株式会社MCEA(エムセア)ホールディングスは、傘下にITエンジニアの派遣事業を手がける株式会社PE-BANKや、システム開発とITソリューションを手がけるアスノシステム株式会社を擁し、グループの一体経営やバックオフィス業務を推進している。ITを取り巻くさまざまな環境変化と人々の価値観の多様化に応える同社では、従業員の働き方の多様化などを背景にシステムのクラウド化を進めてきた。メインの業務アプリケーションには「Microsoft 365」を採用しており、「Microsoft 365の利用状況の可視化」という課題を解決するため「LANSCOPE セキュリティオーディター(以下セキュリティオーディター)」を導入した。
導入の経緯や効果について、同社 総務部の森岡 太郎 氏と、総務部 課長の城 由衣 氏、梶本 ゆう子 氏、グループ広報部の永井 亜稀代 氏に話を聞いた。
同社では、業務用アプリを自社開発し、日々の業務に利用していたが、東日本大震災を契機に業務システムやアプリケーションのクラウド移行を進めてきた。森岡氏は「それまではオンプレミス環境で自社開発したアプリをメインに活用していたが、方針を転換し、Microsoft 365などのクラウドサービスを利用するようになりました。弊社は全国に拠点があるため、働く場所に依存せず、従業員がどこでも業務できる環境を構築する必要がありました。現在では電話応対を『Teams電話』で行うなど、Microsoft 365を活用した業務環境の整備を行っています」と振り返る。
クラウドシフトにより、「場所を問わず働ける」環境が整備される一方、従業員がどのようにMicrosoft 365を利用しているか、可視化ができていなかったことで、いくつもの課題が浮き彫りになったと森岡氏は説明する。
例えば、労務管理の領域では「従業員の長時間労働の是正」という課題があった。森岡氏は「PCさえあれば、いつでも・どこでも業務が行える反面、夜間や休日など時間外労働につながる可能性もあり、その監視を行うことで、過剰な労働を是正したいと考えていました」と話す。
さらに、同社は重要なデータも含めてMicrosoft 365に業務データを保存していることから、外部とのファイル共有やアクセス制限など、Microsoft 365の各種設定が正しく行われているかを確認する必要性を重視しており、「意図しない情報漏洩を防止する対策の必要性が高まっていました」と森岡氏は説明する。
こうした課題に対処するため、同社ではMicrosoft 365の「コンプライアンスセンター」で確認できる監査ログを運用していたが、決して見やすいログではなく、ログの件数も膨大で、担当者の運用工数が非常に大きかったという。
同社が抱えていた「Microsoft 365の利用状況の可視化」や「外部とのファイル共有に起因した意図しない情報漏洩対策」「労務管理」といった課題を解決するために導入したのが「セキュリティオーディター」だ。
セキュリティオーディター導入の決め手になったポイントして、森岡氏は、既存で運用していたMicrosoft 365 コンプライアンスセンターで確認できる監査ログと比較して、セキュリティオーディター上で確認できる監査ログの見やすさや、レポート形式でセキュリティリスクが可視化されることを挙げた。
また、Microsoft Teamsと連携することにより、ポリシーに違反する操作があった際に、管理者だけでなく、その操作を行った従業員本人にも通知することができる点も、従業員のセキュリティ意識の向上につながっておりプラスとなっているということである。
加えて森岡氏は、セキュリティ面においては従業員のポリシー違反にあたる行動に対してアラートの通知や、労務面においては勤務時間外の労働を監視するために監査ログを利用できるなど、セキュリティオーディターでカバーできる範囲が多岐にわたることを評価した。求める機能ごと、それぞれに対応するソリューションを単体で複数導入するのではなく、さまざまな機能や要件がカバーされた統合ソリューションである点も製品導入のポイントとなったと説明した。
梶本氏は日々の運用について、情報システム部門が月に1回、セキュリティオーディターで取得した監査ログのうち、アラートとなったログを中心に確認を行っていると話した。
