Microsoft 365 の導入でセキュリティレベルを向上。
グローバルで統一したセキュリティ基盤を導入していく。

マルウェア対策、エンドポイント対策、認証基盤の強化が必要

銅加工事業、電子材料事業、加工事業、金属事業、環境・エネルギー事業などを行う三菱マテリアル株式会社は、31の国と地域で事業展開する非鉄金属メーカーです。2020~2022年度の中期経営計画では、デジタル化戦略としてMMDX(三菱マテリアル デジタル・ビジネストランスフォーメーション)を掲げ、2020年4月にDX推進本部を設置。2020~2025年度までの6年間のMMDX実行計画を策定し、顧客接点の強化や、経営の迅速化を実現することで高付加価値な製品・サービスを提供するリーディングカンパニーとなることを目指しています。

三菱マテリアルでは、自前で開発したIT基盤をオンプレミスで運用していましたが、グローバルの各地域で利用しているシステムが異なっていたため、2018年からメールシステムなどを当時の Office 365 に移行するプロジェクトを進めていました。そのプロジェクトと並行してマイクロソフトのセキュリティ診断を実施し、セキュリティの向上も目指していったと戦略本社システム戦略部 ICT推進室 ICTグループ グループ長補佐の石井 康章氏は説明します。「セキュリティ診断の結果、クリティカルな問題は発見されませんでしたが、メールでの攻撃が非常に多く、IDの盗用を目的としたマルウェアや未知のマルウェア攻撃なども一部検知されていました。マルウェア対策、エンドポイント対策、クラウドベースのID・認証対策の強化が急務だと考えました」。

また、戦略本社システム戦略部 ICT推進室 IT基盤グループ グループ長の菊池 一平氏も次のように話を続けます。「セキュリティインシデントの発生を通知する仕組みがなかったので、EDR(Endpoint Detection and Response)などを導入する必要があると考えていました。シャドウITの課題もあり、エンドユーザーが許可されていないSaaSやオンラインストレージなどを使っていないか、利用状況を可視化したいとも考えていました」。

グローバルで Microsoft 365 E3+E5 Security を導入

セキュリティ対策を強化するために、Microsoft 365 の導入を検討した三菱マテリアルでは、Microsoft 365 の導入を行ってマネージドサービスなどを提供している複数のメーカーの提案を検討し、コストとこれまでの実績、製品に対するノウハウなどからTOSYSの「Livestyle」を採用しました。他社の提案が導入までに数年かかるものであったのに対し、TOSYSの提案では最低限の機能を先に導入してから段階的に追加することにより短納期で導入を実現できることもポイントでした。

TOSYSとともに導入計画を進めていった三菱マテリアルでは、Microsoft 365 Enterprise E3 に加えて Microsoft 365 E5 Security を導入していくことを決めていました。 まずは、サンドボックス機能で未知の脅威に対策する Microsoft Defender for Office 365 と、EDRで高度な振る舞い検知を行う Microsoft Defender for Endpoint を導入。以降、多要素認証をはじめ Microsoft 365 のアクセス制御を行う Azure AD Premium  P1/P2、デバイスの保護と管理を行う Microsoft Intune も導入していきました。

また、段階的に、クラウド利用の可視化・制御を行う Microsoft Defender for Cloud Apps も導入し、日本国内だけでなく、アジア、欧州、米国の各地域で統一した基盤を整備しています。

課題1:未知の脅威対策やエンドポイントセキュリティの実現

解決:Microsoft Defender for Office 365 と Microsoft Defender for Endpoint の導入

3つの課題を解決してセキュリティレベルを向上

導入期間中のTOSYSのサポートについて石井氏は適宜迅速な回答があったと評価し、菊池氏もサポートの範囲外の質問にも答えてくれたと話しています。また、戦略本社システム戦略部 ICT推進室 ICTグループの村上 真悟氏は、次のように当時を振り返ります。「以前はクライアント証明書を使っていましたが、Microsoft 365 の導入を機にAzure AD認証に切り替えることにしました。初めてのことだったので、切り替える際にいくつかのトラブルがありましたが、TOSYSのサポートで解決することができました」。

また、菊池氏はコロナ禍の2020年4月からプロジェクトを開始したため、当初は不安があったと話します。「これだけの規模のプロジェクトを対面することなく、リモートで行うことに不安はありました。しかし、結果的にリモートだけでスムーズに導入できたことは大きく評価できることだと思っています」。

