集英社はどのようにして「もはやパスワードすら入力しない」世界を実現したか？（2/2 ページ）

[宮田健，ITmedia]

セキュリティのサイロ化をどう解消すればいいのか？

　ではMicrosoftのソリューション群を活用すればセキュリティ運用をどのように変革できるのか。続いて、Microsoftのアンドリュー・コンウェイ氏（Vice President, Security Marketing）が登壇。「セキュリティ運用プラットフォームの一元化」と題した基調講演で、サイロ化された環境からセキュリティプラットフォームに移行する意義を解説した。

Microsoftのアンドリュー・コンウェイ氏（Vice President, Security Marketing）（出典：筆者提供）

　コンウェイ氏によると、Microsoftは「米国連邦政府に次ぐ、世界で2番目に攻撃されている企業」だという。そのため同社は全世界で展開する複数のクラウドサービスから多くのシグナルを得ており、脅威に対する独自の可視性を獲得している。

　これによると、サイバー攻撃の攻撃スピードと規模はますます拡大しており、攻撃者がフィッシングで得た情報から個人情報にアクセスするまでには平均でわずか72分しかかからないという。

　だが、これに対して防御側には幾つかの課題がある。一つがセキュリティの「サイロ化」だ。電子メール・コラボレーションツールやエンドポイント、アイデンティティー、アプリ・クラウドサービス、データなどをセキュリティソリューションがサイロ化しており、横断的な脅威保護ができていないのが実態だ。

　Microsoftはこの現状を踏まえて“真の統合セキュリティオペレーションプラットフォーム”として複数のセキュリティソリューションを統合的に提供する。その中心にあるのは、XDR（Extended Detection and Response）ソリューション「Microsoft Defender XDR」（以下、Defender XDR）だ。

複数のセキュリティ領域を統合的に保護するのがMicrosoftのソリューション群の強みだ（出典：日本マイクロソフトの発表資料）

　Microsoftは脅威インテリジェンスやクラウドセキュリティ、XDR、SIEMといった複数のソリューションを統合した他、これらの製品に生成AIの機能を組み合わせている。「Copilot for Securityは単体の製品ではなく、プラットフォームコンポーネントの一つとして、ポートフォリオ全体で共有されている」（コンウェイ氏）

　コンウェイ氏によると、生成AIの力によって、マシンスピードでの防御や分析、人材不足に悩むアナリストの通常業務を補助し、生産性が向上した。セキュリティにおけるCopilot for Security利用の65％は、Defender XDRとこれら統合エクスペリエンスの一部として利用されているという。

　「ある顧客の実例では、10以上の異なる脅威アクターから攻撃を受け、10以上のドメイン管理者アカウントが侵害された。Defender XDRの自動化された攻撃中断機能によって、彼らの環境の2000台のうち、暗号化されたのは3％にとどまった。その3％の端末は別のEDR（Endpoint Detection and Response）製品を選択していたことが原因だ。異なるベンダーに断片化されていたために暗号化を許したという点には、よい学びがあると思う」（コンウェイ氏）

Defender XDRの自動化された攻撃中断機能（出典：日本マイクロソフトの発表資料）

Copilot for Securityはセキュリティアナリストの業務を軽減する（出典：日本マイクロソフトの発表資料）

集英社はなぜ「ID中心の運用」を選択したのか？

　最後にMicrosoftのID基盤である「Microsoft Entra Suite」（以下、Entra Suite）を採用した、集英社の事例が紹介された。集英社の須藤明洋氏（IT戦略企画部　DX推進室　係長）は「集英社ではIDを中心とした運用を目指しており、それがMicrosoftの考えと合致していることから、Entra Suiteの採用を決定した」と語る。

集英社の須藤明洋氏（IT戦略企画部　DX推進室　係長）（出典：筆者提供）

　集英社におけるシステム構成は、もともと「Microsoft Entra ID」（以下、Entra ID）と「Azure Directory」を活用していたが、それ以外にも従業員や外部スタッフに向けに別途導入したIdPを運用していた。そのため、実際にどこにアイデンティティーが保存されているかが分かりづらい状態であり、シングルサインオンの導入も難しかったという。

集英社におけるこれまでの構成ではサードパーティーのIdPが混在していたことでユーザーの利便性を下げていた（出典：日本マイクロソフトの発表資料）

　集英社はこうした複雑なID運用を改善するため、サードパーティーのIdPを廃止し、Active Directoryによるシンプルな構成に変更した。これによってさまざまなIDがEntra ID経由で認証でき、「オンプレミスのアプリケーションを含め、今では約50のアプリがEntra IDを経由し、セキュアで運用効率の高い構成が実現した」と須藤氏は述べる。

Entra IDに集約したことで運用負荷を軽減し、安全なID運用が実現した（出典：日本マイクロソフトの発表資料）

　集英社は現在、パブリッククラウドの認証やWebアプリなどもEntra IDの認証で保護している他、デバイスもEntra ID経由でログインでき「生体認証機能『Windows Hello』を使っているので、もはやパスワードすら入力していない」と須藤氏は話す。

　須藤氏はこれに加えて、Entra Suiteで待ち望んでいたというプライベートへのアクセス保護も活用して「ユーザーに利便性が高く仕事ができるような環境として『Azure Virtual Desktop』にシンプルにアクセスすることも実現できるようになった」と語った。

　「入退社処理も自動化されている。現在、集英社の新入社員はパスワードを作ることが一切なく、最初から最後までパスワードはランダムに自動作成し、ユーザーは作ることも知ることもない状態からスタートするところまで来た」（須藤氏）

集英社が実現した「ID中心の運用」（出典：日本マイクロソフトの発表資料）

　須藤氏はID中心の運用で得られたものとして、「統合された管理画面があることは非常にメリットがある」と述べる。これまでさまざまな製品を導入してきたという集英社は、管理画面もさまざまなところに分散していた。統合されたことでセキュアかつ利便性が高い状態を作れたことで、従業員も「パスワードを入力するアプリがあると不満だ、という状況にまでなっている」という。

　加えて、コストの面でもメリットがあると須藤氏は話す。ライセンス費用や運用のコストを含めると「大きなコストダウンが実現できている」と言うとともに、「よくセキュリティを高めると利便性は下がるというてんびんに例えられるが、Entra Suiteの製品概念を順守し構成を作ることで、利便性とセキュリティの両方が実現できる。それが組織の強さを引き上げることにつながったと考えている」と須藤氏は述べた。