ハイライト
クラウド活用推進と同時に、BCP 強化とランサムウェア対策のため AvePoint Cloud Backup を導入
バックアップデータの冗長化や SOC2 等の各種認証取得、バックアップ時とリストア時の通信が Azure 上で完結する点などが、監査業界の厳格なクラウドセキュリティ要件をクリア
- ランサムウェア感染が疑われる挙動の検知機能を SharePoint にも拡大。セキュリティを心配せずに、SharePoint をファイルサーバー代わりに活用するには「導入必須のサービス」
ランサムウェアで万が一、顧客企業の監査データがロックされることになれば、会社としての危機です。
EDR の導入はもちろん必須ですが、ランサムウェアは日々アップデートされているため、どれだけエンドポイントの対策をしてもそれで十分ということはありません。オンプレミス環境同様にクラウド環境にもデータ復旧の手立てが必要だと考えています。
Customer Interview
お話を伺った方々
大原 拓 様 三優監査法人 情報システム部部長 兼 ICT企画委員会委員長
原山宗正 様 三優監査法人 情報システム部
松井秀太郎 様 株式会社ソフトクリエイト(三優監査法人のご相談先 SIer)
BCP 推進をきっかけにクラウド化に取り組みはじめた
「三優監査法人は、被監査会社のデータを扱う法人として高度な情報セキュリティが必須と考えており、また、各所から検査をされていることからも、とても高い水準の情報セキュリティが求められています。例えば、日本公認会計士協会から出されている『IT委員会実務指針第4号』に準拠して情報セキュリティに対応したり、数年に一度は金融庁の検査を受ける必要があったり、といった要件が定められています。
こうした環境で業務のクラウド化が進んだのは 2020 年頃のことで、法人として BCP(事業継続計画)を推進していくことがきっかけでした。当時はオンプレミスの物理的なサーバーに情報を保管していたのですが、そこには顧客企業の監査データも格納されているため、災害で物理的にサーバーが破損しアクセスできなくなると非常に困ります。
そのため、サーバーのデータは月一の頻度で外付け HDD にバックアップを取り、国内の別の事務所に移動させ保管していたのですが、毎回手間と時間が掛かっていました。ディザスタリカバリ(災害復旧)を考えると、データ保管場所をクラウドに移行していく必要があったのです。」(大原様)
クラウド環境で Excel と SharePoint を活用するため Microsoft 365を導入
「クラウド化を推進するなかで Microsoft 365 を導入した経緯として、公認会計士の業務に表計算ソフトの Excel は必要不可欠であることが挙げられます。また、社内のポータルサイトを構築するために SharePoint の活用も進めていくことになりました。クラウド化にあたり、これまで使ってきたファイルサーバーの代わりとして Microsoft Azure 内にサーバーを立てることも検討しましたが、容量課金とダウンロード課金による年間コストを考えると、容量が余っている SharePoint を活用したほうがよいとの判断になりました。
しかし、Microsoft 365 には大きな課題がありました。標準で実装されているゴミ箱機能は、デフォルトの設定で 60 日間しか削除したデータが保管されず、 60 日を越えると完全にデータが削除されてしまう点です。また、Microsoft 側の障害などでバックアップが消えた場合の補償もなく、もしそうなった際はデータの復旧ができないという懸念もありました。」(原山様)
ランサムウェア対策はエンドポイントだけでは不十分。自社のデータは自社で守る
「クラウド導入後のセキュリティ面では、ランサムウェア攻撃への対策に課題を感じていました。ランサムウェアで万が一、顧客企業の監査データがロックされることになれば、会社としての危機です。
EDR(組織内のネットワークに接続されているエンドポイントからログデータを収集し、不審な挙動やサイバー攻撃を検知した際に、管理者に通知するソリューション)の導入はもちろん必須ですが、ランサムウェアは日々アップデートされているため、どれだけエンドポイントの対策をしてもそれで十分ということはありません。オンプレミス環境同様にクラウド環境にもデータ復旧の手立てが必要だと考えています。
以上のことから、自社のデータは自社で守らなければならないと考えるようになり、社内サーバーの交換のタイミングで Microsoft 365 を導入すると同時に、クラウド上のデータ保護ツールを検討開始しました。」(原山様)
AvePoint Cloud Backup を選択した理由
