お客様の声
イデラキャピタルマネジメント、シャドー AI 対策などのサイバーセキュリティ強化に Purview や Defender for Cloud Apps を採用し 2 日がかりだった監査業務を 1 〜 2 時間に短縮ができる見込み
サマリー
セキュリティの課題と対策
不動産投資会社として多様な機密情報を扱うイデラキャピタルマネジメントでは、金融庁ガイドラインでも要請されているサイバーセキュリティを強化するべく、 Purview や Defender for Cloud Apps を採用。従来は手動・目視によるログ確認で約 2 日を要していた作業もアラートベースの予兆検知で 1 〜 2 時間に短縮ができる見込み。
マイクロソフト製品を選択した理由
Microsoft 365 を全社導入済みのため既存環境との親和性が高く、Entra ID と Purview 、 Defender の連携によるユーザー権限に応じた柔軟な制御運用が実現。 Insider Risk Management によってユーザー行動の異常検知も簡単になりました。さらに Business Premium のアドオンで導入可能なコスト効率の高さも評価。
取り組み状況と今後の展望
従業員の業務効率が下がらないように慎重に調整を進めており、可視化→警告→制限への段階導入が進行中。まずは添付ファイルの制限や生成 AI への情報送信などの監視を試験運用。ソフトクリエイトの伴走型支援を受けつつ、目標は運用の完全内製化。マイクロソフトが発信する最新情報を取り入れながら、業務効率とセキュリティを両立した DX を推進。
株式会社イデラキャピタルマネジメント(以下、イデラキャピタルマネジメント)は、国内外の様々な投資資金による不動産投資ファンドの組成や運営実績を有する独立系の不動産アセットマネジメント会社です。扱う不動産もオフィス、レジデンシャル、ホテル、ロジスティクス(物流拠点)など多岐にわたります。
不動産のバリューアップや投資家ニーズに応えるファンドマネジメントを提供するプロフェッショナル企業として、第二種金融商品取扱業者に当たるイデラキャピタルマネジメントが保有する機密情報は、投資家の個人情報や資産情報、未公開投資案件、ファンド情報、インサイダー情報、コンプライアンス関連資料など、慎重かつ厳格な管理が求められるものばかりです。
不動産投資業界は活況の一方で、監督省庁である金融庁は「金融分野におけるサイバーセキュリティに関するガイドライン」を公表するなど、業界全体に対して情報セキュリティの強化を求めています。
イデラキャピタルマネジメントにおいても金融商品取引法や個人情報保護法への対応に始まり、情報漏えい対策の徹底などを重要な経営課題として継続的に対策してきました。
2023 年、イデラキャピタルマネジメントは株式会社ソフトクリエイト(以下、ソフトクリエイト)の支援のもと、 Microsoft 365 への全面移行を実施。 1,000 万円 / 年規模のコスト削減に成功したほか、運用管理性や操作性の向上、スポンサー企業のシステムへのスムーズな接続を実現するなど、 IT インフラの刷新を実現しました。
インフラ刷新に続けて同社が進めている取り組みは、 Microsoft Purview や Microsoft Defender for Cloud Apps ( MDCA ) の導入による、情報管理のさらなる強化です。社会問題化しつつあるシャドー AI (企業が利用を許可していない生成 AI を従業員が使用する行為)への対策や、インシデント予兆検知の自動化によるリアルタイムでの対応の実現を目指しています。この取り組みが軌道に乗ることで、従来は約 2 日を要した調査・対応業務がわずか 1 〜 2 時間へと圧縮されると期待されています。
株式会社イデラキャピタルマネジメント
手動と目視によるモニタリングが情報管理のボトルネック
SaaS の採用による業務基盤のクラウド化と、マイクロソフト製品への統一を進めてきたイデラキャピタルマネジメントにおいて、情報セキュリティ強化は次なる最優先テーマでした。さまざまな Web アプリが氾濫している昨今、従業員がどのようなサービスやアプリを利用しているかの把握は、ますます困難になっています。
何らかの問題が生じた際、イデラキャピタルマネジメントにおいて調査と対応を担当するのは業務部の IT チームです。同社 取締役副社長 COO 兼 CFO の丹羽 文彦 氏は次のように以前の状況を説明します。
