CloudbaseでNIST準拠、出光興産のDXを支えるクラウドセキュリティ

出光興産株式会社

燃料油、基礎化学品、高機能材、電力・再生可能エネルギー、資源の各分野において、様々な分野のパートナー・顧客との信頼関係をベースに、多様なエネルギーと素材の開発・製造・販売を手掛けています。2050年カーボンニュートラル・循環型社会の実現に向け、「一歩先のエネルギー」、「省資源・資源循環ソリューション」「スマートよろずや」の3つの事業領域への進化を目指し、国内外のネットワークを活用して新たな挑戦を続けています。

＜お話を伺った方＞

デジタル・ICT推進部 デジタルプラットフォーム課 後藤様

デジタル・ICT推進部 デジタルプラットフォーム課 東田様

デジタル・ICT推進部 デジタルプラットフォーム課 谷島様

デジタル・ICT推進部 デジタルプラットフォーム課 大懸様

導入前の課題

—ミッションについて

谷島様：我々デジタルプラットフォーム課のミッションは、IT戦略の企画から構築までを一貫して行い、社内とグループ会社に対してビジネス基盤となるネットワークやサーバーなどのインフラを提供することです。ただ提供するだけではなく、世の中の技術の進化に合わせて、その価値を向上させ、適正なコストで提供することも重要です。

—課題について

後藤様：弊社ではAzure活用を推進しており、デジタル・ICT推進部が全てのインフラ運用を担っています。3年前にAzureポリシーを策定し、ガイドラインを構築するなど、元々クラウドを利用するためのベースラインは作成していましたが、カスタムで作成したルールのアップデートが月10個以上発生するなど対応が難しく、運用として機能していませんでした。

私たちがクラウド環境を利用する前提としてグランドデザインと呼ばれる基本設計があり、逸脱しないよう構築を続けているため、セキュリティに対する心配はあまりなかったのですが、多岐にわたる実際のリソースを一元的にリスク評価し、確実にアラートを出せる体制になっていないことが課題でした。

CSPMを検討する中で、複数の製品をPoCし検証しました。その中でCloudbaseの導入を決めた理由は、ツールが非常にシンプルで確認したい情報をすぐに入手できること、日本語ガイドがあること、サポートのレスポンスが非常に早いことにありました。

活用方法について

後藤様：弊社では、CSPMを導入し、国際的な基準に準拠しているかどうかを判断する方針を定めています。現在はNIST SP 800-171 Revision 2を適用後、非準拠項目を全て確認し、作成したベースラインとのギャップを測っています。非準拠項目については、具体的な検知内容を確認し対応を行っています。新規リソースを構築した場合は、必ずリスク評価され、運用開始前にチェックする体制を整えています。

谷島様：月に一度、CloudbaseのデータをCSVにエクスポートし、運用チームでリスクやアラートを確認し、対策を決めています。特に現在適用しているNISTに重点を置き、対応しています。

導入後の効果について

大懸様：今まで気づいていなかったクラウドのリスクを検知できる点が大きな効果です。また、重要なリスクが存在しなかったという事実がわかることも安心感に繋がっています。弊社が策定したクラウドのベースラインの精度を証明する事に繋がりました。リソースの設定を全て確認して証明することは非常に手間がかかるので、Cloudbaseで瞬時にリソースの設定ミスを確認できる機能に助けられています。

東田様：インフラを構築しながら設定ミスを検知できるので、プロセスの様々なタイミングで修正できるところに効果を感じています。設定ミスが残ったままリリースをしてしまうと取り返しのつかないことになるので、事前に確認できる点が非常に助かっています。

また、インフラのセキュリティ対策状況について、セキュリティ品質を管理している部署や上長へ報告する際には、NISTを基準とした結果を共通言語とすることができるようになり、結果として社内のコミュニケーションがとりやすくなりました。

展望

谷島様：3年前はクラウドのベースラインを運用できず陳腐化してしまいましたが、今後はCloudbaseを利用してインフラを構築するためのルールを策定し、着実に運用していきます。今後もAzure環境は増えていきますし、社内にはAWS環境もあるため、マルチクラウド環境でも同じルールでセキュリティリスクを判定していきたいと考えています

後藤様：他社のソリューションの場合、我々が必要とする機能の開発を直接リクエストし応えていただくことは難しく、扱いづらさを感じることも多かったのですが、Cloudbaseは運用する中で判明する改善点を機能へ反映してくれるため、日に日にチームとして使いやすいツールへ育っているように思います。今後もサポートを期待しています。