導入の背景とポイント
組織の急拡大に伴うセキュリティガバナンスをCASBから開始
当社はここ数年で社員数が大幅に増加しています。6年前は、わずか200名ほどの組織だったので「こんなトラブルがあったから気を付けて」と社内で声を掛ければ、端まで声が届く距離感でした。しかし、現在は国内外のグループ会社も含めると社員数は2000名を超える組織に成長し、もはや声掛けだけでは内部統制を利かせることは難しい規模になっています。
そこで、インターネット経由でのマルウェア感染やシャドーITによる情報漏洩などのセキュリティリスクを軽減させるため、SWG(Secure Web Gateway)の導入を検討していました。しかし、実際に検討を進めてみると、開発職が使用している多種多様なSaaSツールのトラフィックが影響し合うケースが多いことが分かり、最初からSWGを全社に導入するのはハードルが非常に高いと判断しました。
そこで、業務への影響を最小限に抑えるために、まずはスコープをSaaS製品のアクセス可視化と制御に限定し、CASB(Cloud Access Security Broker)から導入することに。様々なソリューションを検討しましたが、SWG機能を保有しながらCASB機能だけを利用できるという点でNetskopeを採用しました。
導入時の取り組み
開発環境の自由度を阻害せずに、CASBを導入
開発職・ビジネス職ともに、社員はさまざまなSaaSを業務に利用しています。Netskopeの導入に際しては、まず全社で使用されているサービスや影響が大きそうなアプリケーションから検討を開始し、一つずつ影響範囲や発生する事象を確認しながら、対象とするアプリケーションを徐々に広げていきました。
その際「開発環境の自由度をできるだけ阻害しない」ということは常に重視していました。会社は大きくなりましたが、小回りの利くベンチャー企業らしさが私たちの特徴でもあり、柔軟で自由度の高い開発環境や風土こそが、他社と差別化できるサービスを生み出すための源泉ですから。
ビジネス職が使っているアプリケーションにはほとんど影響がありませんでしたが、開発職はさまざまなアプリケーションやツールを活用しているため、一部はNetskopeがまだ対応していなかったり、既存のセキュリティ製品と通信を取り合ったりするものもありました。開発職が使用中のツールが使えなくなることで提供中のサービスに影響が出てしまったり、お客様にご迷惑をおかけしたりすることのないよう、開発職への導入は慎重に行いました。
導入前に行ったPoC(概念実証)では社歴が古いメンバーが多く在籍している開発グループに協力してもらいながら、問題を洗い出していきました。社内で解消できる問題は対応をし、対応できないものはNRIセキュアテクノロジーズの皆さんに相談しながら、約2カ月のPoC期間を経て段階的に導入範囲を広げていきました。
マネーフォワード社におけるCASB周辺のシステム概要図
導入後の効果
国内外の全拠点に導入し、SaaSの「使われ方」を把握できるように
「見られている」という意識によって、内部不正やシャドーITの予防にも
導入後は、今まで見られなかったトラフィックやSaaSの利用状況をきちんと把握できるようになりました。もともと、トラフィックについてはファイアウォールのログ情報からある程度は把握していましたが、どのような「使われ方」をしているのかという詳細までは把握できていませんでした。
たとえば、Google Workspaceにアクセスしていることは把握できても、ログインしているアカウントが個人アカウントなのか、会社支給アカウントなのかといった点については分かりませんでしたが、Netskope導入後は、さまざまなSaaSにおいて、どのように使われているかをきちんと把握できるようになりました。
また、コーポレート側が把握するだけではなく、社内にコミュニケーションすることの重要性も感じています。「CASBが導入されている」「Netskopeによって見られている」という意識は、内部不正に対する抑止力やシャドーITに対する予防にもなっていると思います。
現在は全社に展開を行い、日本国内のグループ会社・拠点と、ベトナムとインドの拠点でもNetskopeを導入しています。グローバルに展開するにあたっては、英語でのドキュメント類の作成や、現地問い合わせ窓口設置などのローカライズ対応も行いました。現在、入社者の端末にはNetskopeが自動的に導入されるようになっており、今後は社員数の増加に合わせてアカウント数も拡張する予定です。
今後の展望
CASBを意識せず使える状態へと調整しながら、SWGの導入検討
正直、SaaSの利用を制限するCASBは、自由度の高いマネーフォワードカルチャーと相反する面もあります。金融系Webサービスでは機微な情報を扱うため、厳密なセキュリティが求められる一方で、ガチガチに制限してしまい私たちの強みが失われることがないよう、その線引きは現在も手探りで進めているところです。
NetskopeはCASB機能だけで4,000強のSaaSに対応していますが、当社環境で適用しているのはまだ数百程度。4,000強全てを使えるように設定を調整しながら、業務において「導入前と変わらない」という感覚で使える絶妙なバランスを実現していきたいと考えています。
そして、いずれはSWGの導入を進め、Webトラフィック全体の監視を行っていくべきだろうと検討もしています。SWGとCASB、両方使えるNetskopeだからこそ、二つを併用しながら、技術職やビジネス職などそれぞれの業務内容にあわせて必要な機能を追加できるように取り組んでいけたら嬉しいですね。
※本文中の組織名、職名、概要図は2024年5月時点のものです。