モバイル＆クラウド時代に最適なクラウドセキュリティとは――多くの導入実績から得られた知見とノウハウが企業のワークスタイル変革を強力に後押し：セキュリティ対策もクラウドベースの時代に

モバイル／クラウドが普及し、多くの企業がその利用に積極的になってきている。しかし、いまだに安全性を懸念する企業も多い。ソフトバンク・テクノロジーは、運用管理負荷やコストが小さく、高度なセキュリティ対策を「Enterprise Mobility＋Security（EMS）」で実現し、数多くの導入実績から得られた知見とノウハウを持って、企業のワークスタイル変革を力強くバックアップする。

モバイル＆クラウド時代に即したセキュリティ対策が必要に

　モバイルデバイスとクラウドサービスが普及し、多くの企業が積極的に検討、本格的な導入を図るようになった。しかし、いまだに問題視されるのが、その安全性だ。

　従業員の業務環境を改善し、効率化やモチベーションの向上を図る「ワークスタイル変革」を実践したいと考える企業が増えている一方で、デバイスの紛失対策やクラウドサービスへの認証など、セキュリティ対策の仕組みをどのように実装すればよいかを悩んでいるIT担当者も少なくない。

　これまでは安全性を理由に「社外からは社内システムを使わせない」「安全性の問題からクラウドサービスは導入しない」といったルールで、適切な活用を促進しないまま、シャドーIT（私物のPC、スマートフォン、タブレット型端末などを、会社の許可を得ずに業務に利用すること）を黙認する組織も少なくなかった。

　ワークスタイル変革による業務改善が企業の重要なミッションの1つとして位置付けられるようになった現在では、そうした対応はもはや言い訳にすぎない。現在は、さまざまなサービスや通信環境が整ったことで、情報漏えい対策やIT／デバイス管理を適切に実施して、積極的にモバイル／クラウドを活用することで、ワークスタイル変革を推進できるからだ。

　実際にワークスタイル変革を進めるにあたっては、さまざまなクラウドサービスを私物のデバイスからどのように利用させるか、どのように安全性を確保するかということが大きな課題となる。また、業務用クラウドサービスのID管理も重要な問題だ。複数のクラウドサービスを利用してID／パスワード管理が煩雑になると、不用意にパスワードを共通化させたり、ID情報を漏えいさせたりしてしまう恐れがあるからだ。

　そこで、安全性を高めつつ、生産性を向上させるソリューションが必要となる。さらに、きめ細かな管理、統制を可能にしながら、運用管理の負荷が増えないものが望ましい。マイクロソフトの「Enterprise Mobility＋Security（EMS）」は、そうしたIT担当者の“矛盾する要望”を実現するモバイル＆クラウド時代のセキュリティ対策ソリューションである（画面1）。

• Enterprise Mobility＋Security（マイクロソフト クラウドプラットフォーム）

画面1　「Enterprise Mobility＋Security（EMS）」は、IT担当者の“矛盾する要望”を実現するモバイル＆クラウド時代のセキュリティ対策ソリューション《クリックで拡大します》

Office 365の安全性を高める強固な連携機能

ソフトバンク・テクノロジー 技術統括 クラウドソリューション本部 クラウドソリューション部 第3グループ 倉本健也氏

　EMSを導入すると、モバイル環境上では個人の領域と業務の領域を完全に分離し、相互にデータをやりとりできないようにすることができる。そのため、BYOD（Bring Your Own Device：私物デバイスの業務利用）のデバイスであっても、個人の利用を制限することなく、安全に業務に利用できるようになる。従業員にとっても、EMSでの管理・制御を強く意識する必要がないため、安全性のために生産性を低下させるということがない。

　企業での利用が急速に伸びているクラウドサービスといえば、「Microsoft Office 365」が挙げられる。すでにスタンダードな業務ツールとなっている「Microsoft Office」を、サブスクリプションで手軽に導入・利用できることから人気が高まった。

　ソフトバンク・テクノロジーの倉本健也氏（技術統括 クラウドソリューション本部 クラウドソリューション部 第3グループ）は、EMSの特徴の1つとして、Office 365との高い親和性を挙げる。

　「最近では、Office 365を利用している企業でのEMSの導入が増えています。他のセキュリティ製品でも、デバイス管理やデータ保護は可能ですが、Office 365と連携して高度なセキュリティ対策を実現したいのであれば、EMSが最適です。EMSを使わなければ実現できないセキュリティ機能も存在します」（倉本氏）

　Microsoft Officeでは、モバイル環境向けにAndroid版やiOS版が提供されている。当然のことながら、これらのアプリからOffice 365へ接続して、自分の環境を利用することが可能だ。EMSを用いれば、いわゆる「振る舞い制御」を利用できるようになり、アプリ上での不必要な操作を禁止したり、挙動を制御したりといった対応が可能となる。

　同じくソフトバンク・テクノロジーの山口翔平氏（技術統括 クラウドソリューション本部 クラウドソリューション部 第3グループ）は、EMSの「振る舞い検知」の機能と連携することで、非常に高度なセキュリティ対策を実現できるようになると強調する。

　「EMSでは、メールのフローやドキュメントの操作履歴などを分析し、攻撃や情報漏えいなどにつながる怪しい操作を検知することができます。そうした“振る舞い”を検知したとき、アカウントの停止や利用者への通知など、自動的に対策を講じることができるのです。ここまでの連携が可能なのは、Office 365とEMSが同じアーキテクチャで構成されているからです」（山口氏）

ソフトバンク・テクノロジー 営業統括 ソリューション企画本部 Cloud ＆ IoT部 北爪圭澄氏

　また、北爪圭澄氏（営業統括 ソリューション企画本部 Cloud ＆ IoT部）によれば、EMSのユーザーから特に気に入られている特徴が1つ1つのアプリケーションを細かく制御できる点だという。

