導入の背景
セキュリティを担保しつつ、業務効率を下げないことを意識
宇宙への豊富な輸送手段の提供とともに国際宇宙ステーション(ISS)をはじめとする宇宙空間の利活用において、ビジネスプランの検討からエンジニアリング部門による技術的な運用支援までをワンストップで提供している日本初の「宇宙商社®」として注目を集めるスタートアップ企業がSpace BD株式会社(以下、Space BD)だ。技術や夢といったキーワードが先行しがちな宇宙の領域だが、Space BDはそこにビジネスという目線で取り組むことでユニークな立ち位置を築き、多様な宇宙関連サービスを通して、世界を代表する産業と会社を日本発で作ろうとしている。
Space BDはJAXAの民間パートナーとなっているほか、宇宙開発に取り組む組織や最先端の研究に取り組む大学の研究室などと取引を持っている。「われわれは技術力に立脚したビジネス開発を行いますが、自社の製品やサービスを持っているわけではありません。人と情報こそがSpace BDにとって一番大事な資産です」と担当者は話す。機密情報を扱う場面も自ずと多く、万一それらが漏れたりするような事態があっては信用に関わる。それどころか「当社の存在意義がなくなってしまうという危機感を抱いています」という。
一方で、競争の激しいこの業界で生き延び、成長を続けるために、スタートアップらしいスピード感を保つことも不可欠だ。「セキュリティレベルをきっちり担保しながら、同時に業務の効率も下げないことを意識し、情報セキュリティに取り組まなければいけないと常に考えています」と述べる。
導入の経緯
IT全般統制の観点から、説明責任を果たせる体制整備が重要な課題
Space BDは立ち上げ期からこれまで、事業開発やマーケティング、エンジニアなど多様な人材を集め、少数精鋭で活動してきた。このため皆が目に見える範囲で仕事をしており、どんな情報を持っているのかがある程度把握できるという状態であった。
だが、急速に成長する事業に合わせ、ジョインしてくる社員も増えている。社員数が70人を超え、プロジェクトも増えてきた頃、社員それぞれがどのような情報を扱っているかが完全に把握しきれない環境になりつつあった。
もちろん、機密情報を守るための対策は実施していた。最初からオンプレミスではなくクラウド活用を念頭に置き、普段の業務はGoogle Workspaceで行ってアクセス制限をかけるとともに、端末にはアンチウイルス製品を導入することで、最低限の水準を担保してきた。
しかし「それ以外のクラウドサービスへのアクセス管理となるとグレーゾーンでした。また、セキュリティ事故はあってはなりませんが、万が一起こってしまったときに『何が起きて、どういう経路で情報が漏れてしまったのか』といった経緯を説明できる状態にないことが課題でした」と明かす。
しかも同社はIPOを目指している。IT全般統制の観点からも、ログを取得し、説明責任を果たせる体制を整備していくことは重要な課題だった。
導入の効果
身の丈に合った『ちょうどいい』提案に、うれしい驚きを覚えた
そんなときにたまたま、ある担当者が共通の知人を介してNRIセキュアに相談する機会を得た。NRIというからには、大手金融機関のような数千人単位の大企業を相手にしてきた経験を元にガチガチのセキュリティを提案してくるものだ——という先入観を持っていたが、いい意味で裏切られたという。
「今のSpace BDのフェーズや経営をきちんと理解した上で、『ちょうどいい』レベルのセキュリティを提案してくださいました」と話す。かつてITソリューションを提供する立場に立ったこともある担当者としては、特定のソリューションを売らんかなでごり押しすることなく、身の丈に合った提案が得られたことに、うれしい驚きを覚えたという。
Space BDで働く社員は多様で、客先に出向く営業もいれば、海外とオンライン会議を行う場面も多く、またリモートワークでお客様やJAXAと技術的な調整をするエンジニアもいる。しかもGoogle Workspaceを活用していることから、守るべき情報資産もオフィスの内外に散在している。NRIセキュアはその中で、社員それぞれの働き方の自由さ、柔軟さを担保しながらセキュリティを高める方法を提案した。
具体的には、クラウドベースで管理が可能な「PC Check Cloud」を各PCとスマホに導入し、デバイスの状況や資産情報を一元管理する体制を整えた。その上で、Google Workspaceをはじめとするクラウドサービスへのアクセスを一元管理するIDaaSサービス「Okta」を導入することで、アカウントの一元管理を実現しつつ、シングルサインオンによってユーザーがシンプルに各種サービスを活用できる環境を整えた。
最初の「ホップ」では、2つのソリューションを組み合わせて、誰がどのような情報にアクセスしているかログをとり、可視化までを実現する。
次の「ステップ」では、より細かな制御や検知を実現していく計画だ。そしてSpace BDがさらに大きく、エンタープライズクラスに成長した「ジャンプ」の段階では、EDR製品やSOC体制の整備も含めた総合的な対策を整え、攻撃の遮断なども視野に入れていく。
図:Space BD社の社内システムの概要図
今後の展望
ISMS取得の実現と「ゼロトラストセキュリティ」を体現
Space BDでは10名程度の限られたユーザからパイロット運用を行っている。今のところ、まったく問題なく利用できており、早期に全社に拡大していく方針だ。同社は専任の情報システム担当者を置かず、運用は外部にアウトソーシングしているが、クラウドベースということもあり、実質的に一体となって運用できている。
一連のセキュリティ対策はISMS取得という成果にも結びついている。「タイミングよく導入できました。この先に控えているIPOで求められる要件にも、十分応えられる仕組みになっています」と導入担当者は話す。最大の課題だった説明責任についても、クラウドサービスの境界とエンドポイントという最もリスクの高い部分でログをとることによって、果たせる体制を整備した。
社員それぞれが能力を発揮できるよう、利便性とセキュリティの両立を目指してきたSpace BDが構築した体制は、図らずも、場所を問わずに必要な人が、必要なリソースのみに、適切なセキュリティの元でアクセスできる「ゼロトラストセキュリティ」を体現している。
新型コロナウイルスの影響もあり、世間では「ゼロリスク」志向の高まりも見られる。だが、これまで誰も挑戦したことのない領域でビジネスを切り開くSpaceBDにとって、「ゼロリスクでは、一切メールを送るなといった具合に何もできなくなってしまいます。ゼロトラストを基盤に対策していく考え方は潔くて面白いですし、これからの世界で求められるものだと思います」という。
守るべき一線を守りながら、取るべきリスクはテイクし、フロンティアの開拓に取り組むSpace BD。「今の時点でちょうどいいセキュリティを導入しましたが、この先、これがちょうどよくなくなるように事業を成長させていきます。その中でNRIセキュアには引き続き併走してもらい、常にわれわれにちょうどいいセキュリティを提案いただけるパートナーであってほしいと期待しています」と述べている。
※本文中の内容、概要図は公開当時のものです。(2025年2月)
※本ウェブサイトで使用されている製品名、サービス名、ロゴや会社名の商標および著作物の所有権は、各所有者または許諾者に帰属します。