JBCC、境界型防御を見直しゼロトラストへ 2000人規模グループで進めた段階整備

在宅勤務とクラウド移行で“社内と社外の境界”が崩れる中、JBCCグループは自己申告ベース管理の限界を踏まえてゼロトラストへかじを切った。JBCCは、約2000人規模でゼロトラストへ転換した自社事例を公開。IT予算の20〜25％を投じ、SASE導入や自社SOCの活用により、全方位の防御と運用負荷の軽減を実現したという。

[キーマンズネット]

　ITサービスを手掛けるJBCCは2026年3月31日、同社のセキュリティ対策の実践事例を公開した。従業員約2000人規模のグループで、アクセス元を問わず同一ポリシーを適用する体制づくりに取り組んだという。

JBCCが取り組んだセキュリティ対策の概要（出典：JBCCのWebサイト）

境界型防御を見直し、段階的にゼロトラストへ

　JBCCグループでは、従来は閉域網を前提とした境界型防御を採っていたが、在宅勤務への移行やSaaS、IaaSの利用拡大によって、データやアクセス経路がインターネット側へ広がった。加えて、グループ拡大に伴う統制のばらつきや、自己申告ベースの管理では利用実態を把握しにくいことも課題だった。

　この状況を受け、同社は「全てのアクセスを検証する」というゼロトラストセキュリティの考え方を採用し、段階的な整備を進めた。IPAなどが公開している各種ガイドラインを参考に自社の“弱点”をスコア化し、優先順位を付けて対策を進めた。ネットワーク面ではSASE（ネットワーク接続とセキュリティ機能を一体で提供する仕組み）を導入し、自宅や外出先、海外拠点を含めて、どこからアクセスしても統一したセキュリティポリシーを適用できる環境を整えた。

　並行して、端末の不審な挙動を監視するEDRや、クラウド設定の不備を点検するCSPMなどを導入し、防御体制を広げた。さらに、CASB（利用中のクラウドサービスを把握、制御しやすくする仕組み）の導入によってSaaS利用状況を把握しやすくすることで、未承認のファイル転送やリスクの高い生成AI利用の可視化にもつなげている。

　運用面においては、JBCCグループが顧客向けに提供している監視、運用の仕組みを自社グループにも適用した。セキュリティ運用監視センター「SMAC」と、24時間365日で監視や分析を担うSOC（セキュリティ運用監視組織）が連携し、ログ解析や脅威の一次判断、隔離対応といった専門的なオペレーションを担うことで、情報システム部門の負荷を軽減した。

　投資面では、JBCCグループはIT予算の20〜25％以上をセキュリティ分野に振り向けているという。一般的な水準より高めの投資を継続し、その中で得た知見を自社内で検証しながら運用改善に生かしてきた。

　導入効果として、まず運用効率の改善が挙げられる。従来はアラート発生のたびに担当者が対応していたが、現在は専門家による分析結果を受け取る形となり、業務負担が軽減された。詳細なログ分析により未承認ツールやリスクの高い利用状況を把握できるようになり、具体的な対策の実施が可能となった。また専門人材による分析を組み合わせることで、一般的なツールでは見逃されやすいリスクも把握できるようになり、顧客サービスの品質向上にもつながっている。

　今後は、この基盤を前提に、データ活用やAI活用を進めながらも、利用実態の把握と統制を両立する運用を強化していく考えだ。同社は今後も投資と検証を継続し、変化する脅威に対応したセキュリティ基盤の強化を図るとしている。