　「EMSは、モバイルデバイス上のアプリ1つ1つに対して、業務・個人のデータ分離やアクセス、操作などを制御することができます。一般的なMDM（Mobile Device Management）ツールでは不可能で、高価なMAM（Mobile Application Management）／MCM（Mobile Contents Management）ソリューションでなければ実現できなかった機能を、安価に利用できるのは大きな魅力です」（北爪氏）

　EMSは、何よりクラウドサービスとして提供されていることが最大の特徴だ。専用のハードウェアインフラを調達したり、システムを構築したりする必要はなく、オンデマンドにライセンスを購入することができ、いつでも利用を開始することができる。まさにクラウド時代のセキュリティ対策ソリューションといえるだろう。

最適な導入と運用を提供しセキュリティレベルを向上

ソフトバンク・テクノロジー 技術統括 クラウドソリューション本部 クラウドソリューション部 第3グループ 山口翔平氏

　ソフトバンク・テクノロジーは、Office 365やEMSの大規模導入の実績を誇り、数多くの導入経験からさまざまなノウハウと知見を蓄積してきた。2016年は「マイクロソフト パートナー オブ ザ イヤー 2016」を3部門で受賞、グローバルでも「2016 Microsoft Worldwide Partner Award」を4部門で受賞するなど、Office 365やMicrosoft Azureに関する独自ソリューションの開発も高く評価されている。

　Office 365やEMSは、さまざまな企業やビジネスに適合できる柔軟性を備えているが、特に細かいセキュリティ要件や設定は個々の企業で異なるものである。他社の事例を含めて最適な導入方法を提案できるのも、ソフトバンク・テクノロジーが提供する価値の1つとなっている。

　同社は、「まず自社で導入して価値を確かめて、ノウハウを蓄積してから、優れた製品／サービスのみをユーザーへ提供する」というのが基本姿勢だ。当然のことながら、Office 365とEMSも、十分に社内でテストし、ベストプラクティスを構築してきた。

　2年前、ソフトバンク・テクノロジーでは他社に先駆けてEMSを自社導入。アカウント管理は「ADFS on Cloud」で行っているため、まずは「Microsoft Intune」を導入した。現在は次のステップとして「Azure Information Protection」によるドキュメントの保護や、「Azure Active Directory Premium」による外出先からの社内システムへのセキュアなアクセスの実装など、EMSの幅広い機能の導入を進めている。

　「1〜2年前には、社用デバイスのみに制限されていましたが、EMSの導入によってBYODが推奨されるようになりました。当社のIT担当者も、最初は半信半疑でしたが、EMSの導入によりBYODの促進だけではなく、長期出張や在宅勤務にも対応できるようになり、今ではすっかりEMSのファンになっています。社内ではささいな点でも率直に意見を出し合いながら、ミーティングを重ね、改善点や導入、運用のポイントを話し合っています。それらの知見を、できるかぎりユーザーへ還元したいと考えています」（山口氏）

　さらに、ソフトバンク・テクノロジーでは、EMSでは実現できない機能の1つとして、デバイス認証／制御機能を追加する「ADFS on Cloud」を提供している（画面2）。

• ADFS on Cloud - Active Directory 連携（ソフトバンク・テクノロジー）

画面2　Office 365とオンプレミスのActive Directoryの連携を実現する「ADFS on Cloud」《クリックで拡大します》

　EMSのセキュリティ機能はユーザー認証をベースとしており、デバイス管理は可能だが、デバイス認証には対応しない。ソフトバンク・テクノロジーのADFS on Cloudは、Active Directory、Office 365、Microsoft Intuneが連携することで、認められていないデバイスからのアクセスを防止する機能を提供する（図1）。

図1　図1　Active Directory、Office 365、Microsoft Intuneの連携で、認められていないデバイスからのアクセスを防止する《クリックで拡大します》

　「ADFS on Cloudは、オプションで電子証明書を用いたデバイス認証にも対応します。いわゆるプライベート証明書ではなく、当社のグループ企業であるサイバートラストが第三者認証機関として発行する証明書を用いるため、極めて強固な認証を安価に実現することができます。さらに、ADFS on CloudとAzure Active Directory Premiumを連携することで、ADFS on Cloudの端末制御に、Azure Active Directory Premiumの多要素認証を組み合わせることができます。これによりユーザー認証をより強固にすることができます」（北爪氏）

　現在、ソフトバンク・テクノロジーでは、安全で信頼性、生産性の高いワークスタイルを支援するOffice 365、EMS、Windows 10 Enterpriseを組み合わせた「Secure Productive Enterprise E3」プランを提供しているが、新しいE5プランの提供も視野に入れて、セキュリティ担当部門で「Microsoft Cloud App Security」や「Microsoft Advanced Threat Analytics」の社内検証を進めている。

　「E5では、より高度なセキュリティ機能が追加され、包括的に多層的な防御を可能とするソリューションへと強化されます。EMSは2016年10月に、以前の『Enterprise Mobility Suite』から『Enterprise Mobility＋Security』に名称が変更され、今後もさらにセキュリティ面の進化が期待されます。導入コストに見合った機能や性能が提供できるかどうか、最適な導入方法、運用方法の確立も目標に、さらなる検証と評価を続け、最適な形で提供していきたいと考えています」（倉本氏）

• Secure Productive Enterprise（マイクロソフト ボリューム ライセンス）

提供：日本マイクロソフト株式会社
アイティメディア営業企画／制作：＠IT 編集部／掲載内容有効期限：2017年3月19日