「時間外操作やファイルの外部共有など、あらかじめ設定した特定の操作が行われた際に、Teamsを通じて本人と管理者にアラートを通知する設定をしています。また、月に1回情報システム部門でもアラートをチェックしているため、それが従業員の意図した正しい操作なのか、あるいは意図しない操作だったのかを確認しています」と梶本氏は説明した。
また、セキュリティオーディターでは、アラートとあわせて「FAQ」も通知できる。「なぜこのアラートが通知されたのか」「どういう使い方をしたらいけないのか」など、従業員が抱く疑問に答えるFAQもあわせて通知することで、課題の自己解決を促す機能だ。同社ではFAQの利用状況も把握し、実態にあわせて内容を適宜アップデートする作業も行っているという。
セキュリティオーディターの導入効果については、森岡氏はまず、ログの確認作業の効率化を挙げた。
「既存で運用していたMicrosoft 365 コンプライアンスセンターで確認できる監査ログは、ログの件数が多く見にくくもありました。不審なログがあれば、都度チェックしていましたが、決して精度の高い作業とは言えませんでした。 セキュリティオーディターを導入することで、今まで一部の知識のあるメンバーしか解読できなかったログを、他のメンバーも解読できるようになりました」と話した。
加えて、「情報漏洩に対する従業員の意識の変化」も導入効果に挙げる。上述したように、ファイルの外部共有などがあった際に、従業員本人にアラートが通知されるため、従業員が意図せず外部にファイルを共有してしまっていないか、会社はモニタリングしているということが従業員に伝わり、従業員のセキュリティ意識の向上にもつながっているとのことだ。
このアラート内容は情報システム部門にも通知されるため、アラートの内容に応じて情報システム部門から従業員の上長に共有を行って操作内容の確認や指導を実施しており、こうした取り組みも従業員の意識の変化につながっている。
労務管理の面では、Microsoft 365の監査ログを、既存のオフィス入退室データや勤怠システムと突き合わせて管理する体制が構築された。
「弊社はオフィスへの出社とリモートワークを従業員自身が選択できる環境となっており、約半数の従業員がリモートワークを実施しています。いつでも・どこでも業務ができる環境となっているため、長時間労働を抑制するために、セキュリティオーディターから確認できるMicrosoft 365の監査ログと、入退室や勤怠の時間に差異があるなど、長時間労働の可能性がある働き方の授業員がいれば、状況をヒアリングしています。 これにより納得感のある労務管理ができており、セキュリティオーディター導入後は、実際に長時間労働が約6割減少できています。」(森岡氏)
さらに、その他の社内の業務改善として、セキュリティオーディターのアラート時に利用しているFAQ通知の機能を応用して、社内のヘルプデスク業務の問い合わせ件数削減にもつなげることができた、と梶本氏は話した。
「直近では定額減税に関する質問など、多くの従業員から個別に同じ質問が寄せられるものや、健康診断に関する問い合わせなど、質問が集中する時期があるものを、チャットボットのFAQに誘導することにより、従業員本人による自己解決を促し、問い合わせ件数を80%ほど削減することができました。総務部門では時間外労働を約60%削減でき、その分、新しい業務やコア業務に注力できるようになりました」と梶本氏は説明した。
今後の展望について、森岡氏は「データ連携の仕組みを強化したいと考えています」と話す。現状、Microsoft 365の監査ログはすべてセキュリティオーディターで管理できているが、労務管理のための入退室システムや勤怠システムとのデータ照合は手作業で行っている。そのため、システム間のデータ連携を進め、さらに一元管理できる仕組みを考えていきたいということだ。
また、監査ログの活用についても、今後は従業員へのアラート通知の際に、どのような操作がポリシーに違反し、それによってどのようなセキュリティリスクがあったのかまで伝えることができるようにしていきたいという。リスクある操作内容やその根拠を示すことができれば、従業員への説得力がさらに高まり、より意識向上につながると考えているということだ。
最後に、今後エムオーテックスに期待したいことについて、城氏は、「新機能のリリースなどによる機能改善、ユースケースなどの継続的な情報提供を通してサポートをお願いしたいと考えています」と述べ締めくくった。
※本事例は2024年7月取材当時の内容です。