マルチクラウド環境で「縛られない安心」を実現 ── 小さな成功体験から広げるクラウドセキュリティ運用

株式会社ロッテ

1948年の創業以来、菓子・アイスの製造販売を中心とした事業活動を展開している食品メーカー。

＜お話を伺った方＞
ICT部 ITインフラストラクチャ・情報セキュリティグループ シニアマネージャー　池田 裕介　様
ICT部 ITインフラストラクチャ・情報セキュリティグループ 情報セキュリティチーム　槌屋 良章　様

ミッションについて

「繋がる未来へ、すごい挑戦を共に」を掲げるコーポレートIT

池田様：私たちが所属する部門は、社内システム、お取引先様との受発注システム、会計システム、工場に繋がるシステムまで、業務を支えるITシステム全般を統括するコーポレートIT部門です。そのなかで、私が率いる情報セキュリティインフラグループは、これらの基盤を作り、いかにセキュリティを保つかをメインテーマとする部署です。「インフラを作るチーム」「運用を回すチーム」「セキュリティを担うチーム」の3つで構成されています。

私たち部門全体のパーパスは「繋がる未来へ、すごい挑戦を共に」です。「繋がる」というのはシステム的な意味にとどまらず、ITを使って様々な部署の業務を繋いでいく、という想いを込めています。「すごい挑戦を共に」は、様々な部門の皆さんと一緒にITの力で思わず感嘆するような挑戦を実践していける部門でありたい、という姿勢の表明です。

槌屋様：私は情報セキュリティチームに所属し、会社の情報セキュリティを全般として扱っています。サイバー領域からガバナンス領域まで幅広く、現在はそれらを洗い出しながら、Cloudbaseを活用して発見と改善を日々進めているところです。

導入前の課題

全社クラウドシフト完了後に残っていた「空白地帯」

池田様：2019年まで、基幹システムを含むほぼすべてのシステムをオンプレミスで運用していましたが、次バージョンへの入れ替えに合わせて、SAP社のクラウドサービスを利用する形に転換しました。

このタイミングで、周辺システムに関してもオンプレからすべてクラウドへシフトしようという方針になりました。事業会社の情シス部門として人数は限られています。オンプレ特有の脆弱性対応、EOS対応、故障時の現場立ち会いといった業務にリソースを取られることを避けたかったのが大きな理由です。また、オンプレ時代はベンダー様への依存度が高く、現地作業や脆弱性対応をすべてお願いせざるを得ない状況でした。そこからは一歩脱却し、今後は内製での開発とセキュリティ対応を自社主導でスピーディーに進めていきたい、という意図もありました。

基幹システムはGoogle Cloud上、周辺システムはAWS上、という構成で2020年4月にクラウドシフト自体は完了したのですが、よくよく考えてみると、クラウド特有のセキュリティ対策が抜け落ちていたことに気づきました。そこを固める必要があると思い、製品を探し始めました。

槌屋様：私が参画して実際にAWSの環境を見たときの第一印象は、とにかく設定ミスが多い、というものでした。そしてそれに誰も気づけていない、という現状に危機感を覚えました。

池田様：加えて、クラウドシフト後もベンダー様に運用をお願いしている領域はあります。そのなかで、ベンダー様が『セキュリティ対応しています』と言っていても、そのエビデンスが見えないという別の課題もありました。ベンダー様と同じものを見ながらセキュリティ対応ができているという共通言語を構えたかった、ということも、可視化ツールを探す大きな動機でした。

Cloudbase導入の決め手

わかりやすい日本語表記と「買って終わり」にしない伴走姿勢

池田様：私たちは当初からベンダーロックインを懸念してマルチクラウドの戦略を取っていました。今後はGoogle Cloudをさらに活用する可能性があり、将来的にはMicrosoft Azureを使う可能性もあります。そう考えたときに、一元的にセキュリティを見れる仕組みが必要だと考え、「それを実現できる製品は何か」という軸で探し始めました。その結果、Cloudbaseに出会いました。

最終的な決め手はいくつかあるのですが、まず大きかったのは『日本語で丁寧に解説されている』という点です。社内では、既存システムをベンダー様と運用する一方で、若手エンジニアがAWSを活用しながら内製開発を進めています。開発が先行するなかで、どうしてもセキュリティは後回しになりがちです。そこをしっかり握りたいと思っていました。開発担当者に『セキュリティリスクがあるから対応して』と言っても、その内容が英語で書かれていると対応ハードルが上がってしまいます。Cloudbaseの場合は、しっかり日本語で表現されていて、記載の通りに実施すればそのリスクを潰せる状態になっています。今後の内製開発の広がりを考えたときに、これは非常に大きなメリットだと判断しました。