■ゼロトラスト環境を目指すお客様へ、高い可用性をもたらすサービスとして最適
「大原様と原山様から弊社(ソフトクリエイト)に対しては、社内サーバーのリプレイスと Microsoft 365 の導入をきっかけに、ゼロトラスト(ネットワークの内外を区別せず、守るべき情報資産やシステムにアクセスするものはすべて信用せずに検証すること)の状態を目指したいというご要望を頂いておりました。
特に今回の案件で意識したのは、BCP を考慮した多様な働き方への対応です。高い可用性の実現において、多額のコストを支払いながら冗長化やバックアップの仕組みを導入しても、構成の煩雑さや運用面での負荷が増えてしまっては業務効率が低下してしまいます。
そのため、高い可用性を標準で持つクラウドサービスを中心に、分かりやすく、運用面で負荷が生じないようなサービス選定を心掛け、AvePoint Cloud Backup をご提案いたしました。」(ソフトクリエイト 松井様)
■監査業界の厳格なクラウドセキュリティ要件をクリア
「製品自体のセキュリティ体制がしっかりしていた点も選定のポイントです。AvePoint Cloud Backup と Microsoft 365 プラットフォームはともに Microsoft Azure 内にデータ保管しており、バックアップやリストアの際の通信が Azure 内で完結するため、情報漏洩の危険性が限りなく低いことは安心材料でした。
さらに、AvePoint Cloud Backup で取得したバックアップデータは Azure 上で冗長化されている点や、AvePoint 社が SOC2 などの各種セキュリティ認証を取得している点などが評価され、弊法人の厳しいセキュリティ要件も問題なくクリア。社内の情報セキュリティ管理委員会の承認をスムーズに得ることができました。」(大原様)
AvePoint Cloud Backup 利用後のメリット
■復旧するデータの対象期間と検索キーワードを、簡単に指定できる点が便利
「現在、弊法人では Microsoft Teams を活用しており、Microsoft Teams の裏で SharePoint サイトが作られています。過去のデータを復旧する作業はまだ発生していませんが、復旧するデータの対象期間と検索キーワードを簡単に指定できる点が便利だと思いますね。
弊法人では比較的容量の大きなデータを扱っており、AvePoint Cloud Backup ならバックアップ容量が無制限なので、データ保管の状況を気にする必要がなくなりました。」(大原様)
■いつでもデータを戻すことができる安心感と、バックアップ作業に手間を取られない環境を構築できた
「いつでもデータを戻すことができる状態であること、バックアップに手間がかからないことは、業務上の安心感に繋がっています。
オンプレミスのファイルサーバーを利用していた時は、手動で外付け HDD にデータを移して暗号化し、別の拠点に移して保管していたため、データを復旧させるにはまずその HDD を手に入れる必要がありました。しかし現在では、Microsoft 365 のデータは自動で AvePoint Cloud Backup 上に遠隔地保管されるため、毎月 4 時間ほどかかっていた手動バックアップの手間が一切なくなり非常に助かっています。リストアも数クリックでできるため、HDD を取り寄せるのに比べたら手軽にデータ復旧ができます。
また、以前の方法でバックアップをする場合、誰かがファイルを使用しているとエラーが出てしまっていました。そのため、誰もデータにアクセスしていない深夜の時間帯を選んでバックアップしていました。それでもデータコピーに失敗することもあったのですが、現在はその心配もありません。」(大原様)
今後の展望
■セキュリティ面を心配せず、安心して SharePoint を使い倒していきたい
「今回の AvePoint Cloud Backup の導入によって、セキュリティ面を心配せず安心して SharePoint を活用できる環境が整いましたので、今後はしっかり SharePoint を使い倒していきたいですね。ランサムウェア感染が疑われる異常行動や暗号化処理の検知対象が OneDrive だけでなく SharePoint にも拡大したので、さらに安心感が高まりました。弊法人のように SharePoint をファイルサーバー代わりに活用するにあたっては、AvePoint Cloud Backup は導入必須のサービスだと思っています。
また、新たな課題を解決していくために、ソフトクリエイト様とも引き続き連携し社内のデジタル化とクラウド活用を進めていく予定です。」(大原様)