Netskope 導入事例｜モリサワ 様 シャドーITの可視化からクラウドの安全性評価、
きめ細やかな制御までを一貫して実現

株式会社モリサワ　情報システム課　課長 山下 剛氏、
同課 猶原 俊行氏 (写真左から)

モリサワの事業概要

株式会社モリサワ（以下、同社）は、1924年7月に業界に先駆け「邦文写真植字機」を発明して以来、一貫して「文字」に関する事業を展開している。ビジネス文章から広告、書籍、デジタルコンテンツの制作まで幅広い用途で利用されるモリサワフォントをはじめ、電子書籍のソリューションやレイアウトソリューションなどを展開しており、最近では、Windows 10に同社のユニバーサルデザインフォントの「UDデジタル教科書体」「BIZ UDフォント」が採用された。また、紙の媒体を簡単にデジタル化・配信でき、多言語にも対応している「MC Catalog+」は自治体を中心に広く採用されている。

同社ではCASB製品「Netskope」を利用することで、クラウドサービスの可視化と制御を実現している。その導入背景と活用法・効果について、同社 情報システム課 課長 山下 剛氏と同課 猶原 俊行氏にお話を伺った。

クラウドサービス利用に関するルールがなく、各部門で判断して導入していた

近年、企業ではSaaSなどのクラウドサービスを活用する動きが加速しており、同社でも2015年のOffice 365の全社導入を皮切りにクラウドファーストの採用が広まっている。Office 365導入以前は、仕事上に必要なクラウドサービスは各部門で判断して導入・利用している状況だったが、ルールなしにクラウドサービス利用を許可してもよいのか、というセキュリティリスクに対する懸念の声もあがっていたという。そのため、クラウドサービス利用に関するルールの整備が急務となっていた。

そこで同社では、経営ならびに法務部門の協力を得て、各部門で利用されているクラウドサービスをアンケート調査することにした。同社の事業の特性上、違法コピーやライセンス管理は厳しく運用しており、その一環でデバイスやソフトウェアに関しては利用者が責任をもって台帳管理している。そのため、クラウドサービスにおいても同様の台帳管理を検討していた。しかし調査の結果、想定よりも多い54種類ものクラウドサービスが利用されており、今後もクラウドサービス利用が増えることも想定される中で、人を介した運用には限界があるのではないかと懸念がでたという。

また、それらクラウドサービスの安全基準をどう判断するのかについても課題になった。クラウドサービスによっては十分なセキュリティ機能を装備していないことで、データ漏えいや消失の保証がないことも少なくない。十分なセキュリティリテラシーを持たないユーザーがクラウドサービスを選定した場合にはセキュリティに問題のあるクラウドサービスを選定してしまう危険性もある。しかし、情報システム部門が54種類ものクラウドサービスのセキュリティについて利用規約を１つ１つ読み込むとなると、工数増大が想定されるため現実的ではない。

このように、人を介したクラウドサービスの運用はリソース不足が想定できたので、ツールを利用した管理・運用が望ましいと考えていた中、CASBというソリューションに行き着いたという。

Netskopeの辞書機能でクラウドサービス安全性評価の運用負荷を軽減

CASBはクラウドサービスの利用状況を可視化し、データを保護して脅威から企業を守るものとして注目されている。ユーザーとクラウドサービスの間にCASBを配置し、単一のコントロールポイントを設けて、ここでクラウドサービスの可視化とアクセス制御、情報漏えい対策、ログ取得といったセキュリティポリシーを適用できるようにするものだ。そのため、クラウドサービスごとにセキュリティポリシーを設定することなく、かつユーザーの利便性を損なわずに、一貫したセキュリティポリシーを遵守しながらクラウドサービスを利用することができる。

「今まではネットワークやエンドポイントの物理的な制約があり、社内ネットワークやデバイス管理など場所や物に根付いたコントロールをしていましたが、今後クラウドサービスの利用が増える中で、アカウントベースのコントロールが必要になってくると思っていました。そのような環境ではCASBは非常に有効なツールだと考えました。」と山下氏は当時を振り返る。

そこで同社では複数のCASB製品を比較検討し、Netskopeを評価することになった。評価検証を実施した当初、まずはファイアウォールのログデータをNetskopeにアップロードして、社内で利用されているクラウドサービスを解析することにした。すると、事前のアンケートでは54種類のクラウドサービスということだったが、実際にはその倍以上のクラウドサービスが利用されていることが判明した。

