1910年に設立された西大寺軌道株式会社を起源とし、岡山県南部を主な営業エリアとする両備グループの交通・運輸部門の中核企業であり、情報部門・生活関連部門を含めた両備グループ全体の中核企業でもある両備ホールディングス株式会社。同社は、テレワークの拡大などによって多様化するPC・スマホなどのIT資産管理の最適化とセキュリティ強化を図る目的で「LANSCOPE エンドポイントマネージャー クラウド版(以下エンドポイントマネージャー)」を導入。導入の経緯や効果について、両備グループ 経営戦略本部 グループITサポート部 部長の山野辺 真也 氏、同マネージャーの石川 和志 氏、グループITサポート部の安田 有佑 氏に話を聞いた。
同社では、これまでグループとしてIT資産管理ツールが未導入の状況であった。「グループ各社あるいは社内の各カンパニーとして現業部門を多く擁しており、IT機器も各社が独自に調達するケースが多かったため、ITガバナンスが利いていない状況だった」と山野辺氏は当時を振り返る。
従来のIT資産管理の方法について、安田氏は、「PCの購入は一元管理していたため、新規購入したPCの台帳管理は行っていた。しかし、台帳が最新の状態に更新されているかは把握しきれないケースがあった」と述べた。加えて、テレワークが進み、社内ネットワーク外にある端末が増えたことも、新たな懸念となっていた。
また、グループ全体として、操作ログの取得・管理ができていなかったため、マルウェア感染などのインシデント発生時に被害状況や影響範囲を特定することが難しい状態だったという。
さらに、同時期に本社移転が決まり、新しい本社はフリーアドレス制のオフィスで、固定電話をなくす影響で従業員に支給するスマホの台数が増えることが見込まれた。PCだけでなくスマホも含め、統合管理をどのように行っていくかが大きな課題だったと安田氏は説明した。
同社でIT資産管理ツールの選定に際して重視した要件は、Windows PCだけでなく、iPhone・Androidスマホも統合管理できる点にあった。製品選定の際、PC管理だけに焦点を当てれば、オンプレミス型・クラウド型を問わず、さまざまなIT資産管理ツールを検討できたが、ここにスマホ管理も統合する場合、選択肢は自ずとクラウド型の製品となりエンドポイントマネージャーに絞られたという。
「弊社では昨今、サーバーの運用・管理にかかる負荷の軽減やセキュリティ対策の観点から、従来オンプレミスで運用してきたサーバーやシステムのクラウド移行も進めている」と石川氏は社内の背景を補足し、この点からもクラウド型製品であることが選定ポイントだったと述べた。
こうして、PCだけでなくスマホも統合管理できるクラウド型製品であることが同社の要件を満たし、エンドポイントマネージャーの導入が決定した。
PC3,000台を超える管理対象端末への展開は、大きく「ホールディングスの管理部門」「ホールディングスのカンパニー(現業部門)」「グループ各社」の3つのステップに分けて段階的に進められた。「最初のホールディングスの管理部門への導入のステップで、資産情報や操作ログの取得ができ、想定通りに端末の利用状況が可視化されていることを確認した上で、続く現業部門、グループ会社への導入を進めていった」と安田氏は説明した。エンドポイントマネージャーのエージェントのインストール手順を簡単な手順書にまとめ、各従業員にインストール作業を行ってもらったが、大きな問題はなかったという。
本社移転のタイミングで導入を拡大したスマホをはじめとするモバイル端末については、「今回の導入を機に、万が一の紛失時の対処フローが確立できた」と安田氏は述べる。紛失時には、端末利用者が社内の窓口に電話し、その連絡をもってリモートワイプを実行するフローを確立したとのことだ。
導入の効果について、まずIT資産の管理に関しては、PC端末管理がより確実になったという。同社ではITガバナンスの観点から、グループで統括して新規PCを手配することを原則としてきたという。しかし、世界的な半導体不足の影響を受け、この体制での調達が難しい期間があったため、急遽新規PCが必要となったグループ会社や拠点では独自に手配するケースも発生していた。各社担当者に導入手順をレクチャーしエンドポイントマネージャーのインストールを必須化することで「調達経路が分かれてしまい、台数や稼働状況が正確に把握・管理できないPCの問題も、エンドポイントマネージャーの導入により解決が期待される」と安田氏は話した。
安田氏は「端末情報の収集によって、PCやスマホの稼働状況をリアルタイムに可視化できるようになった」点も導入効果に挙げた。端末の利用部門・利用者やその台数を把握するだけでなく、エンドポイントマネージャーの管理コンソール上で一定期間未稼働と示された端末は、すぐに利用状況の把握に努めるなど、棚卸業務を効率的に行うことができるようになったのは大きな効果ということだ。
その他にも、エンドポイントマネージャーの管理コンソールから端末のハードウェア情報の詳細を確認できるようになったことで、例えば、空き容量が足りないPCがどこに・何台あるのかといったこともすぐに把握できるようになった。そのため、これまでのように各部門やグループの担当者にIT管理者が問い合わせる必要もなくなり、管理者・担当者の工数・負担軽減にもつながっているという。
そして、取得した操作ログも、設定したアラートが発生している際や、社内からの問い合わせがあった際などに確認するなど、必要に応じて有効に活用している。
さらに、エンドポイントマネージャーは、マルウェアを検知した際の原因調査に要する時間の短縮化にも寄与しているとのことだ。
これまで、影響範囲を調査するためにグループ会社に感染の有無を確認する必要がある際には、端末情報を取得する実行形式のファイルをメールで送信し、端末側で実行するといった操作を、グループ会社の担当者・個人が行っていた。そのため、調査に数週間かかってしまうケースもあったが、「エンドポイントマネージャー導入後は、ファイル配信機能を活用して、ファイルを遠隔で実行できるようになったため、時間をかけずに確認・調査できる仕組みが構築できた」と安田氏は説明する。
今後の想定としては、「よりプロアクティブな対応にエンドポイントマネージャーを活用していきたい」と安田氏は話す。同社では現在、何かセキュリティ上の問題が生じた後に、スピーディに対応するためにエンドポイントマネージャーの操作ログを活用している。今後はさらに、例えば、退職予定の従業員の在職中の操作ログを確認することで不正行為を抑止・防止したり、USBメモリーなどの外部デバイスがPCに接続されたときにアラートを通知したりするなど、情報漏洩を未然に防ぐために、エンドポイントマネージャーでできる対策・活用を検討していきたいとのことだ。
また、今後はクラウドサービスがさらに普及・浸透し、セキュリティやIT統制の観点から、どの端末で、どのクラウドサービスを利用しているか把握することがますます重要になってくる。そこで、「端末の操作ログに加えて、利用しているクラウドサービスの統合管理まで可能になるようなプラットフォームに発展するよう、エムオーテックスには今後もエンドポイントマネージャーの継続的な機能改善に取り組んで欲しい」と安田氏は述べ締めくくった。
※本事例は2023年12月取材当時の内容です。