株式会社クレディセゾン (以下、クレディセゾン) では、近年お客様の消費活動がスマートフォンを中心とするデジタルへとシフトした状況を踏まえて、2019年にテクノロジーセンターをゼロから立ち上げ、スモールスタートで内製開発を開始することを1stフェーズとして、デジタルシフトを開始。2021年にはCSDX VISIONを策定し、2ndフェーズとして、従来のIT部門とテクノロジーセンターを統合し、CSDX推進部を設立。そして 2023 年から開始された 3rd フェーズでは社員全員の生産性を向上させることを重要テーマとして CSDX をさらに加速。業務プロセスの完全デジタル化に向けて IT 環境を全面的に刷新し、Microsoft 365 E5 をはじめとする最新のテクノロジーをフルに活用したゼロトラストセキュリティへの移行を開始しています。
2024/08/23
情報分類を起点とした「生産性を高めるセキュリティ環境」の実現へ。クレディセゾンは Microsoft 365 E5 をフルに活用したゼロトラストセキュリティへ移行
CSDX 3rd フェーズへ向けて Microsoft 365 E5 をフル活用した新環境を構築
クレディセゾンが推進している CSDX VISION は、お客様の新たな体験を創出する CX (Customer Experience) と、社員の体験を転換する EX (Employee Experience) の 2 つを柱として、デジタル時代を先導する企業を目指すものです。
2019 年にテクノロジーセンターを設立し、スマートフォンのアプリケーション開発などの内製化に着手することから始まったこの取り組みは、現在 3rd フェーズが進行。リモートワーク環境の拡大や、デジタル化によるお客様体験の改善、活動データの分析・活用による意思決定の迅速化など、ビジネスの全局面にわたって新たな価値を創出する「業務プロセスの完全デジタル化」を推進しています。
この大規模なプロジェクトでは、旧来の IT インフラに手を加えるのではなく、まったく新しい IT インフラを別途構築。最新のセキュリティポリシーを適用させた Windows PC を配布した社員から順に、新しい環境へと移行させています。
クレディセゾン CISO 小野 雄太郎 氏は、旧 IT インフラとの一番の違いであるサイバーセキュリティの在り方について、次のように説明します。
「今までは境界型セキュリティで守りを固めてきました。しかし、リモートワークが日常化し、さまざまな SaaS アプリケーションの活用が進んでいる今となっては、セキュリティリスクに対応しきれなくなっていました。そのため、新しい環境ではゼロトラストセキュリティを採用しています」
クレディセゾンのサイバーセキュリティは、公益財団法人金融情報システムセンターの推奨する『FISC安全対策基準』に対応してきました。ゼロトラストセキュリティの導入に際しても、FISC 安全対策基準を十分に考慮したうえ、NISTサイバーセキュリティフレームワーク等の業界標準のフレームワークを参考に整備を進めています。
そして、クレディセゾンのゼロトラストセキュリティ実現に大きく貢献しているのが、Microsoft 365 E5 であると小野 氏は言います。
「元々当社では、セキュリティ強化を見込んで Microsoft 365 E3 に E5 Security をプラスしたライセンスを EA (Microsoft Enterprise Agreement) 契約で保持していました。そこへさらに、コンプライアンスとガバナンスの徹底を図るべく、E5 Compliance のライセンスも追加契約していた経緯があります。今回のプロジェクトに際しては、EA 契約の 3 年が経過したタイミングで、Microsoft 365 E5 にライセンス契約を変更し、その機能をフルに活用したゼロトラストセキュリティの実現に踏み切っています」
約 7,000 台の PC を Intune で一元管理
小野 氏が目指すゼロトラストセキュリティの最終形は「ユーザーに何も意識させることなく安全を守り、生産性を向上させることに貢献するセキュリティ」であると言います。
その理想はすでに、ユーザーが新しい Windows PC を受け取るところから始まっています。
約 4,000 名の社員に PC を配布するに際しては、マイクロソフトが法人向けに提供している Windows の自動デバイス展開サービス「Windows Autopilot」を活用。クレディセゾンが求めるセキュアなデバイス構成をクラウド経由で展開できるため、ユーザーは新しい PC を起動させ、自身のアカウントにサインインするだけで簡単にセットアップすることができます。
ユーザーおよびデバイスの ID は、クラウド認証基盤である Microsoft Entra ID (旧称 : Azure AD)で一元的に管理されているため「誰が」「いつ」「適切なデバイス」から社内システムおよび各種 SaaS アプリなどにアクセスしているかが確実に管理されており、ユーザーが特に意識することなく、安全が保たれるようになっています。
前々職から Microsoft 365 (初期名称は BPOS = Business Productivity Suite。Office 365の前身) を活用してきたという小野 氏は「今現在の機能の充実ぶり」に感動してもいると振り返ります。
「私個人の経験から、今回特に重視したのは Microsoft Intune のカバー範囲ですね。Windows Intune という名称だった頃は、正直言って細かいところに機能が足りず、現場で管理する私たちが困ってしまうようなことが多々ありました。それがコロナ禍の少し前あたりから改善されていき、今ではデバイス管理に不自由を感じることがありません。おかげで、社員が利用する約 4,000 台の PC に加えて、24 時間稼働しているコールセンターの共有 PC まで合わせると約 7,000 台の PC をクラウド上の Intune で一元管理できるようになりました。これは大きな変化です」
