SASE活用でセキュリティと生産性向上の両立へ――成功企業が見いだした最適解とは：多層防衛になっていないSASEを導入した企業がいるんですよ

ハイブリッドワークの定着によって、企業のIT部門がシャドーITの増加やサイバー攻撃の高度化といった課題に直面する中、これらを解決する手段としてSASEに関心が集まっている。だが、製品導入は企業ごとの要件やポリシーに合わなければ成功しない。セキュリティを強化しつつ、ビジネスの俊敏性を損なわないために、企業はSASEをどう導入、活用すればいいのか。

PR／＠IT

PR

　ハイブリッドワークの定着によって増加するシャドーIT、サイバー攻撃の高度化――企業のIT部門が直面する課題が複雑化する中、セキュリティを強化しつつ、ビジネスの俊敏性を損なわない手段としてSASE（Secure Access Service Edge）が注目されている。

　SASEの活用法を学ぶ機会として2024年11月に開催されたのが、Netskope Japan主催の「Netskopeユーザー会」だ。導入企業の事例講演、運用のコツ、Netskope製品のロードマップなどが共有され、参加者は熱心に耳を傾けた。

　本稿では、ラクスとWorks Human Intelligence（以下、WHI）の先進事例を中心に、当日の模様をレポートする。

懇親会の様子

ラクスが構築した、どこからでも安全に接続できるリモートデスクトップインフラ

　「楽楽精算」「楽楽明細」などのクラウドサービスを提供するラクス。連結従業員数は3000人を超え、年間約800人の人員増加を続ける成長企業だ。

　同社の情報システム部 藤樹一善氏と中村友則氏は、まずSASE導入を目指した背景から語った。同社は以前、従業員1人に対して2台のPC（デスクトップPCとノートPC各1台）を貸与していた。ノートPCはデスクトップPCへのリモートデスクトップ専用として利用されていた。年間400人もの従業員増加に伴い、PCの運用工数が大きな課題となっていた。

　「当初はPC運用業務の効率化とBCP施策を目的にVDI（Virtual Desktop Infrastructure）の導入を検討しましたが、コスト面で断念せざるを得ませんでした。そこで発想を転換し、PCを1人1台にすることでコストを削減しつつ、どこからでもセキュアに利用できるリモートデスクトップインフラの構築を目指しました」（藤樹氏）

　検討が進められていた2020年ごろは、コロナ禍で在宅ワークが急速に普及した時期だ。もともとラクスは営業担当者向けにVPN接続を提供していたが、コロナ禍で全従業員がVPNに接続することになった。コロナ禍収束後も在宅ワークは定着し、現在も週1回の在宅ワークが認められている。

　この状況下で懸念事項となったのが、社外に持ち出したPCのセキュリティリスクだった。企業の成長に伴い、各部門が独自にSaaSを導入するケースが増え、情報システム部門が把握していないシャドーITのリスクも顕在化していた。解決すべき課題は主に3つあった。1つ目はリモートデスクトップインフラのセキュリティレベルの確保、2つ目はシャドーIT利用の可視化、3つ目はPC運用コストの削減だ。

　こうした課題を解決するために、ラクスはNetskopeのSASE製品「Netskope One Security Service Edge」（SSE）を導入することを決定。SWG（Secure Web Gateway）、クラウドファイアウォール、ZTNA（Zero Trust Network Access）、ATP（Advanced Threat Protection）といった機能を活用し、1台のPCでセキュアに業務に従事できるリモートデスクトップインフラを構築した。

　導入に当たって、経営層にはコスト面を中心に訴求した一方、ユーザー部門に対しては利便性の向上をメインに訴求した。特に、VPN接続の手間がなくなることや、Web会議がより快適になる点がユーザーから評価された。

　移行は次のステップで進められた。まず大阪の営業部門から選ばれた協力者に新環境を提供して満足度を確認。次に各部署から代表者を選出して独自アプリケーションを洗い出した。その後、古いPCから順次交換する形で全社展開を進め、最後に新入社員への配布を開始した。このような計画的な移行によって、現在では全フェーズが完了し、Netskope One SSEが導入された端末の利用数が着実に増加している。

Netskope One SSEが導入された端末への移行ステップ（出典：Netskope提供資料）《クリックで拡大》

　移行過程では、アクセス元IP制限のあるサイトへの対応や、オンプレサーバとの通信遅延、音声系アプリケーションの品質低下といった課題も発生したが、固定IPの契約や踏み台サーバの設置、個別の例外設定などで対応した。

　「今後の展望としては、まずグループ会社のラクスベトナムにNetskope One SSEを導入し、全拠点をNetskope One SSEに一本化することでメンテナンス工数を削減、さらに年間8〜10件ある拠点開設・移転のコスト削減を目指しています。最低限のインターネット環境さえあればすぐに業務が始められるインフラの構築を理想としています」（中村氏）

SASEの導入について講演するラクスの藤樹氏と中村氏

データ保護と業務効率化の両立へ――WHIが見いだした最適解

　WHIの長谷川淳一氏（Corporate Security Grp. チームリーダー 兼 WHI-CSIRT）は「セキュリティ投資＝生産性向上投資!?　WHIが実践するセキュリティ対策の勘所」と題し、セキュリティ対策を「単なるコスト」ではなく、「生産性向上のための投資」とする視点を提案した。WHIは統合人事システム「COMPANY」を提供する企業で、540万ライセンス^※1ものユーザーデータを扱っている。同社のミッションには「『はたらく』を楽しくする」という言葉が含まれており、これが今回のテーマにも関連している。

