シンプレクスは、厳しい監査基準をクリアした Copilot for Security を活用。Microsoft 365 E5 を活用したゼロトラストセキュリティ最大の長所である “XDR” の価値を強化

エンドポイントからネットワーク、クラウドまで一元管理する XDR の実現

金融業界などに対して IT サービスを提供するシンプレクスでは、社内のシステムやネットワークおよび PC などのデバイス管理などにおいても、金融機関と同じガイドライン「FISC安全対策基準」に則した運用を実施。クラウドサービスに関しても、同基準に則した監査をクリアしたサービスのみを、業務に利用しています。

当社はサイバーセキュリティ対策を従来から厳しく行ってきましたが、2020 年のコロナ禍に直面すると、根本的な変化が求められました。それが、ゼロトラストセキュリティへの移行でした。

シンプレクスのサイバーセキュリティを担う、クロス・フロンティアディビジョン アソシエイトプリンシパルの佐々木 塁 氏は次のように振り返ります。

「2020 年のコロナ禍を受けて、当社の働き方も一気に変わりました。テレワークが中心になったことで、従来の境界型セキュリティでは安全を守り切れなくなってしまいました。そこで、『誰が』『どこから』『どのデバイスで』アクセスしているかを確実に把握・管理する “ゼロトラストセキュリティ” への移行を実施しました。この時、中核を担うサービスとして採用したのが、Microsoft E5 Security でした」

佐々木 氏は、Microsoft E5 Security をゼロトラストセキュリティの要として採用した理由について次のように説明します。

「大前提として、Microsoft 365 E5 が FISC安全対策基準を考慮したゼロトラストセキュリティの要件を満たしていたことが挙げられます。それに加えて、他社のサービスと比較して最も魅力的だったことは、エンドポイントとクラウド、そしてネットワークという複数のレイヤーを統合的に監視し、検知した脅威に対応できる XDR (Extended Detection and Response) を実現していたことです」

こうしてシンプレクスでは、Microsoft Entra ID (旧称 : Azure AD) を認証基盤としたゼロトラストセキュリティの運用を開始。ID 監視を安全に保護する Microsoft Defender for Identity や、クラウド アプリを保護する Microsoft Defender for Cloud Apps などから得られるデータを Microsoft Defender XDR (旧称 : Microsoft 365 Defender) に統合することで、組織全体の保護および脅威検知を可能にしています。

「これによって金融機関のシステム委託先として必要十分なサイバーセキュリティを、さらに強化することができた」と佐々木 氏は強調します。

さらに 2021 年にはネットワーク監視を自動化するため、Microsoft Sentinelを導入。SOC (Security Operation Center) の運用に活用しています。

そして 2024年 3 月。このゼロトラストセキュリティ環境の価値を、さらに高めるための取り組みが行われました。それが、Microsoft Copilot for Security の EAP (Early Access Program) への参加です。

金融機関においても安心して活用できる生成 AI

シンプレクスがMicrosoft Copilot for Security の EAP に参加した理由について、SOC 運用を担当する クロス・フロンティアディビジョン アソシエイトプリンシパル 中野 昇 氏は「Copilot for Security を正式に採用できるかどうかを判断する必要があった」と振り返ります。

「生成 AI 活用に関しては、多くの企業で議論が行われているかと思います。一番の懸念は『大規模言語モデルの学習』に社内の機密データ / 重要データが利用されてしまわないかという点にあります。しかし実際に検証した結果、Copilot for Security は当社の監査基準を余裕でクリアするほど安全で、言語モデルの学習に社内データが利用されることはありませんでした。Copilot for Security が国際標準化機構 (ISO) の情報セキュリティマネジメントシステム (ISMS) の ISO 27001、27017、27018 の認証を取得していることも安心につながっています。また、日常業務におけるデータアクセスに関しても Entra ID を要とする権限管理と連携して、データの安全が守られています。Copilot for Security を使用するユーザーがどのようなプロンプトを書いても、そのユーザーのアクセス権限で許されたデータにしかアクセスできないため、権限を超えた回答を得ることはできないのです」

こうして、Copilot for Security が安全に活用できることを確認したシンプレクスは、7  月に 公式版のライセンスへ移行し、継続活用することを決定しています。

中野 氏はシンプレクスが Copilot for Security を正式に採用した理由について「投資する価値が十分にあったから」と、力強く言い切ります。

「EAP 期間中にも『日本語プロンプトへの対応』など、機能が次々と追加されていきました。日本語での問いに、日本語で回答してくれるようになったことは私たちにとっても有難かったですし、その精度もあっという間に向上していきました。インシデント工数削減に対する手応えも十分に感じており、将来の活用深化に向けた期待は膨らむ一方でした」

インシデント対応工数の大幅な削減を実感

シンプレクスでは現在、Microsoft Defender XDR と Copilot for Security との連携から本格運用を開始していますが、「EAP の段階から工数削減を実感していた」と中野 氏は説明します。

