1980年に設立されたMooreみらい監査法人は、上場企業を中心に会計監査などを手がける監査法人である。2022年には2つの会計事務所が合併し、現在の体制となった。同法人では、コロナ禍を契機にクラウド活用が進み、業務基盤としてMicrosoft 365を導入。利便性を重視しながらも、セキュリティ強化を常に重要な課題と捉えており、専門性の高いMicrosoft 365の設定について外部の診断サービスを利用することとなった。今回、同法人に所属する公認会計士で、同法人の情報システムも担当する佐野 修 氏に、エムオーテックスが提供する診断サービス「LANSCOPE プロフェッショナルサービス」の中でも、低コスト・短期での診断が可能な『セキュリティ健康診断パッケージ』を活用し、組織内のセキュリティ課題解決に取り組むこととなった経緯と、診断サービスの利用効果を伺った。
佐野氏によると、コロナ禍を契機に、監査業務を取り巻く環境は大きく変化したという。従来は紙媒体での作業が中心であったが、コロナ禍以降は急速にデジタル化が進み、同法人においてもクラウドサービスの導入につながっていった。まず合併前は、Microsoft TeamsをWeb会議・チャット・ファイル共有などに利用していたが、合併後はさらなるクラウド化と、組織規模の拡大も相まってMicrosoft 365に移行。メール・文書・ストレージ・管理権限など、全社のIT基盤へと拡大したということだ。
Microsoft 365の導入・運用にあたっては、クラウド化による利便性を最大限に享受したい思いであったが、Microsoft 365は多機能ゆえに機能設定が幅広く、情報システムを専任とする人材が限られている中では、対応が難しい場面も多かった。その最たるものが「セキュリティ設定」である。佐野氏は情報システム担当ではあるが、本職は公認会計士であり、情報システムの専門ではないが兼務担当している状況にある。「セキュリティ設定が適切かどうか、自分だけでは判断に迷うケースがあり、組織内に対しても、その設定で最適なのか明確に示すことが難しいことに課題を感じていました」と振り返った。
加えて、セキュリティを高めれば、利便性は損なわれるという二項対立の問題がある。たとえばゲストユーザーの招待を制限すれば安全性は高まるが、クライアントとのやり取りに支障をきたしてしまう、といったことだ。佐野氏は「セキュリティを強化しながら、業務に必要な柔軟性をどう確保するかが悩みでした」とも語る。セキュリティ水準の向上と業務効率の両立は、常に検討すべきテーマであった。
監査法人としてクライアントの内部統制やガバナンスの健全性を確認する立場にある以上、自らの情報管理体制も高いレベルを維持する必要がある。「そのためにもセキュリティが重要であることを組織内に理解してもらうには、第三者視点での診断とアドバイスが不可欠だと考えました」と佐野氏は述べる。こうした背景から、同法人はMicrosoft 365の運用に潜むリスクを客観的に洗い出し、組織全体のセキュリティ意識を高める目的で、Microsoft 365に特化した診断サービスの利用を検討し始めた。
診断サービス導入にあたっては、既存のセキュリティ製品の導入実績を踏まえ、同じエムオーテックスが提供する「LANSCOPE プロフェッショナルサービス」のMicrosoft 365セキュリティ診断を中心に検討を進めていった。
同法人では2023年頃から、業務用PCやスマホなどのIT資産管理の一元管理を目的に、エムオーテックスのIT資産管理・MDM「LANSCOPE エンドポイントマネージャー クラウド版(以下エンドポイントマネージャー)」を導入しており、すでにエムオーテックスからセキュリティ製品導入の実績があったことに拠る。佐野氏は、「製品の導入当初からサポート体制も含めて安心感があり、今回検討した診断サービスも安心して任せられると思いました」と語る。監査法人として取引先には厳正な審査を行っているため、すでに取引実績のあるエムオーテックスは安心して選択できる存在だった。
なお、佐野氏がエムオーテックスの診断サービスを知ったきっかけは、同社のオンラインセミナーであった。セミナーではMicrosoft 365のセキュリティリスクや定期的な設定見直しの重要性を紹介しており、「日々の業務で直面していた課題に直結していたため、非常に関心を持ちました」と佐野氏は振り返る。
そして、初めて外部の診断サービスを利用するということで、LANSCOPE プロフェッショナルサービスが提供している診断プランに、まずは重要なセキュリティ設定に対象を絞って診断を実施する「健康診断パッケージ」がある点も評価された。
