ビジネス加速のためのクラウド積極活用への挑戦。マルチクラウドの常時監視で、経営層も納得できるセキュリティ基盤を構築

キオクシア株式会社

事業内容：2017年4月に東芝のメモリ事業を分社化して設立されました。スマートフォン・PC・データセンターなどの情報インフラに不可欠なフラッシュメモリ・SSDを開発・製造・販売しています。1987年にNAND型フラッシュメモリを発明し、2007年には3次元フラッシュメモリを世界に先駆けて発表。世界最大級のフラッシュメモリ生産規模を誇っており、2024年度におけるフラッシュメモリの容量ベースにおける生産量は、当社グループ、およびSandiskグループとの製造合弁会社分を合わせ、約3割のシェアを有しております。

創立：2017年4月1日

グループ従業員数：約15,000名

＜お話を伺った方＞
サイバーセキュリティセンター　セキュリティ技術担当　グループ長　戸川 慎也 様
サイバーセキュリティセンター　セキュリティ技術担当　石田 祐樹 様
IT推進部 グローバルインフラ推進担当 主務　大津 健太郎 様

ミッションについて

グループ全体のセキュリティを統括する体制と、少数精鋭で支えるクラウド基盤

戸川様：キオクシアという社名は、日本語の「記憶」とギリシャ語で「価値」を意味する「アクシア」を組み合わせた言葉です。人々が社会生活を通して生み出す記憶から新しい価値を創り、世界を面白くしていきたいという思いが込められています。

当社のサイバーセキュリティセンターは、社長直下のCISO所管のもとで活動しています。私はキオクシアホールディングスの籍も兼務しており、グループ全体のセキュリティガバナンスを推進しています。サイバーセキュリティセンターの活動範囲はIT領域だけでなく、工場のOT（Operational Technology）領域、数千社に及ぶサプライヤーも対象です。製品セキュリティも管掌しており、海外を含むグループ全体のセキュリティレベルの底上げが私たちのミッションです。センター内には3つの課があります。私と石田が所属するセキュリティ技術担当のほか、ガバナンスを担当する課、セキュリティインシデントに対応する課という体制です。もともとCSIRTとPSIRTは組織上分かれていたのですが、一体化した方が合理的とわかり、現在の統合体制となっています。

石田様：私はサイバーセキュリティセンターの技術担当として、外部からの攻撃対策全般を担当しています。IaaS環境だけでなく、SaaSのセキュリティ審査も含めた広い範囲を担当し、Cloudbaseの運用における主担当として日常的に活用しています。

大津様：私はIT推進部のグローバルインフラストラクチャー推進担当として、戸川・石田とは別組織で、海外拠点を含むキオクシアグループ全体のITインフラストラクチャーの設計・構築・運用を担当しています。24時間稼働の環境を少数精鋭で支えています。

導入前の課題

分社化を機に問われたクラウド運用の「自立」。継続監視の仕組みがない状態での不安

大津様：私が現チームにジョインしたのは、ちょうど東芝から独立するタイミングで、大きな使命を感じてジョインしたことを覚えています。当時、AWSやAzureのクラウド基盤の分離を丁寧に進めていました。東芝時代は強固な全社共通プラットフォームの恩恵を受けていましたが、分社化に伴い、今後はすべて自ら運用を担う必要が生じたのです。CCoEやセキュリティ・バイ・デザインといった取り組みを通じて、クラウドのセキュリティやガバナンスを高める施策は着実に進めていましたが、次のステップとして、その運用品質を継続的に客観評価できる仕組みを求めていました。

戸川様：クラウドを利用する際には、設計書や構成図をもとにチェックリストで初期確認を行い、「この設計でいける」と合意してからスタートするという手順を踏んでいました。問題はその後です。1年も経てば担当者が異動していることもよくあります。「あの頃約束したルールが今も守られているか」という点が、常に不安でした。また、世の中でクラウドを原因とする情報セキュリティ事故が増えてきたことも、常時監視の必要性を強く意識させるきっかけになりました。

当社の情報セキュリティ規程・ガイドラインはNIST SP 800を参照して策定しており、キオクシア独立のタイミングで施策整備を進めてきました。主要顧客からの準拠要求を見据え、最初にルールを整備し、ガバナンスを揃え、それに沿ったツールを導入していくという流れで取り組んできました。さらに当時は、AWS Security Hubを使っていたものの、それを見ていたのは大津のいるIT推進部門で管理している状態でした。

大津様：当時、外部の企業にお願いして年に1回のフレームワーク評価を受けてはいたのですが、あくまで「健康診断」のようなもの。手組みで監視の仕組みを作ることもできなくはないのですが、自分たちが作ったものへの信頼性という問題もあります。そういった意味で、第三者評価を継続的に得られる仕組みとしてCloudbaseの検討を始めたのが、最も大きな動機でした。

マルチクラウド環境の一元管理へ。日本語対応の完成度が選定の決め手に

石田様：導入にあたっては外資系も含め複数の製品をPoC（概念実証）で評価しました。評価軸の中でも特に重視したのが「実際に運用が回るかどうか」という点です。

Cloudbaseを実際に使ってみると、画面の一覧・検出した内容・対応策がすべて日本語で表示されていて、非常にわかりやすい。競合製品の中には、インターフェースは一部日本語でも、リスクへの解決策の部分が英語のままというものがありました。いざリスクに対応しようとした際に翻訳の手間が生じる点が、実運用上のネックでした。Cloudbaseはそういった手間がなく、運用担当者の負担が少ないと感じたことが大きな理由です。

