ゼロトラストで事業を加速する攻めのセキュリティを実現

  1992年に設立した新日本製薬は、「世界中の人々の健やかで心豊かな暮らしを創造します」をビジョンに掲げ、事業を展開している。健康食品から事業をスタートし、2000年には化粧品市場に参入。「多様化する女性の生き方に寄り添い応援したい」という思いからスキンケア事業の基幹ブランドとなる「PERFECT ONE」が誕生した。

と執行役員 IT 本部 管掌の佐藤敦氏は語る。

急成長の理由のひとつとして、新型コロナウイルスの感染拡大により「巣ごもり需要」が拡大し、通販市場が大きく伸びた現状がある。また、健康志向の高まりやマスク着用が習慣化、在宅時間の拡大など、ライフスタイルが大きく変化したことで、手軽にスキンケアできるオールインワン化粧品の需要が高まっていることも追い風になった。

「マスク着用による肌の悩みに対応した商品や、マスクに付きにくいメイク商品など、現在の状況にあった製品を開発しています」と佐藤氏。顧客一人ひとりに合わせた商品を提供すると共に、顧客への商品提案も強化している。

そういった活動を支えているのが同社のIT本部だ。

「IT本部は数年前まで管理部門の一部でした。昨今、デジタルはビジネスに欠かせない重要なものとなっており、DXなども求められています。そこでIT本部として切り出して業務を行うようになりました。基幹システムや受発注の管理の他、総務・人事・労務業務システムなども見ているため、業務としては非常に幅広いのですが、外部のパートナーとも協力しながら企画・管理・運用をしています」と佐藤氏。

市場の変化に対応できるように、短期間で導入できるパッケージ製品やサービスを中心に採用。新しいテクノロジーを積極的に取り入れ、ビジネスの成長を支援している。

とIT本部・情報システム部・情報システム課・課長補佐（セキュリティチーム担当）の長野悠也氏。

境界型セキュリティでは、内部ネットワークに接続するデバイスや人は「信頼」し、水際でのセキュリティ対策を行う。そのため外部ネットワークにあるクラウドサービスには境界型セキュリティを適応できない。さらに、テレワークの急速な普及によるモバイルへの対応も容易ではない。内部に侵入されると攻撃に対して無防備という問題もあり、従来の境界型セキュリティによる水際対策では、セキュリティを担保することが難しくなっているのだ。

「利便性を落とさずにセキュリティを担保できる方法はないかいろいろと考えていたときに"ゼロトラスト" という新しい概念に出会いました。現在は、米国国立標準技術研究所（NIST）などがゼロトラストのアーキテクチャをまとめていますが、簡単に言うと、様々な通信をチェックし、それぞれにセキュリティ対策を講じるというものになります。このゼロトラストを実現するネットワークを構築しようと考えました」（長野氏）

ゼロトラストネットワークでは、サイバー攻撃からの防衛だけでなく、クラウドベースのサービスを安心して活用できるというメリットもある。そこで、いくつかのベンダーにゼロトラストネットワークについて提案を求めることにした。

「ゼロトラストを実現するためには7 つの構成要素がありますが、それを満たすことができたのは数社しかありませんでした。その提案の中でも、Security Operation Center（SOC）のような活動については、我々が行わなければいけない提案が多く、人的リソースをどう確保するかという課題がありました」と佐藤氏。

新日本製薬のIT 部門には、セキュリティ担当として3 名ほど配属されている。普段はこのメンバーでセキュリティを運用しているが、アセスメントやSOC などの活動を行うだけのヒューマンリソースは割り当てられていない。多くのベンダーの提案内容は、同社の要件を満たしているものの実際に導入・運用していくためには超えなければいけない課題も多かったのだ。