さらにセキュリティ強化策として、Microsoft 365 全体の脅威の防止、検出、調査、修復に貢献する Microsoft Defender XDR などを活用。
2024 年には、SaaS アプリとのアクセス監視の強化を可能にする Microsoft Defender for Cloud Apps も稼働。クラウド上へのファイルのアップロードやダウンロードなども管理できるようになります。ネットワーク監視を自動化する Microsoft Sentinel も順次稼働し、モダンSOC (Security Operation Center) の運用に役立てられていくと言います。
Microsoft Purview の活用深化に向けた「情報分類」
そして「生産性を向上させるセキュリティ」にとってもう 1 つ重要なポイントとなるのが、クレディセゾンのデータ資産を安全・安心に運用するためのガバナンスとコンプライアンスです。
この対策を強化していくために、組織全体のデータ資産を可視化して管理・保護する Microsoft Purview の活用深化を 2024 年夏から進めていく予定であると前置きし、小野 氏は「情報の機密度をもってデータの扱い方を変えることが重要」だと強調します。
「当社でも紙中心の時代から、機密情報の取扱いについては厳格なルールの上に運用してきました。しかし、業務プロセスのすべてをデジタル化していくことで、よりきめ細やかな運用が求められるようになったとも言えます。ここで私たちが重要視していることが『機密度をもって扱い方を変える』ということです。これまでは業務ごとに『持ち出し禁止』であったり、ファイルの『アクセス範囲の制限』であったりを規定していました。そのため、その業務に携わる関係者は業務ごとに制限されたルールを把握して、取り扱いを決定する必要がありました。Need to Know の原則を守るためには、ユーザーが業務ごとにルールを守るための制御を確立する必要があり、ユーザーにとっても運用が複雑化していました。業務にかかわる人ごとのルールではなく、情報を機密度に応じて正しく分類し、その分類に応じて守る仕組みをシステムに組み込むことが、結果的によりきめ細かく、また統制の取れた情報の保護につながると考えています」
小野 氏は、この考え方を社内に啓蒙するために、日本マイクロソフトからの「ある提案」を受け入れたと言います。それが、日本マイクロソフト CSO 河野 省二によるワークショップの開催でした。
「セキュリティを簡単にするための情報分類」と題されたそのワークショップでは、“ガバナンスと PDCA サイクル” や、日本マイクロソフトの分類マトリクスを例とした “シンプルな分類のためのマトリクス” などを説明した上で、「一般的によく利用されている「社外秘」というラベルでは (情報分類と権限管理を) どのように定義するのが良いでしょう」といった設問を提示。チームでディスカッションを行うなどのプロセスを経て、社内に理解が広がったと言います。
小野 氏は次のように説明します。
「機密度に応じた情報の分類さえきちんとできれば、そのデータの取り扱い方は、システム上でさまざまに活用することが可能です。情報の分類に応じたコントロールがシステム側で徹底されれば、ユーザーも安心して、快適に作業できるようになります。これは生産性の向上にも大きく影響するポイントです。ただし、情報の分類方法を決定することは容易ではありません。当社でも、現在議論・検討を重ねて、新たな重要情報の管理の枠組みを制定しています」
生産性を高める環境の構築に必要な機能が揃った Microsoft 365 E5
クレディセゾンの CSDX 3rd フェーズは 2024 年 8 月現在、進行中ではありますが「手応えはある」と小野 氏。Microsoft 365 E5 の機能を状況に応じて徐々に活用をレベルアップさせていく予定であると言います。
「セキュリティという言葉によってユーザーに対する制限・制約を増やすのではなく、『生産性を高める環境』をセキュアに実現するために必要な機能・サービスが揃っている、それが Microsoft 365 E5 によって実現できる世界なのだと思います。これは、高度なセキュリティ保護を個々人が意識する必要なく、柔軟性のある業務プロセスで業務を行いつつ、機密性の高い情報を正しく守りながら業務ができる環境を作るという、わたしたちの目標とも合致しています」
また、Copilot for Microsoft 365 のような生成 AI も最大限に利用したいと、締めくくります。
「生産性を高める環境づくりとしては、生成 AI にも期待しています。現在、新しい IT インフラへと移行済みの社員たちは、Copilot for Microsoft 365 もすでに利用しており、より効果的な活用方法を確立できるよう模索しています。当社の内製開発部隊であるテクノロジーセンターでも、API を使って営業なら営業向けのプロンプトを仕込んでみたり、コールセンターのオペレーションであれば、お客様に向けたメールをレビューしてくれるプロンプトを仕込んでみたりと、ユーザーが個別に工夫しなくとも使えるようなシステムを試作したりしています。これらも、情報分類をベースとしたアクセス制御ができることによって、利用者がアクセスできるべき情報を活用できるようになります。これから先『CSDX VISION』が具体的に目に見え、社員それぞれが効果を実感できるようになることが楽しみです」
“セキュリティという言葉によってユーザーに対する制限・制約を増やすのではなく、『生産性を高める環境』をセキュアに実現するために必要な機能・サービスが揃っている、それが Microsoft 365 E5 によって実現できる世界なのだと思います”
小野 雄太郎 氏, CISO, 株式会社クレディセゾン
関連の事例を詳しく見る
次のステップに進みましょう
Microsoft でイノベーションを促進
実績あるソリューションで成果を追求
目標達成に貢献してきた実績豊かな製品とソリューションを、貴社の業績をいっそう追求するためにご活用ください。
Microsoft をフォロー