販売・輸入事業を展開する今回のお客様では、Microsoft 365 および Azure を中心としたクラウド環境のセキュリティ設定について、「過去に設定したまま見直しができていない」という課題を抱えていました。そこでJOPSは、セキュリティアセスメントを起点に、設定の見直しからセキュリティポリシー策定、インシデント対応方針の整備までを段階的に支援しました。本プロジェクトを通じて、技術面の対策だけでなく、経営層を含めた組織全体でセキュリティリスクを理解し、運用していく体制づくりが進みました。今回は、取り組みの背景や具体的な進め方、そして今後の展望についてお話を伺いました。

 

 

クライアント情報：

• クライアント：販売・輸入事業(社名は非公開)
• プロジェクト期間：2025年2月 〜
• エリア：東京

 

課題：

• 過去に設定したMicrosoft 365を中心としたクラウド環境のセキュリティ設定の見直しや更新が十分に行われていなかった
• セキュリティ設定の妥当性を社内だけで判断することに不安があり、専門的な視点での確認が必要だった
• セキュリティポリシーやインシデント対応方針など、組織としての運用ルールが十分に整理されていなかった

効果：

• セキュリティアセスメントにより現状を可視化し、優先度を整理しながら段階的に設定の是正を実施できた
• セキュリティポリシーおよびインシデント対応方針を策定し、組織としてのセキュリティ運用体制を整備できた経営層へリスクと対策を説明できるようになり、社内でのセキュリティ意識とガバナンス強化のきっかけとなった

 

目次：

• お客様インタビュー：
  • 背景：長年の信頼関係と、セキュリティ対策の見直し
  • 取り組み：アセスメントを起点に、優先度を整理しながら段階的に対応
  • 成果：セキュリティリスクを“説明できる状態”へ
  • 今後の展望：ポリシーを“作る”から“運用する”フェーズへ
• JOPSスタッフ一同より：

お客様インタビュー：

背景：長年の信頼関係と、セキュリティ対策の見直し

— 今回、当社にご依頼いただいたきっかけを教えてください。
 

お客様

JOPSさんと最初に出会ったのは、今から20年ほど前になります。当時私が在籍していた会社にJOPSさんのエンジニアの方が常駐されていて、2005年頃から2010年頃にかけて一緒に仕事をしていました。その頃から、開発品質や対応の丁寧さについてはよく知っていました。
 

その後、私自身が転職して別の会社に移ってからも、システムやITのことで何か課題があるとJOPSさんに相談させていただくことがありました。長年の付き合いの中で、信頼できるパートナーだという認識があったので、今回もまず相談してみようと思ったのがきっかけです。
 

今回のテーマはセキュリティだったため、実は社内で他社さまとの比較も行いました。セキュリティ専門の企業さまのサービスとも比較検討しましたが、JOPSさんはセキュリティ関連の資格保有者やMicrosoft関連の認定など、技術面でも十分な体制をお持ちでしたし、価格面も含めて総合的に見て遜色がないと判断しました。結果として、全体バランスの良さからJOPSさんにお願いすることにしました。
 

 
 

— 今回のプロジェクトでは、どのような課題があったのでしょうか。

 

お客様
当社では、過去にクラウド環境のセキュリティ設定自体は一度実施していたのですが、その後の見直しや更新が十分にできていない状態でした。セキュリティは一度設定して終わりではなく、環境の変化に合わせて継続的に確認していく必要があります。
 

そこで、「現在の設定が今でも適切なのか」「新たなリスクが発生していないか」を確認するため、まずはアセスメントをお願いすることにしました。主にMicrosoft 365を中心としたクラウド環境や、社内システムのセキュリティ状況を整理し、現状を客観的に把握するところからスタートしています。

取り組み：アセスメントを起点に、優先度を整理しながら段階的に対応

— 実際にどのような取り組みを進められたのでしょうか。どのような方針で進められたのでしょうか。

 

お客様
まずはセキュリティアセスメントを実施していただき、現在の環境がどのような状態にあるのかを整理したレポートを作成してもらいました。いわば健康診断のような形ですね。
 

レポートでは、指摘事項ごとに優先度も整理されていたので、それを基に「自分たちで対応できるもの」と「専門的な判断が必要なもの」を分けて対応していきました。幸い、致命的な問題は見つからなかったため、比較的対応しやすい部分から順に是正していく形で進めています。
 

例えば、Outlookのスケジューラーの公開設定など、使い方によっては不要な情報公開につながる設定を見直すといった対応もありました。このような比較的シンプルな設定変更は社内で実施しつつ、判断が難しい部分についてはJOPSさんに相談しながら進めました。

 

 

— プロジェクトはどのような進め方だったのでしょうか。

 

お客様
基本的には週1回のミーティングを行い、その中でアセスメント結果の内容を確認しながら、どの項目を優先して対応するかを整理していきました。
 

社内の担当者としてはある程度調べて対応方法の見当はついているのですが、「この設定で問題ないか」「別のリスクはないか」といった最終確認を専門家にしてもらえるのは大きかったですね。セキュリティ設定は一度変更すると影響範囲も大きいため、第三者の視点で確認してもらえることに安心感がありました。
 

アセスメント結果への対応が一段落した後は、セキュリティポリシーの策定にも取り組みました。こちらは週1回のミーティングを約3か月（12回程度）行いながら進めています。
 