「導入効果を得られた大きな要因の 1 つは、Copilot for Security と Azure Logic Apps の連携が容易になったことです。従来からインシデントが発生すると Microsoft Defender XDR からメッセージングアプリに通知が送られるようになっていたのですが、Logic Apps のおかげで、Copilot for Security によるインシデントの概要も一緒にメッセージングアプリに送ることができるようになっています。その通知では、インシデントをトリアージ (対応優先度の分類) した上で、当社の過去事例を踏まえた対処法のアドバイスまで含まれています。これだけの情報をスマートフォンからでも確認できるようになっていますので、初期対応の速度は大幅に向上しています」

こうした工数削減効果を「数値化することは、まだ難しい」としながら、「マイクロソフトが公表していたリサーチ結果と大きく変わらないだろう」と中野 氏は続けます。

「マイクロソフトが公表していた調査結果 (Copilot for Security に関する経済調査) では『すべてのタスクで 22％ の高速化と 7％ の正確性向上を実現した』とありましたが、私たちのチームでも、同様の効果が得られているだろうと感じています。Microsoft Defender XDR で対応するインシデント後の『修復』に関しても、わずか 2 クリックで完了できるようになっています。ログを照会する KQL の作成もサポートしてくれますし、インシデントへの対応は狙い通り効率化できています」

セキュリティ人材の育成にも手応え

そしてもう 1 つ重要な効果として「SOCに新規参画するメンバーのキャッチアップ工数の削減」についても十分な成果があったと、中野 氏は言います。

「当社の SOC 業務を行うに際してキャッチアップするべき情報は、XDR 全体の構成を把握するところから始まり、インシデント発生時の対処方法など多岐にわたります。そのため、非常に工数がかかっていました。一方で、メンターとなるシニアメンバーは SOC 以外の業務も兼務しており、新規参画メンバーのキャッチアップに要する労力をいかにして抑えていくかということが非常に大きな課題となっていました。しかし今は Copilot for Security を『相談相手』として活用することで、個々人の学習にかかる労力を大幅に削減できています」

Copilot for Security を「相談相手」とする活用は、新規参画するメンバーにとっても、長く活躍しているシニアメンバーにとっても、等しく有用であると中野 氏は続けます。

「セキュリティに関して学習するべき事柄は非常に多く、1 人でそのすべてを追い切れるわけではありません。新規参画メンバーしてみれば『SOC 対応とは何をするものか』という初歩的な質問から、気楽に投げかけることができる相手になります。シニアメンバーであれば、たとえば『この脅威アクターはどういう存在だったか』と質問すれば教えてくれる、有益な相手になります。そのほか、Windows OS に関することでも、ネットワークに関することでも、気兼ねなく相談できる相手になります。私自身、まだまだ知らないことが沢山ありますから。幅広い知識を学習するためのツールとしても大いに価値があります」

こうした活用について、SOC の前任者であった佐々木 氏も「正直に言って、うらやましい」と続けます。

「私たちが SOC を担当していた頃は、Microsoft 365 E5 全体の機能を把握していないとインシデントに対応できませんでした。しかし Copilot for Security が導入された状況を見ていると、とても効率的になっている印象があります。今だと Microsoft Defender XDR だけを理解している担当者でも、SOC 業務の一端を担うことができます。それぐらい、セキュリティ担当者に対するサポートが手厚くなった。まさに『副操縦士 (Copilot)』が隣に座っているかのような印象です。昔の現場を知っている者としてはうらやましい限りです」

中野 氏も「副操縦士」という言葉にうなずきます。

「Copilot for Security を活用していると、KQL作成などにも長けた高度セキュリティ人材を雇ったような感覚がしてきます。しかも 24 時間 365 日、疲れることなく稼働してくれます。責任主体は私たち人間にありますが、心強いパートナーだと言えるでしょう」

Entra ID の 2 つの新サービスにも期待

シンプレクスにおける Copilot for Security の本格活用はまだ始まったばかりですが、「今後の活用拡大に向けた検討も進んでいる」と中野 氏は言います。

「今後期待している効果として真っ先に挙げられるのが『Entra ID での管理工数削減』と『Microsoft Intune によるデバイス管理工数削減と質の向上』の 2 つです。Entra ID については、IDaaS (IDentity as a Service) 管理の効率化などが図れると助かります。また、Intune のデバイス管理に関しては、現在のデバイスに適用されているポリシーを踏まえて、修正点はどこか、何をしたらいいかを Copilot for Security が提案できるようになるとうれしいですね」

また、そのほかにも Microsoft Sentinel と Copilot for Security の連携活用や、データ資産全体の保護・管理とガバナンスに貢献する Microsoft Purview の導入による「お客様とのデータの受け渡しに関するリスクの低減」など Microsoft 365 E5 のさらなる活用深化も検討されていると、佐々木 氏は言います。

「Microsoft 365 E5 のゼロトラストセキュリティに Copilot for Security を追加することで、XDR の価値がさらに際立ちます。今はまだインシデント検知後の対応が主になっていますが、将来的に予防まで担ってくれることを期待しています」

最後に佐々木 氏は言います。
「新たにリリースされたばかりの Microsoft Entra Private Access と Microsoft Entra Internet Access が加わったことで、組織のプライベートネットワークと、SaaS アプリケーション活用までが強力に保護されることになり、Microsoft 365 E5 が実現するゼロトラストセキュリティが完成形に近づくのではないでしょうか。機能の面でも、ライセンス管理の面でも “XDR” 実現のトップランナーとして、マイクロソフトには今後も期待しています」