※1　2024年12月末時点の契約法人における「COMPANY 人事」の契約ライセンス数合計

　長谷川氏はWHIが直面していた業務生産性に関わる3つの課題を紹介した。1つ目は、従業員が私物のスマートフォンで「Slack」を利用したいというニーズに対する課題。Slackに機密情報がアップロードされ、私物スマートフォンにダウンロードされるリスクがあった。2つ目は、多様なSaaSを活用して業務効率化を進めたいという要望について、不特定多数のSaaSに機密ファイルがアップロードされるリスクが懸念されたことだ。3つ目は、生成AIを活用した業務効率化の推進。生成AIに機密情報を入力してしまうリスクが課題となった。

　「これらは全て生産性向上に関する課題です。ただ、情報漏えいのリスクを考えると単純に許可するわけにはいきません。そのリスクが本当に大きいのか、それとも杞憂（きゆう）なのかを定量的に評価する必要があります」（長谷川氏）

　WHIは「WHI流ALE法」という方法でリスクを定量化している。これは「漏えい頻度×最悪ケース想定被害額×全漏えい数のうち最悪ケースに至る確率＝月平均損害額」という式で表される。この計算で求めた損害額が大きい場合、セキュリティ対策を講じないと損害が発生し、結果的に生産性（利益÷総労働時間）を下げることになる。WHIが扱う人事給与データは漏えいした場合の被害額が非常に大きいことから、2022年にNetskope One SSEの導入を決定した。

　Netskope One SSEによる課題解決策として、私物スマートフォンでのSlack利用については、ファイルのアップロードをDLP（Data Loss Prevention）機能で検知して削除することで対応した。これによってファイルがダウンロードできない状態となり、安全に私物スマートフォンでSlackを利用できるようになった。

　多数のSaaSの利用については、Netskope One SSEで全てのアップロードを監視し、SOC（Security Operation Center）と連携して重要情報を即時検知し対応する体制を整えた。

　生成AIの活用も進んでいる。社内生成AIを導入している他、社外の生成AIサービスを利用するときはDLP機能で機密情報が記述された際に一旦送信を止め、警告を表示する仕組みを実装した。これによって情報漏えいリスクを最小限に抑えながらAI活用の恩恵を最大化することに成功^※2している。

※2　参考記事　ITmedia AI+「社内生成AIを2週間で開発→3カ月のPoCで全社展開　スピードの秘訣をプロジェクトの第一人者に聞いた」

Netskopeによりアップロードを監視し、私用Google Driveや未認可SaaSへの機密ファイルの持ち出しを防止（出典：WHI提供資料）《クリックで拡大》

　新たな取り組みとしては、SaaSの承認制度と連携した「Netskope Cloud Confidence Index」（CCI）の活用がある。SaaSの安全性を数値化して可視化するCCIは、SaaS導入審査において「非常に有用です」と長谷川氏は評価する。クラウドサービスのセキュリティ評価のばらつきや評価工数を削減し、申請されたSaaSの承認判断を迅速に行えるようになった。

　「WHIはセキュリティを業務ツール活用のブロッカーとするのではなく、生産性向上に向けてリスクを抑えて安心して使えるようにする『イネーブラー』として活用してきました」と長谷川氏。セキュリティ投資が単なるコストではなく、生産性を向上させるための投資である点を改めて強調し、講演を締めくくった。

Netskope One SSEの導入について講演するWHIの長谷川氏

進化し続けるNetskopeの次なる一手

　イベントではNetskope Japanの小林宏光氏（ソリューションエンジニアマネージャー）から、今後のプロダクトロードマップの紹介もあった。

　小林氏は注目機能として、BYOD（Bring Your Own Device）や協力会社の端末などでもセキュリティ機能を利用できる「Netskope One Enterprise Browser」、クラウド上に散在するデータを可視化し、継続的に管理できる「Netskope One Data Security Posture Management」（DSPM）、「WhatsApp」などのエンドツーエンド暗号化アプリケーションや「Microsoft Information Protection」で暗号化されたデータに対応する「暗号化アプリケーション対応」の3つを挙げた。今後も顧客との対話を重視しながら、多数の機能開発を進める予定だ。

Netskope One Enterprise Browserの主なユースケースと機能（出典：Netskope提供資料）《クリックで拡大》

　講演後の懇親会では、参加者間で運用課題や成功事例が活発に共有され、公式プログラム以上に濃密な情報交換の場となった。餅つきネタで人気のお笑いコンビ「クールポコ。」が登場し「多層防衛になっていないSASEを導入してしまった企業がいるんですよ〜〜」「な〜に〜!?　やっちまったなぁ！」「企業は黙って……」「Netskope！」というオチで会場の笑いを誘った。

SASEに関するネタを披露する「クールポコ。」の2人。会場は大いに盛り上がった

　次回の大型イベントとなる「SASE Summit Japan 2025」は、2025年5月30日（金）、コンラッド東京で開催予定だ。参加費は無料で、懇親会もある。ネットワークとセキュリティが融合する祭典に参加してみてはいかがだろうか。