ベースとしてはIPA（情報処理推進機構）のガイドラインを参考にしましたが、当社の組織体制や運用などの実態に合わせて調整していきました。実際の業務では複数の役割を兼任しているケースも多いため、現実的に運用できる形にカスタマイズしていった形です。
 

現在は、セキュリティポリシーに加えてインシデント対応方針の整備も進めています。ランサムウェアなどのリスクを想定した机上訓練も実施しており、万が一の際にどのように対応するかという体制づくりも進めているところです。

 

— プロジェクトの進め方について、印象に残っている点はありますか。

 

お客様
基本的にはリモートでの打ち合わせが中心でしたが、プロジェクトのキックオフの際に対面でメンバー同士の顔合わせをしていたこともあり、コミュニケーションで困ることはありませんでした。
 

やはり最初に直接会っておくと、その後のオンラインでのやり取りもスムーズになりますし、安心感も違いますね。週1回のペースで継続的に相談しながら進められたことで、無理なく段階的にセキュリティ体制を整えていくことができたと思います。
このようなフットワークの軽さも、JOPSさまにお願いして良かったと思った点のひとつです。
 

成果：セキュリティリスクを“説明できる状態”へ

— 取り組みを進めた結果、どのような成果がありましたか。

 

お客様

まず大きいのは、アセスメントで指摘された項目を整理し、必要な対応を順番に実施できたことです。対応後は、特にセキュリティ上の問題も発生しておらず、環境としては安定した状態を維持できています。
 

ただ、今回の取り組みで一番大きかったのは、単に設定を見直したことではなく、セキュリティリスクとその対策を社内にきちんと説明できるようになったことだと思います。
 

セキュリティポリシーやインシデント対応方針の整備を進める中で、リーダーシップチームミーティング（経営層の会議）において、「どのようなリスクがあり、それに対してどのような対策を取っているのか」を説明する機会がありました。
 

ITの話は専門的になりがちで、経営側からすると「よく分からないが何となく怖いもの」という認識になりやすいと思います。今回の取り組みを通して、リスクの内容や対策の考え方を整理して説明できたことで、マネジメント層にも理解してもらえるようになりました。
 

また、この議論の中で、会社全体のガバナンスについて考えるきっかけにもなりました。
 

例えば、セキュリティポリシーの策定においては「情報セキュリティ委員会」の体制を決めます。そこには個人情報保護責任者がメンバーに加わるのですが、その際に「個人情報保護の体制が十分に整理されていないのではないか」という意見も出ました。IT部門だけでなく、コーポレート部門も含めて、会社としてどのようにリスク管理をしていくべきかを見直すきっかけになったのは大きな成果だと思います。
 

セキュリティ対策というと、どうしても技術的な設定やツール導入に目が向きがちですが、今回のプロジェクトを通じて、会社としてリスクとどう向き合うかを整理できたことは、非常に意味のある取り組みだったと感じています。
 

今後の展望：ポリシーを“作る”から“運用する”フェーズへ

— 今後の展開について教えてください。
 

お客様
現在、セキュリティポリシーやインシデント対応方針の策定はほぼ完了しているのですが、これからはそれを実際の運用に乗せていくフェーズだと考えています。
 

まずは、リーダーシップチームで合意した内容をもとに、社員全体への説明を進めていく予定です。ポリシーを作るだけでは意味がないので、社員一人ひとりに理解してもらい、日々の業務の中で意識してもらうことが重要だと思っています。
 

また、四半期に1回のペースでセキュリティ委員会のような形の会議を実施し、継続的に状況を確認していく予定です。ポリシー自体も一度作って終わりではなく、環境やリスクの変化に合わせて定期的に見直していく必要があると考えています。
 

さらに、日本で進めている取り組みについては、グローバルにも共有していく予定です。当社の場合、日本のプレゼンスが非常に大きいため、ここで整備した仕組みが今後のグローバル運用の参考になる可能性もあります。
 

一方で、会社全体のガバナンスという観点では、個人情報保護への対応も重要なテーマになっています。現在はIT部門だけでなく、コーポレート部門とも連携しながら、必要に応じて外部の支援も含めてどのような形が適切かを検討しているところです。
 

今後もセキュリティだけに限らず、Microsoft 365の活用などを含めて、IT基盤をどのように活用していくかという視点でも取り組みを進めていきたいと考えています。
 

JOPSスタッフ一同より：

今回の取り組みでは、Microsoft 365 を中心としたクラウド環境のセキュリティ状況を整理し、アセスメントからポリシー策定、運用体制の整備まで段階的に進めるご支援をさせていただきました。
 

セキュリティ対策は、ツールや設定を導入するだけで終わるものではなく、「組織としてどのように運用していくか」が重要です。お客様とは週1回のミーティングを通じて、アセスメント結果の整理や優先度の検討、ポリシー策定などを一つずつ確認しながら進めていく形で取り組みました。
 

また、今回のプロジェクトでは、セキュリティポリシーやインシデント対応方針の整備を通じて、経営層への説明や社内での理解促進にもつながった点が印象的でした。セキュリティを単なる技術課題ではなく、組織としてのリスクマネジメントの一環として捉え、継続的に改善していこうとされている姿勢を強く感じました。
 

今後もポリシーの運用や見直し、Microsoft 365 の活用などを含め、IT基盤の継続的な改善に向けてご支援できればと考えています。

 

 

当社の関連サービス：

• ICTコンサルティングサービス
• セキュリティ診断・対策サービス
• Microsoft 365導入支援サービス