「想定以上の多さで驚きはありました。当社では多言語フォントにも注力しているため、取引先が海外にもあり、また現地法人もあるため、あまり聞かないような海外のクラウドサービスも見受けられました。」と山下氏。

そこで活用したのが、Netskopeの辞書機能（CCI：Cloud Confidence Index）だ。Netskopeには専門の分析部門を設置して、約28,000以上のクラウドサービスをトラッキングし、７カテゴリー41項目で詳細な評価の最新情報を提供する辞書機能があり、Netskopeの管理画面からいつでも確認することができる。

「お客様指定だとは思いますが、聞いたことがないクラウドサービスも多々あるため、１つ１つ利用規約を調査するのは大変です。その点、Netskopeの辞書機能を利用すれば、瞬時にクラウドサービスの安全性がわかるので大変助かっています。」と猶原氏は評価する。

幸いにして、セキュリティ状況が著しく低いクラウドサービスはなかったというが、もし新たに利用したいというクラウドサービスのセキュリティ状況が低かったら、代替サービスを紹介するなどの措置を図る予定だ。

リアルタイムにきめ細やかな制御ができる点が導入の決め手

Netskopeを導入する決め手として、他にも「リアルタイムにきめ細やかな制御ができる」点をあげた。

同社の事業の特性上、取引先に容量が大きいデータの受け渡しが発生するため、日常的にクラウドストレージサービスを利用している。同社ではOffice 365を導入しており、同サービスにはクラウドストレージも装備されているが、取引先が別のサービスを指定することもあるため、統制するのは困難な状況だった。

Netskopeはクラウド・アプリケーション・ユーザー単位で、きめ細かいデータセキュリティや制御が簡単に設定できる。さらにOffice 365などはAPI連携が可能なので、よりきめ細やかな制御が可能だ。たとえば、SharePointやOneDriveといったアプリケーションごとの利用状況を把握でき、誰が誰とどのような情報を共有しているのか、その情報を誰がどこにダウンロードしたのか、といったことまで把握できる。また、アプリケーションや情報へのきめ細やかなセキュリティポリシーを設定することができるので、「個人情報を含むファイル」をSharePointからダウンロードしようとしても、それを強制的に禁止することも可能になる。ほかにも、Netskopeを利用すれば、BoxやDropboxなど別のクラウドストレージサービスを完全に禁止するのではなく、利用時にはポップアップで注意喚起するなど段階的な制御が可能だと考えたという。

また、「CASB製品は決して安くはないが、クラウドサービスの安全基準評価の作業工数や、何かセキュリティ事故が起こったときの損害賠償費用を考慮すると、決して高くないと思います。」と山下氏は費用面について補足した。

ユーザーとの対話を重視し、今後は段階的にクラウドサービス利用の制御を実施

「まずは計画をたてて、“安全に使ってもらえる取り組み”としてユーザーと距離を詰め、段階的にクラウドサービスの利用制御を実施することが一番重要だと思います。あとは経営や法務部門などを巻き込んで実施することですね」と山下氏はNetskopeの全社展開について話した。

その言葉通り、まずは社内で利用されているクラウドサービスの可視化を実施した同社では、次の段階としてPCの社外持ち出し要件に「HDD暗号化とNetskopeのエージェントのインストールの義務付け」を含めることが決まったという。また、同社では、データの暗号化やDLP（情報漏えい対策）の利用も検討中だ。

「セキュリティレベルが高いクラウドサービスでも、その中がセキュアとは限りません。たとえば、第三者がアカウントハッキングでID・パスワードが窃取されてしまう可能性もあります。そのためには、クラウドサービスでDLPやデータ暗号化なども必要になってくると考えています。」と山下氏は今後の展望を述べた。

最後にサイバネットへの評価を伺ったところ、「サイバネットのサポートに問い合わせしたところ、機能を熟知している方からのレスポンスだということがすぐに分かりました。正直、販売したら終わりという販売代理店もある中、サポートがきちんとしているという印象です。また、営業の方のレスポンスも非常によく、大変助かりました。」と締めくくった。

●株式会社モリサワ：https://www.morisawa.co.jp/

関連ソリューション