戸川様：コストは製品間でそれほど大きな差はありませんでした。最終的な決め手はコストではなく、使いやすさです。

石田様：複数のクラウド環境を横断して一元的に確認できるマルチクラウド対応も、当社の環境にとって重要な強みでした。

活用方法について

セキュリティ部門とIT推進部門が連携した、現実的な運用体制の構築

石田様：2024年9月からCloudbaseの運用を開始しました。導入前はセキュリティ部門とIT推進部門との間にはIaaSセキュリティに関する対策について情報共有する仕組みがなく、「どちらが何を判断して、誰が対応するのか」という役割分担も曖昧なままでした。Cloudbaseの導入を機に、セキュリティ部門とIT推進部門が初めて同じ画面・同じデータをもとに議論できる環境が整い、「セキュリティ部門がリスクを取りまとめて優先度を判断し、IT推進部門が是正対応を実施する」という運用ルールを明確にすることができました。体制としては、セキュリティ部門2〜3名でCloudbaseの取りまとめを担い、対応が必要なリスクをIT推進部門にお願いして是正対応してもらっています。

戸川様：当社のクラウド環境はパブリッククラウドですが、専用線接続・閉域網でプライベートクラウドのように運用しており、外部接続がほぼない構成です。導入直後は大量のアラートが検出されましたが、「ポート22番が開いている」といったアラートは、当社環境ではノイズでしかありません。そのため、最初はかなり時間をかけて、自社環境として本当に対応すべきものは何かという基準を精査し、現実的な数まで絞り込みました。セキュリティ部門とIT推進部門で合意した上でポリシーを策定し、そのポリシーに基づいて対応を進めていきました。

大津様：Cloudbaseを軸にした運用ができたことで、IT推進部門に来る依頼や相談が非常に具体的になりました。「このユーザーにMFAが設定されていないが対応できるか」「このリソースは未使用なので停止した方がよい」といった形で、やるべきことが明確に示されます。それ以前の手組みの監視と大きく異なるのは、ツール主導で運用できる点です。担当者が変わっても、引き継いだ人がスムーズに運用に入れる。人に依存しない運用が実現できたことが非常に大きいと感じています。

導入後の効果について

常時監視の実現と、経営層を説得する「客観的な証明」の獲得

石田様：導入当初から数ヶ月は、出てきたアラートの精査が中心でした。自社環境に合ったポリシーが固まり、運用が実際に回り始めたのが運用開始から約半年後です。その後、月次レポートを見ながらリスク件数の推移を定点観測する取り組みをさらに本格化させ、運用開始から約1年が経つ頃には集中的な対応の成果としてリスク数が大幅に減少し、定量的なデータとして示せる状態になりました。弊社で本当に対応すべきリスクに集中できる体制が整い、少人数でも常時監視の運用が回せていることは、効果として非常に大きいと思っています。

大津様：定性面での変化として最も大きかったのは、クラウドセキュリティ運用において自信が持てるようになったことです。導入前は、自分たちの構築・運用に対して客観的な根拠がありませんでした。Cloudbaseを導入したことで、今まで自分たちがやってきたことが間違いではなかったという評価を得ることができたと考えています。

戸川様：当社は製造業として技術情報の保護を極めて重視しており、オンプレミスでの強固な管理を基本とする確実性の高い文化が根づいていました。コロナ禍でクラウド移行が一気に加速した際、経営層から「クラウドを使って本当に大丈夫なのか」という声が上がりました。その問いに対して、「こういう形で常時監視しています」と定量・定性のデータで示せるようになった。説得材料が大幅に増えたと感じています。

各拠点から「本当にクラウドに移行していいのか」という声に対しても同様です。私たちが「問題ない」と言うのではなく、監査ツールも客観的に「問題ない」と示してくれる。その説得力は、自分たちの言葉だけでは出せないものでした。

以前は不可能だったことが当たり前にできるようにもなっています。たとえば「この特権アカウントにMFAが未設定」といったピンポイントの確認・対応指示が、Cloudbaseでは自然にできます。こうした具体的な指示が可能になったことで、リスク対応のスタートラインが大きく前に進みました。

今後の展望、Cloudbaseへ期待すること

CDRによる自動対処、そして監視範囲の拡大へ

戸川様：クラウド活用は今後さらに加速すると見ています。オンプレミスは保守要員の確保が難しく、サーバー設置場所によっては障害時のサポートも翌日以降になってしまう。人が減ってきている中で、クラウド移行は不可避な流れです。OT領域においてもいずれクラウド活用が進んでいくと見ています。

一方で、クラウド側のセキュリティに求められる水準も上がっています。現在のCloudbaseのようなCSPM（クラウドセキュリティ態勢管理）ツールは、クラウド環境の設定ミスや脆弱性を継続的に検出・可視化し、対応の優先度を判断するためのものです。他方、業界では今「CDR（Cloud Detection and Response）」という領域への注目度も高まっています。

CSPMが「リスクを見つけて人間が対処する」ものだとすれば、CDRはさらに一歩進んで、検出した脅威にリアルタイムで自動的に対処するところまでを担います。今のフローだとリスクのクローズまで長い場合で1週間かかることもありますが、攻撃側は数秒で仕掛けてくる。その速度差を埋めるためには、自動対処の仕組みが不可欠な時代になっていると感じています。また、IaaSだけでなくSaaSも本格的に利用し始めていますので、IaaS・PaaSと同様の常時監視をSaaSでも実現することが次の検討テーマです。

石田様：監視対象の拡大についてもさらに検討を進めていきます。監視対象の台数が増えていくにつれ、様々な拠点のIT担当と連携が必要になってくると思います。検出・対処における運用のしやすさは、Cloudbaseの良いところだと思っています。そのまま維持していただければ大変ありがたいです。

大津様：私はこれまで多くのベンダーとやり取りをしてきましたが、Cloudbaseの皆さんは人との距離感が近く、個人的にとても信頼がおけます。このまま続けていただけたらと思います。