Microsoft 365 のセキュリティ機能を導入することによって、三菱マテリアルでは、マルウェア対策、エンドポイント対策、クラウドベースのID・認証対策の強化という課題を解決することができました。実際に、「導入後にID/パスワードをユーザーが誤ってフィッシングサイトに入力してしまうという事例が発生しましたが、不正アクセスを未然にブロックすることができました」と話す石井氏は、「国内外を含めてグローバルでセキュリティを高めることで、グローバル標準の高いセキュリティレベルを確保できたことも効果の1つですね」と話しています。また、Microsoft 365 でセキュリティ強化を行ったことを示すことで、従業員のセキュリティ意識を向上できることも期待できます。

課題2:シャドウIT対策と認証基盤の強化

解決:Microsoft Defender for Cloud Apps、Azure AD Premium、Microsoft Intune の活用

また、許可されていないクラウドサービスの利用などを顕在化して制御できるようになったことや、コロナ禍でリモートワークが増えていく中、Windowsの更新プログラムの適用状況を社外のデバイスでもチェックできるようになったことも今回の導入の効果となっています。さらに、クライアント証明書を使ったアクセス制限にかかるランニングコスト、海外のグループ会社では人的コストや手間によりクライアント証明書の運用ができないことが課題となっていました。この課題を Microsoft Intune と Azure AD の組み合わせで解決し、国内と統一した認証基盤による運用を実現しました。

DX推進のための基盤を今後も整備していく

今後は、Microsoft 365 の運用を確立させてよりスムーズな運用を行うことが求められており、そのためにTOSYSが毎月出しているセキュリティレポートとその説明が役に立つと菊池氏は話します。また、今後の基盤整備について菊池氏は、次のように話してくれました。「MMDXを推進していくための基盤を、今後も整備していきたいと考えています。その中核となるセキュリティを強化するためにCSIRTも立ち上げていますが、さらに体制・運用を高度化し、セキュリティインシデントへの対応を行っていきたいですね。また、社外とのやり取りの認証基盤として Azure AD B2C の導入にも着手しています。今後は、DevOpsを意識したソース管理や、データ連携のためのETL(Extract/Transform/Load)ツールの構築なども行っていきます」。

最後に、石井氏は今後のTOSYSに次のような期待があることを明かしてくれました。「グローバルでの Microsoft 365 の導入はほぼ完了しましたが、今後はその運用でのサポートに期待しています。また、既存環境のリプレイスやコンプライアンスの強化など、新たな提案をしてくれることにも期待していますね」。

持続可能な社会に貢献するリーディングカンパニーとして、豊かな社会、循環型社会、脱炭素社会の構築に貢献していく三菱マテリアルは、MMDXを今後も強力に推進していき、高い付加価値を持った製品やサービスを提供していきます。

左からTOSYS名古/ 三菱マテリアル 菊池氏、石井氏、村上氏 /TOSYS相馬

プロフィール

三菱マテリアル株式会社

代表者:執行役社長 小野 直樹
事業内容:銅加工品・機能材料・化成品・電子デバイス・多結晶シリコン等の製造・販売、超硬切削工具の製造・販売、銅・金・銀等の製錬・加工・販売、地熱・水力発電、家電リサイクルなど
設立:1950年
従業員数:連結23,711人(2022年3月末現在)
本社所在地:東京都千代田区

三菱マテリアルグループは、「人と社会と地球のために」という企業理念のもと、「ユニークな技術により、人と社会と地球のために新たなマテリアルを創造し、持続可能な社会に貢献するリーディングカンパニー」をビジョンとして掲げています。

銅を中心とした非鉄金属素材および付加価値の高い機能材料・製品の提供を通じて豊かな社会の構築に貢献すること、リサイクル可能な製品の提供、高度なリサイクル技術による廃棄物の再資源化を通じて循環型社会の構築に貢献すること、地熱などの再生可能エネルギーの開発・利用促進、環境負荷低減を考慮したものづくりの徹底により脱炭素社会の構築に貢献すること、これらを会社の目指す姿としています。


※本ケーススタディに記載された情報は制作当時 (2023年 2月) のものであり、変更されている可能性があることをご了承ください。
※本ケーススタディは情報提供のみを目的としています。記載のサービス内容は、予告なく変更する場合があります。予めご了承ください。
※記載されております社名、製品名およびサービス名は、各社の商標および登録商標です。
※本事例内容の転載、複製、改変等を禁止します。