードの使い勝手も魅力

こうした課題に対応するため、NECではSaaSのセキュアな運用を実現できる仕組みを模索していたが、そんなときにマクニカより紹介を受けたのが、SaaSの設定監査を行うためのSSPM（SaaS Security Posture Management）ソリューション「Adaptive Shield」であった。「日頃からマクニカ様とは定期的に情報交換を行っており、Adaptive Shieldは2021年4月に紹介されました。社内で使用している数百のSaaSのうち、主要なSaaSについて確実にセキュリティを担保したいと考えていたのですが、まさにAdaptiveShieldはその要望にマッチしていたのです」（宮本氏）採用のポイントとなったのは、世界の主要企業での採用実績に加え、対応するSaaSの豊富さ、多くのチェック項目、ダッシュボードの使い勝手などであった。

「Adaptive Shieldはセキュリティ監査の項目数が圧倒的に多く、なぜその項目が必要なのか、是正方法まで説明してくれる点が優れていました。さらに、リスクの高いものが何件残っているなど、ダッシュボードでサマリー情報をひと目で把握できることも大きな魅力でした。加えて、利用するサービスに合わせた権限設定の柔軟さなど、実際の使い勝手を考慮した操作性も評価のポイントとなりました」（後藤氏）

同社は、2021年7月にPoCを実施。テスト環境と実際に全社で利用しているMicrosoft365、Box、Salesforce、ServiceNowなど主要なSaaSを対象とした本番環境で行った。

「本番環境でPoCを実施した結果、それまでSSPMというツールに対してやや懐疑的であった社内の雰囲気が一変しました。さまざまなセキュリティ対策の導入により、しっかり守っていると考えていた環境にもリスクが存在することが可視化されたことで、改めて導入の必要性が理解されました。」（宮本氏）

設定の客観的かつ網羅的な評価が可能に、ダッシュボードで現状も見える化

NECは2021年12月に Adaptive Shieldの正式採用を決定。翌年初めより順次展開を進め、NECグループの10万ユーザーが利用するSaaSを対象に利用している。利用方法は大きく監査と常時監視があり、監査では四半期ごと、年4回の定期監査を実施。設定ミスの有無を洗い出して、対応計画の立案に役立てている。常時監視についてはアラート機能を活用し、SaaSの設定に変更が生じたときなどにアラートを担当者へ飛ばし、セキュリティ面の対応が必要かどうかを判断している。導入の効果について、後藤氏は次のように語る。「今までの運用は各担当者の知識やノウハウに依存している部分が多く、はたして本当にセキュアな設定ができているだろうかという不安がありました。それがAdaptive Shieldの導入により、客観的かつ網羅的な評価を数値により見える化できるようになったことは大きいですね。例えば、SaaS設定の管理方法について、数値目標を100％とした際、現状が何％達成できていて、残り何％について設定値の是正が必要であるのかをダッシュボードにより一目で管理できるようになりました」続けて宮本氏も、ダッシュボードの重要性について次のように説明する。

「私たちが何かのツールでチェックしてPPTで資料にして報告するより、Adaptive Shieldのダッシュボードでリアルタイムの状態を直接、見せる方が客観的な数値として信頼が得られます。

また、優先して対応すべき項目が明確になることで、これまでのような事後対応ではなくプロアクティブ対応、つまり攻めのセキュリティを実現していけるのではないかと考えています」また、Adaptive Shieldの導入により、各SaaS運用部門で実施している設定作業について、統一の基準で自動的に監査する事ができるようになったことで、SaaSのアップデートへの追随を、工数をかけずに対応できるようになった。これは、品質の向上と運用負荷の大幅な軽減につながっているという。

10万ユーザーでの実践をリファレンス化し、NEC独自のサービスとして提供

NECでは今後について、対象のSaaSを増やすことに加え、マクニカのパートナーとしてAdaptive Shieldを商材として活用し、自社のサービスとして広く提供していくことを目指している。サイバーセキュリティ事業統括部 プロフェッショナルの見延歩氏は「今回の導入・運用の経験から得た知見とノウハウをリファレンス化し、2022年2月に『SaaSセキュリティ設定管理プロフェッショナルサービス』としてリリースしました。主にエンタープライズのお客様が対象ですが、反響も大きく、すでに多くのお客様へご提案しております」と語る。

同サービスでは、セキュリティ標準に則ってリスクのある設定を洗い出す「SaaSセキュリティリスク可視化アセスメント」、アセスメント結果に基づき設定の見直しを支援する「SaaS設定改善支援」、SaaSの機能追加や設定変更にともなうリスクを定期的にチェックして報告する「SaaSセキュリティ運用支援」を提供する。見延氏は「テレワークの導入などでSaaSの利用が急増している一方、設定ミスなどのリスクに気づかないまま運用しているケースも少なくありません。こうしたリスクを啓発していくことで、お客様のセキュリティを向上していきたいと考えています」と期待を語ってくれた。