導入の背景
セキュリティを担保しつつ、業務効率を下げないことを意識
衛星を打ち上げたい人とロケット等の輸送機器に荷物を載せたい人をつなぐ、日本初の「宇宙商社」として注目を集めるスタートアップ企業がSpace BD株式会社(以下、Space BD)だ。技術や夢といったキーワードが先行しがちなこの領域だが、Space BDはそこにビジネスという目線で取り組むことでユニークな立ち位置を築き、多様な宇宙関連サービスを通して、世界を代表する産業と会社を日本発で作ろうとしている。
「地球環境を毀損せずに開発ができる、人類に残された数少ない領域が宇宙です。その領域において、ビジネスを通じて産業を作っていくことを目標にしています」(Space BD 取締役 CFO兼コーポレート部長、赤澤栄信氏)。
Space BDはJAXAの民間パートナーとなっているほか、宇宙開発に取り組む組織や最先端の研究に取り組む大学の研究室などと取引を持っている。「われわれは技術力に立脚したビジネス開発を行いますが、自社の製品やサービスを持っているわけではありません。人と情報こそがSpace BDにとって一番大事な資産です」(赤澤氏)。機密情報を扱う場面も自ずと多く、万一それらが漏れたりするような事態があっては信用に関わる。それどころか「当社の存在意義がなくなってしまうという危機感を抱いています」という。
一方で、競争の激しいこの業界で生き延び、成長を続けるために、スタートアップらしいスピード感を保つことも不可欠だ。「セキュリティレベルをきっちり担保しながら、同時に業務の効率も下げないことを意識し、情報セキュリティに取り組まなければいけないと常に考えています」(赤澤氏)
導入の経緯
IT全般統制の観点から、説明責任を果たせる体制整備が重要な課題
Space BDは立ち上げ期からこれまで、事業開発やマーケティング、エンジニアなど多様な人材を集め、少数精鋭で活動してきた。このため「皆が目に見える範囲で仕事をしており、どんな情報を持っているのかがある程度把握できていました」(赤澤氏)
だが、急速に成長する事業に合わせ、ジョインしてくる社員も増えている。社員数が40人を超え、プロジェクトも増えてきた今、社員それぞれがどのような情報を扱っているかが完全に把握しきれない環境になりつつあった。
もちろん、機密情報を守るための対策は実施していた。最初からオンプレミスではなくクラウド活用を念頭に置き、普段の業務はGoogle Workspaceで行ってアクセス制限をかけるとともに、端末にはアンチウイルス製品を導入することで、最低限の水準を担保してきた。
しかし「それ以外のクラウドサービスへのアクセス管理となるとグレーゾーンでした。また、セキュリティ事故はあってはなりませんが、万が一起こってしまったときに『何が起きて、どういう経路で情報が漏れてしまったのか』といった経緯を説明できる状態にないことが課題でした」(赤澤氏)
しかも同社はIPOを目指している。IT全般統制の観点からも、ログを取得し、説明責任を果たせる体制を整備していくことは重要な課題だった。
導入の効果
身の丈に合った『ちょうどいい』提案に、うれしい驚きを覚えた
そんなときにたまたま、共通の知人を介してNRIセキュアに相談する機会を得た。NRIというからには、大手金融機関のような数千人単位の大企業を相手にしてきた経験を元にガチガチのセキュリティを提案してくるものだ——という先入観を持っていた赤澤氏だが、いい意味で裏切られたという。
「今のSpace BDのフェーズや経営をきちんと理解した上で、『ちょうどいい』レベルのセキュリティを提案してくださいました」(赤澤氏)。かつてITソリューションを提供する立場に立ったこともある赤澤氏としては、特定のソリューションを売らんかなでごり押しすることなく、身の丈に合った提案が得られたことに、うれしい驚きを覚えたという。
Space BDで働く社員は多様で、客先に出向く営業もいれば、海外とオンライン会議を行う場面も多く、またリモートワークでお客様やJAXAと技術的な調整をするエンジニアもいる。しかもGoogle Workspaceを活用していることから、守るべき情報資産もオフィスの内外に散在している。NRIセキュアはその中で、社員それぞれの働き方の自由さ、柔軟さを担保しながらセキュリティを高める方法を提案した。
具体的には、クラウドベースで管理が可能な「PC Check Cloud」を各PCとスマホに導入し、デバイスの状況や資産情報を一元管理する体制を整えた上で、Google Workspaceをはじめとするクラウドサービスへのアクセスを一元管理するIDaaSサービス「Okta」を導入し、アカウントの一元管理を実現しつつ、シングルサインオンによってユーザーがシンプルに各種サービスを活用できる環境を整えた。さらに「Netskope」を活用して、クラウドサービスの制御を行う仕組みとした。
最初の「ホップ」では、3つのソリューションを組み合わせて、誰がどのような情報にアクセスしているかログをとり、可視化までを実現する。NRIセキュアでは、Space BDの業務を妨げず、それでいて守るべきラインを守るため、本当に漏れてはいけない通信は厳しく制御する一方で、業務上必要なやりとりは許可するように設定のチューニングを行った。合わせて警告画面のカスタマイズも行い、従業員が心理的負荷を感じずに利用できるようにした。
次の「ステップ」では、より細かな制御や検知を実現していく計画だ。そしてSpace BDがさらに大きく、エンタープライズクラスに成長した「ジャンプ」の段階では、EDR製品やSOC体制の整備も含めた総合的な対策を整え、攻撃の遮断なども視野に入れていく。
図:Space BD社の社内システムの概要図
今後の展望
ISMS取得の実現と「ゼロトラストセキュリティ」を体現
Space BDでは2021年1月から本格的に導入作業を進め、11月時点では10名程度でパイロット運用を行っている。「今のところ、まったく問題なく利用できています」(赤澤氏)といい、早期に全社に拡大していく方針だ。同社は専任の情報システム担当者を置かず、運用は外部にアウトソーシングしているが、クラウドベースということもあり、実質的に一体となって運用できている。
一連のセキュリティ対策はISMS取得という成果にも結びついている。「タイミングよく導入できました。この先に控えているIPOで求められる要件にも、十分応えられる仕組みになっています」(赤澤氏)。最大の課題だった説明責任についても、クラウドサービスの境界とエンドポイントという最もリスクの高い部分でログをとることによって、果たせる体制を整備した。
社員それぞれが能力を発揮できるよう、利便性とセキュリティの両立を目指してきたSpace BDが構築した体制は、図らずも、場所を問わずに必要な人が、必要なリソースのみに、適切なセキュリティの元でアクセスできる「ゼロトラストセキュリティ」を体現している。
新型コロナウイルスの影響もあり、世間では「ゼロリスク」志向の高まりも見られる。だが、これまで誰も挑戦したことのない領域でビジネスを切り開く赤澤氏は、「ゼロリスクでは、一切メールを送るなといった具合に何もできなくなってしまいます。ゼロトラストを基盤に対策していく考え方は潔くて面白いですし、これからの世界で求められるものだと思います」という。
守るべき一線を守りながら、取るべきリスクはテイクし、フロンティアの開拓に取り組むSpace BD。「今の時点でちょうどいいセキュリティを導入しましたが、この先、これがちょうどよくなくなるように事業を成長させていきます。その中でNRIセキュアには引き続き併走してもらい、常にわれわれにちょうどいいセキュリティを提案いただけるパートナーであってほしいと期待しています」と赤澤氏は述べている。
※本文中の組織名、職名、概要図は公開当時のものです。(2022年2月)