株式会社ソルパックは情報通信分野で、IBM Power Systemsのコンサルティング・開発導入からBPOサービス、デジタルマーケティングまで幅広い事業を展開している。
同社では、事業拡大に伴う人員増を背景に、社内の業務環境を「Microsoft 365」へ移行したが、多機能なMicrosoft 365 をより安全に活用するため、LANSCOPE プロフェッショナルサービスの「Microsoft 365 セキュリティ診断」を導入した。その経緯や導入後の効果などについて、同社のコーポレート本部 情報システム 社内インフラマネージャー 松島 雅秀 氏に話を伺った。
同社では事業拡大に伴い、今後も社員数が増加していくことを見越して、業務アプリケーション基盤をMicrosoft 365 へと移行した。松島氏は、「ユーザーアカウントやデータの移行などは、IT企業としての知見を活かし、自社内で対応できると判断しました」と当時を振り返る。
そして、移行が完了し、Microsoft 365 の運用を開始した同社では、メールやSharePointなどでの基本的なセキュリティ設定も自社内で対応していた。しかし、運用経験を積む中で、Microsoft Entra ID(旧称:Azure Active Directory)のアクセス状況やアプリの利用履歴などに関しては、専門的な視点での確認が必要であることに気づいたという。
松島氏によると、「自社で実施できる基本的な対応や対策だけでは見えにくい部分もあり、安心してMicrosoft 365 を活用し続けるためには専門家による診断が必要だと感じました」ということで、こうした経緯から、同社では診断サービスの利用を検討し始めた。
Microsoft 365 に特化した診断サービスの選定において、同社では複数のベンダーを比較検討し、最終的にエムオーテックスのLANSCOPE プロフェッショナルサービスが提供する「Microsoft 365 セキュリティ診断」を選定した。松島氏によると、選定の決め手になったポイントは大きく3つある。
まず、価格提示が明瞭であった点だ。
「費用感が明確に提示されていた点を高く評価しました。ベンダーと時間をかけて要件のすり合わせや見積もり算出が必要なケースも多い中、エムオーテックスは診断のメニューや価格体系が明確だったため、社内での説明や手続きを円滑に進めることができました。」(松島氏)
2点目は、エムオーテックスの豊富な診断実績と知見である。
「以前からエムオーテックスとは取引があったことに加え、さまざまなセキュリティプロダクトやサービスを提供されており、豊富なノウハウや知見に期待できました」と松島氏は話す。
そして、最も大きなポイントとなったのが、診断後の充実したアフターサポート体制だ。診断結果の報告まででもって納品・完了となるベンダーやサービスが多い中、エムオーテックスの診断サービスは、診断で発見された課題について、診断実施後3カ月間の問い合わせサポートが付帯する。
診断結果について、専門的知見を持つセキュリティエンジニアへ気軽に質問ができるようになっており、「診断して終わりではなく、実際に課題を解決するところまでサポートしてもらえるのは非常に心強いと感じました」と松島氏は評価した。
なお、診断の実施に際しては、「基本的なプランでも標準的なセキュリティ項目がカバーできるということでしたが、弊社では自社では把握しきれない潜在的なセキュリティリスクも発見したいという希望がありました」ということで、基本診断プランも検討したが、より包括的な診断プランを選択したと松島氏は説明した。
そして、こうした診断内容の充実度も同社の実施判断の後押しとなったということで、「上司も、『このレベルの診断が必要だ』と納得し、より高度で専門的な診断を依頼することができました」と松島氏は振り返る。CISベンチマーク(セキュリティ設定の業界標準指標)に加え、クラウドサービス事業者からの情報や最新のセキュリティ動向を踏まえた約130項目の診断が実施されることとなった。
実際の診断は、Microsoft 365 の管理画面をエムオーテックスのセキュリティエンジニアがリモートでチェックするかたちで進められた。システム環境の設定変更などは不要であるため、「社内アナウンスも要らず、スムーズに実施できました」と、松島氏は診断による業務への影響を最小限に抑えられたことに満足の意を示した。
そして、診断の効果として、松島氏は何より「セキュリティ状況の可視化」を挙げた。
「診断結果のスコアを受け取った際には、当初『思ったより低い』と感じ、セキュリティが不十分な状況なのかと不安になりましたが、エムオーテックスから一般的な企業のスコア水準と比較して平均的であるとの説明を受け、安心できました。」(松島氏)
専門家による、業界全体の傾向と比較した客観的な評価が得られたことで、安心感と信頼性につながったということだ。
また、詳細な診断レポートの内容も高く評価された。「Microsoft 365 の機能・設定項目は多岐にわたっており、画面上の項目名や説明文だけでは、その影響度が分かりにくいものが多いです。しかし、エムオーテックスのレポートには『設定を変更するとどのような問題が起きる可能性があるか』といった、丁寧な解説が付いていました。」(松島氏)
こうした詳細なレポートにより、同社では設定変更時の判断を格段に下しやすくなったという。「『これは許容しよう』『これは使っている機能だからオフにできない』といった判断が非常に下しやすくなり、判断基準が明確になったことで、影響範囲の洗い出しのための調査や確認にかかる負担が大幅に軽減されています」と松島氏は振り返った。
現在、同社では、このレポートを基にセキュリティリスク値の高い項目から優先的に対応を進めている。「すでに多くの項目で改善が完了し、Microsoft 365 の管理画面で確認できるセキュリティスコアも目に見えて向上しています。これにより、セキュリティ面での安心感も増しました。」
Microsoft 365 は頻繁に機能追加や変更が行われるため、常に変化するセキュリティリスクに対応し続ける必要性があり、多くの企業・組織において、その対応にかかるリソースや専門的知見が課題となっている。
「弊社も可能な範囲で追随していきたいと考えていますが、現実的にあれだけの範囲を網羅するのは不可能だと感じています。今後は定期的な診断を実施できるような運用体制を整えていきたいです」と松島氏は述べ、定期診断の必要性を示唆した。
なお、こうした定期診断が必要な背景として、進化するAIからの提案を受けたユーザーの利用動向に注目していると松島氏は補足した。
「最近感じているのは、AIの進化によって、ユーザーが情報システム担当者も把握できていない機能を提案され、使い始めてしまっている点です。」(松島氏)
Microsoftが新しい機能をリリースするだけでなく、ユーザー自身も日常的にアプリケーションやサービスを使用する中で新たな機能を発見し、利用し始めているケースがあるということで、 「そうした部分も含めてセキュリティをしっかりしていきたいと考えており、機能性とのバランスを見極めながら運用していきたいです」と松島氏は話した。
最後に、今回診断サービスを受けて感じたこととして、松島氏は2つのポイントを挙げた。
まず、「システムをリリースする前には、専門家に一度しっかり診断してもらうことが非常に重要だと感じていました」と強調した。運用の巻き戻しや社内調整といった負荷も大幅に軽減することができ、安全な状態で使い始めることができるためだ。「さまざまなベンダーに構築や運用を依頼するケースもあると思いますが、サービスのリリース前には診断を実施するのが一番良いと、自社の経験を踏まえて感じました。診断サービスの利用を検討されている企業様がおられましたら、こうした点を利点としてお伝えしたいなと思います」と述べた。
そして、もう1点、診断サービスを提供するベンダー側への期待として「ぜひ今後、新しい機能や差分に的を絞った診断サービスを提供していただきたいなと思います。定期的な診断を実施する運用体制への支援を期待しています」と語り、より柔軟なサービス展開への期待を示し、締めくくった。
※本事例は2025年7月取材当時の内容です。