「Microsoft 365の潜在的なリスクを段階的に可視化できるので、社内の理解を得やすく、導入に向けた合意形成もスムーズでした。大規模な診断を一度に行うのではなくポイントを絞ることで、現場の負担を抑えながら重要なセキュリティ項目の改善に着手できる点が安心材料になりました」と佐野氏は話す。
こうして、実績に基づく安心感と、導入しやすい診断プランが評価され、同法人ではLANSCOPE プロフェッショナルサービスのMicrosoft 365 セキュリティ診断の利用が決定した。
診断実施にあたっては、まずはヒアリングシートの記入から始まる。佐野氏は「現状を正確に記入することを意識しました。シートに基づいて改めて現状を整理してみると、その過程でもさまざまな気づきを得ることができました」と振り返る。データ収集においてPowerShellを利用する場面もあったが手順は明確で、ヒアリングシートの記入から約1か月でエムオーテックスから報告書が提出されるなど、短期間でスムーズに進行された。
報告書では、優先度付きで多くの改善ポイントが記載されており、佐野氏は「普段あまり利用していない機能についても指摘をいただき、自組織内では気づけなかった新しい発見がありました」と語る。
そして今回、診断を通じて得られた最大の効果は「リスクの可視化」であった。報告書には、どの設定がどのようなセキュリティリスクを生じさせるのか、分かりやすく記載されており、リスクの重大性に応じた優先度も示されていた。佐野氏は、「リスクを軽減するのか、それとも受け入れるのか、ときに経営判断にもつながる具体的な議論を進めるための客観的エビデンスを用意できました」と振り返る。単に“リスクがある”ということだけでなく、“何を優先して対応すべきか”が明確になったことで、理事会や経営会議においてもスムーズに意思決定が行えるようになったと評価した。
加えて、専門家から客観的な指摘は、組織全体のセキュリティ意識を高める効果にもつながったという。「専門家からの助言には説得力があり、安心感と納得感を得られました。組織内でもセキュリティの重要性がより意識されるようになりました」と佐野氏は語り、設定の見直しが単なる技術的対応にとどまらず、会社全体の意識変化へとつながった点を評価した。
なお、今回の診断結果では、今後改善すべき点だけでなく、既存の取り組みが適切であったことも客観的に確認できた。「組織内の専門人材や知見に限りがある中で、自分たちなりに調べながら設定した箇所もありましたが、診断で指摘を受けなかった部分については、結果的に適切に対応できていたことが確認でき、自信につながりました」と佐野氏は振り返った。
また、診断後に一定期間のアフターフォローが付帯していることにも安心感があったとのことだが、報告書に記載された今後の対応方法や解説は、専門知識がなくても非常に理解しやすく、結果としてアフターフォローを利用せずとも自走できた点も評価された。
総じて今回の診断は、同法人にとって改善すべき課題の把握だけでなく、既存の取り組みの妥当性を確認する機会にもなり、組織全体のセキュリティ意識が高まるなど、複数の効果を得られたことが、大きなポイントとなった。
Mooreみらい監査法人では、今後もMicrosoft 365を主要なIT基盤として活用していく方針だ。そのため、一度の診断で終わりにするのではなく、Microsoft 365のアップデートに対応していくため、定期的に診断を実施していくことが重要だと認識している。
佐野氏は、「Microsoft 365は頻繁に更新されるため、認証や外部とのファイル共有設定などに、新たな対応項目やセキュリティリスクが生じていないか、変化に対応していく必要があります」と語った。
今回の診断はクラウドサービスの設定に焦点を当てたものだったが、同法人では将来的に、サーバーを含めた脆弱性診断や、内部脅威・外部脅威リスクへの対応も検討しているという。佐野氏は、「今回をゴールではなく今後の入り口と捉え、必要性と優先度を見極めながら段階的にセキュリティ強化の取り組みを拡充していきたい」と述べた。今後、経済産業省が推進するセキュリティ対策評価制度への対応も見据えて準備を進めていく考えだ。
「会計監査を担う立場として、クライアントと同等以上のレベルで取り組む必要があります」と佐野氏は強調する。同法人では信頼を支える“守りの投資”を続けるとともに、今後もエムオーテックスが提供するサービスの利用やサポート・情報提供に期待しながら、組織全体のセキュリティレベルを高めていく方針である。
※本事例は2025年8月取材当時の内容です。