「インシデント発生時には、どのような経緯で、何が起きたのかを把握するために複数のシステムで約 1 〜 2 週間分のログの確認から開始し、並行して当事者への聞き取り調査を行います。 IT チームは日常の管理業務と並行して調査を行うため、この作業には 1 〜 2 日が掛かり大きな負担でした。当社はマイクロソフト製品による統合を進めていますので、インシデント予兆検知やシステム監視もマイクロソフトの製品群でカバーできることが理想だと考えていました」(丹羽氏)
情報管理において、事故が起きてからではすべてが後手の対応となります。情報管理におけるイデラキャピタルマネジメントのボトルネックはモニタリングにあり、未然の防止を実現するソリューションが望まれていたのです。
株式会社イデラキャピタルマネジメント 取締役副社長 COO 兼 CFO 丹羽 文彦 氏
シャドー AI 対策とサイバーセキュリティ強化が喫緊の課題
イデラキャピタルマネジメントではセキュリティおよびガバナンスの取り組みとして、 Microsoft Defender 、 Microsoft Intune 、 Microsoft Entra ID およびサードパーティ製のログ取得サービスを組み合わせる構成で対策していました。しかし不正操作の予兆検知や情報保護の対応としては、まだまだやるべき余地があったと、同社 業務部 マネージャーの米蔵 寿里 氏は当時の状況について説明します。
「情報セキュリティの観点では一通りの実装完了に留まっており、運用レベルで活用できていたとはいえませんでした。 IT 管理ツールによってシャドー IT は対策済みでしたが、シャドー AI への対応は喫緊の課題として強く意識していました。会社としては Microsoft Copilot を利用するよう従業員へ明示していましたが、他の Web アプリや生成 AI が社内でどのように使われているかの状況を網羅的に可視化・制御する仕組みは未整備の状態でした。アラート機能も不十分だったため、管理センターの画面の定期的な目視チェックが定常業務となっており、大きな負担でした」(米蔵氏)
会社が使用を許可していない生成 AI を従業員が独自に使い情報漏えいリスクとなるシャドー AI は、昨今あらゆる業界で経営課題として認識されています。イデラキャピタルマネジメントにおいても、 AI 利用に関するガイドラインを定め、社内へ展開していました。しかし実際には従業員一人ひとりのモラルやリテラシーに依存するため、リスクマネジメントの観点で課題でした。
ランサムウェアによる攻撃が社会的な注目を集めたことも、丹羽氏と米蔵氏がセキュリティ対策の優先順位を引き上げるきっかけとなりました。「サイバー攻撃に関する報道があるたびに、当社の状況を再検証しました。社内のコンプライアンス室とも定期的に協議し、人手に頼った対応ではなく、適切なソリューションの導入が不可欠だと結論しました」と米蔵氏は振り返ります。
株式会社イデラキャピタルマネジメント 業務部門 マネージャー 米蔵 寿里 氏
Microsoft Purview を軸として、 DLP とシャドー AI 対策を強化
予防的対応の実現と、もし事故が生じた場合でも被害を最小限に食い止める仕組みの確立のために、米蔵氏の着目したソリューションが Microsoft Purview (以下、 Purview )です。金融ガイドライン対応のための社内プロジェクトがすでに発足しており、 DLP ツールに関する情報収集をしている時期に参加したマイクロソフト主催のオンラインイベントで、米蔵氏は Purview と出会いました。
Purview が情報保護とシャドー AI 対策において最適なソリューションとして選定された理由は次の通りです。
- Microsoft 365 Business Premium 、 Windows 365 が全社導入済みであり、既存環境との親和性が高い
- Purview の設定作業や運用管理が容易
- クラウドサービス利用の可視化( Microsoft Defender for Cloud Apps との連携)から開始し、段階的な制御へと進められる柔軟性
- Purview のコストは、 Microsoft 365 Business Premium のアドオンで処理できる効率的な料金体系
- Insider Risk Management によるユーザー行動の異常検知