「一方、ＪＢＣＣは単なる導入だけでなく、将来を見据えたロードマップを提示し、アセスメントや運用まで含めて提案してくださいました。人的リソースはＪＢＣＣにアウトソースできるため、運用時の課題もクリアできます。ＪＢＣＣは自社のラボで実際に製品を使い込んでいるため、カタログスペック以上の知見を持っています。そういった知見を活かし、我々の課題や運用まで考慮した提案内容をご用意してくださいました。SIer としても信頼でき、不安もありません。そこでＪＢＣＣの提案を採用しました」と佐藤氏。

ゼロトラストネットワークを構築するため、SASE によりネットワークセキュリティを最適化すると同時に、IDaaS によりアイデンティティの管理を実施した。SASE はネットワークとセキュリティの機能をクラウド上で統合し必要な機能をまとめて提供するテクノロジーである。IDaaS は複数のサービスのIT・パスワードの一元管理をクラウド上で可能とする。

「1st ステップとして、モバイル利用のVPN をSASE に統合しています。また、IDaaS については、一部業務から試験導入を進めています。今後、Web 系と基幹系のネットワークをSASE に統合し、IDaaS についても適応範囲を拡大していく予定です」（長野氏）

SASE の運用については、「マネージドサービス for SASE Plus」を採用。月額サービスなのでコストを平準化でき、定期的なセキュリティミーティングも行っている。24 時間365 日体勢の運用センターSMAC でリモート監視しているため、IT 本部の運用負荷の軽減にも寄与している。

「SASEを導入したことで、利便性を高めつつセキュリティを高めることができます。例えば"ユーザーの潜在ニーズを知るためSNSを確認したい"、"ファイルをダウンロードするためにオンラインストレージを使いたい"というニーズがあっても、SNSに情報を書き込めたり、オンラインストレージにデータをアップロードできたりするリスクがあるため使用を許可できないというケースがあります。SASEをきちんと運用することで、"SNSは閲覧のみ"、"オンラインストレージはダウンロードのみ"というように必要なデータは入手しつつ、機密情報はアップロードできないといった対応もできるようになります」（長野氏）

さらに、Web系ネットワークと基幹系ネットワークを統合することで、データの利活用も推進されていくだろう。

「現在、Web系ネットワークと基幹系ネットワークが分かれているため、データをスムーズに連携することができません。ネットワークが統合されればデータベースにアクセスしやすくなり、受発注や顧客の分析、商品開発などにもデータを活用できるようになるはずです。こういったことが実現すれば、ビジネス上のメリットも大きいと思います」（長野氏）

新日本製薬では、今後、インシデント対応やクラウドガバナンスを構築するため、EDRやCSPM/CWPPを段階的に導入していくという。

「セキュアで利便性の高いネットワーク基盤があるからこそ、事業をどう発展させるのか、何をどう載せるのかという議論ができるのです。そういった意味では、ゼロトラストネットワークは、やりたい事を素早く実現するための選択肢を増やすことができる、攻めのセキュリティだと思います」（佐藤氏）

セキュリティというと「防衛」だけに注目してしまいがちで、ビジネス面の足かせになりかねない。ゼロトラストネットワークを構築し、攻めと守りの両輪で進む新日本製薬の活動は、業界からも注目を集めている。

本日は貴重なお話しをありがとうございました。

小林 聖司

サービス事業　セキュリティサービス事業部　リスクアセスメント　担当部長　

新日本製薬様のご担当者様は、セキュリティにも詳しく、「現状をこう変えていきたい」という明確なビジョンをお持ちでした。私たちは、IT・セキュリティのプロとしてその想いを優先順位を決め、ゼロトラストネットワーク構築のプロセスを具体化していくお手伝いをさせていただきました。
今後も、新日本製薬様が事業の成長を更に加速して頂くために、安心頂けるセキュリティ対策を目指します。

ゼロトラスト・SASEマネージドサービス事例

ゼロトラストで事業を加速する攻めのセキュリティを実現先進的なクラウド活用で利便性を高めつつ、強固なセキュリティを確保へ

資料をダウンロードする