Purview は、ユーザーの挙動を「制限する/制限しない」の二択ではなく、条件に応じた中間的な選択肢も選べます。さらにマイクロソフトアカウントとも連動するため、ユーザー(従業員)の職位や権限に応じた設定の調整も可能です。現在は、可視化→警告→制限の段階的な調整を行っており、以下を実践して検証しています。
- 添付ファイルの制限
- Endpoint DLP による生成 AI へのコピー&ペーストやファイル投入の抑止 など
「一律に使用不可とするのではなく、 Copilot 以外の AI を利用したい場合は IT チームとコンプライアンス室に相談してください、といったガイドラインを建て付けていますので、社員の業務プロセスを変えることなく社内ルールに沿った使い方へ誘導できていると考えています。このような個別対応ができる柔軟性こそ、私たちの求めていた機能でした」(米蔵氏)
そのための工夫の一つが、制限開始前にユーザー向けの申請導線( Microsoft Forms による申請フォーム)を整備しておくなどによる、業務中断の最小化です。米蔵氏の主導のもと、実務に即したユーザー教育の実施と、影響が発生した際のエスカレーション方法の整理を進めています。
本格運用の開始に向けてソフトクリエイトの協力のもと調整を重ねていることで、運用上の有益な知見も得られています。たとえば Defender 管理センターで、デバイスグループ画面の表示に問題が生じたケースではマイクロソフトの迅速なサポートによって対処したほか、クラウドアプリ設定で「対象のプロファイル」が環境によって表示されなかった場合にも、設定を一時的に有効化・無効化する回避策で対応しました。また、 Endpoint DLPについても環境差異による挙動確認などを慎重に検証しています。
定期的なログ確認作業がゼロになり、 2 日を要するインシデント対応も 1 〜 2 時間に短縮
イデラキャピタルマネジメントのセキュリティ製品導入を支援したのが、株式会社ソフトクリエイト 事業推進本部 クラウドソリューション統括部 クラウドビジネス部 技術推進グループ上席技師の山口 泰志 氏です。
「クラウドファーストに取り組むイデラキャピタルマネジメント様の先進性には驚かされるばかりで、グローバル企業と同等のスピード感でクラウドインフラの活用に取り組んでいらっしゃいます」(山口氏)
ソフトクリエイトはマイクロソフトのソリューションパートナーであり、このプロジェクトにおいては DLP 機能を搭載した国産のプロダクトや Microsoft 365 E5 との機能・費用比較なども支援しました。
本プロジェクトではシャドー AI 対策が最重要目的であったことから PoC (概念実証)は行わず、次の 3 フェーズで計画が進行中です。
- プロダクトの機能の理解をしていただくためのフェーズ
- 実際の運用を見据えて設計についてディスカッションするフェーズ
- 設定作業のフェーズ(「可視化→警告→制限」の段階導入)
イデラキャピタルマネジメントは金融業界の企業としてセキュリティへの意識も高く、何を守るためにセキュリティ製品を導入するのかという目的も明確でした。 Purview の導入においては 5 ライセンスや 10 ライセンスといったスモールスタートで検証しながら進める方法が一般的ですが、同社では全社員分の Purview ライセンスを一括購入し、全社一斉展開に踏み切りました。
「これまでマイクロソフト製品に触れてきた経験から、 Purview の導入によって業務に支障が出ることはないと確信していました。役員クラスを巻き込みながら段階的に進めていくにあたり、ライセンス購入のたびに社内稟議を挙げるのでは非効率なため、あえて一括導入しました」(米蔵氏)
インシデントの予兆があれば即座にアラートが発出されることから、定期的なログ確認作業はゼロになる見込みだと米蔵氏は想定される効果を説明します。また、インシデント発生時には約 2 日を要した作業が、今後はアラートベースになり、 1 〜 2 時間で完了できると期待できます。このように、シャドー AI への監視の自動化や会社が許可していないツールも人手を介さず停止できるようになるなど、担当者への負荷を掛けずにセキュリティ強化を実現しています。
株式会社ソフトクリエイト 事業推進本部 クラウドソリューション統括
クラウドビジネス部 技術推進グループ 上席技師 山口 泰志 氏
Purview と連携できる IRM を展開し、情報保護ポリシーを社内へ浸透させる
今後の展望として、イデラキャピタルマネジメントではInsider Risk Management(IRM)の本格活用と社内展開をしていく考えです。
現在のフェーズでは管理設定(分析、通知、プライバシー、インジケーター)の整備に取り組んでおり、少数の指定ユーザーやグループで試験運用して状況をチェックしながら調整しています。ゆくゆくは運用負担とリスク許容度を踏まえて絞り込んでいく考え方です。
個々のファイルの重要度に応じて設定する秘密度ラベルについても手動運用から開始し、将来的には自動ラベリングを検討しています。秘密度ラベル(MIP)は、データの機密性に応じて保護を自動的に適用し、保存場所に関係なくファイルを追従する永続的なセキュリティを実現するため、Purviewと連携してDLPの強化を実現します。また、フォレンジックエビデンスやコミュニケーションコンプライアンスについても、中長期的な検討対象としています。
これらの機能は作業の自動化やアプリ間の高度な連携によって効率良く設定・運用が行えるため、少人数の IT チームが担う場合でも幅広い作業を内製化できます。内製化は情報流出リスクの低減に加え、コスト抑制にも寄与します。イデラキャピタルマネジメントでも、余分な外注コストを掛けずにセキュリティ強化をできる施策として IRM の活用に期待しています。
こうした内製化を手厚く支援しているのが、ソフトクリエイトによる伴走型支援です。入り口整備から内製化まですべてのフェーズにわたって伴走し、サポート監査ログ有効化、デバイスオンボード、ブラウザ拡張機能展開などから、クラウドアプリ可視化、アラートポリシー設定、 Endpoint DLP 、 IRM 、 秘密度ラベルなどの設定方法や情報保護についての基本的な考え方にいたるまで、情シス担当者が内製で運用できるよう知識移転を重視した支援を提供しています。
「 Microsoft 365 Business Premium を導入している中小企業において、 Microsoft Defender Suite と Purview Suiteは非常に有力な選択肢です。実態把握から開始できる点も、金融機関などにとってメリットといえますし、運用面ではマイクロソフト環境を活かした一元管理ができ、ユーザー側にとっても業務への影響を抑えながらのセキュリティ強化・ガバナンス強化を両立できます」(山口氏)
マイクロソフト発信の情報を仕入れ続け、常に最新状態を維持する
米蔵氏は自身での最新情報の収集も日頃から欠かしません。マイクロソフトの SNS やブログ、 Web 掲載のドキュメント類にも目を通して、使える情報を常に仕入れ続けています。
「グローバルスタンダードに乗り遅れないためにも、マイクロソフトのようなグローバルトップ企業の情報を取り続けることが重要です。まずはマイクロソフトの提供する情報を参考にし、取り入れていく。最新テクノロジーを活用しようとすると、保守的な抵抗勢力と相対することもありますが、他社で実績を積んでもらってから導入検討しているようでは遅い。意思決定権者が責任をもってリスクを取らなければなりません。もちろんそのためには、 IT 担当者には好奇心旺盛で、新しもの好きな勉強家であることが求められます。属人化を防ぐことやサイバーセキュリティ人材の育成も、これからは重要な経営課題となるでしょう」(丹羽氏)
一般的にテクノロジーは普及に伴って数年で陳腐化すると言われますが、イデラキャピタルマネジメントではそうした変化を先回りするべく 3 年程度の中期的スパンで IT の見直しに取り組んでいます。時流に乗り遅れていないか、今着手するべき取り組みは何か、そうした経営判断の 1 つとして今回、同社は Defender や Purview の導入を決定しました。
こうした現場に即した情報を提供できるのも、 2023 年から 3 年連続での Microsoft Top Partner Engineer Award 受賞者として製品価値を深く理解していることが寄与しています。エンドユーザーとマイクロソフトの橋渡し役として、山口氏とソフトクリエイトの貢献に大きな期待が寄せられています。
少数精鋭の IT チームで日常業務からセキュリティ強化の取り組みまで、幅広く対応しているイデラキャピタルマネジメントをマイクロソフトは引き続きご支援してまいります。
その他のお客様の声
AI で変わる中小企業の経営力
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。