もう一つの決め手は、Cloudbaseの伴走姿勢です。私たちはAWSやGoogle Cloudの領域に深く精通しているわけではないので、導入後もしっかり並走していただけることは、機能以上に重要な選定基準でした。

活用方法について

まずはインフラ部門の範囲に絞って、成功体験を積む

槌屋様：現在、私の所属する情報セキュリティチームは少人数体制ですが、Cloudbase導入のプロジェクトに当初から並走していたのは私一人です。現在は私がリーダー的な役割で運用を進め、他のメンバーには進捗確認や工数管理でサポートいただいているという構図です。実質、情報セキュリティチームとしては私1人で動いています。

池田様：私たち情報セキュリティインフラグループは3チームで構成されており、これらは比較的一体で動ける関係にあります。一方で、既存のアプリケーションを運用する別のグループもあり、その背後にはアプリケーションの運用ベンダー様が控えています。脆弱性・設定ミスが検出された際、その対応にはインフラ側の設定変更だけでなく、その上で動くアプリケーション側の調整も必要になります。そうなると、アプリケーション側の担当者は誰か、その背後のベンダー様は誰か、そのベンダー様を管理しているのは誰か、というところが必ずしも明確になっていないケースがあり、全社一斉に運用を立ち上げようとすると、なかなか前に進みません。

槌屋様：そこで私たちは、まず自分たちの責任範囲内、つまりインフラ部門の持ち物に絞って運用を始めることにしました。私自身、今の組織になる前はインフラ関係を全般的に扱う部署にいたので、この範囲であれば『誰が責任を持ち、誰が判断すれば動くのか』が明確です。まずは成功体験を得るために、この部分にフォーカスしました。

現在は、Cloudbaseが検出する設定ミスのうち、High と Critical に該当するものを中心に、優先的にリスク解決を進めています。進め方としては、まずそのサーバーがどの部署の、誰の持ち物なのかをピックアップすることから始めます。そのうえで、持ち主であるシステム担当者の方に『設定ミスが出ているので、指示書の通りに直してください』と依頼します。直せるか直せないか、リスクを受け入れるか受け入れないか、という判断も含めて、持ち主側で取っていただいて運用を回しています。

導入後の効果

ベンダー管理の質が変わり、Cloudbase自身が「証跡」になる

槌屋様：定量的な観点でいえば、2026年1月以降、対応優先度の高い設定ミスを月10件前後のペースで解決しています。件数だけ見ると多くはないかもしれませんが、この活動をやっていなかった世界を想像すると、大きな進歩だと感じています。また、解決に至るまでのコミュニケーションも、以前はゼロに近かったところから、月あたり50〜100件にまで増えました。共通言語を持ってやり取りが回り始めている、ということを示しているのだと思います。

定性的な面で最も大きな変化は、ベンダー管理の質が変わったことです。ベンダー様自身も気づいていなかった設定ミスが多数あり、解決の過程で『誰の持ち物なのか』を明示する必要が生まれました。そうすると、契約の範囲のなかで誰が責任を持つのかがはっきりしていなかったケースが見えてきて、『これは契約上、うちが持ちますね』と整理できるようになりました。単純な件数だけではない副次的な効果として、大きな恩恵があったと感じています。

ベンダー様側にもCloudbase上のアカウントを払い出して、検出された課題に対するやり取りを製品上で行うようにしました。そうすると、ベンダー様側も専任の担当者を立ててくださるようになり、問題に対する回答もすぐに返ってきます。わざわざ別のチケットシステムを使って証跡を別で残さなくても、Cloudbase上のコメント自体が証跡として残ります。ここは、運用上とても助かっている部分です。

今後の展望

掲げるキーワードは「縛られない安心」

池田様：短期的には、インフラ部門で実現した運用を、隣のアプリケーション領域に横展開していきたいと考えています。ただ、いきなり『このルールでやってください』と渡しても、なかなかうまくいきません。インフラ部門でPoC的に成功したフローを、まずは問題部分だけ横展開し、彼らにも成功体験を積んでもらってから、全体の設定ミス対応へと広げていくのが現実的だと考えています。

もう一つの柱は、もともとの目的でもあった内製開発におけるセキュリティの担保です。会社全体のミッションとして、AIの活用やAI基盤の整備が重要なテーマになっています。それらは必ずクラウド上に作られるため、クラウド上のAI基盤のセキュリティをどう担保していくかは、私たちの重要な責任範囲です。Cloudbaseを活用しながら、この領域もしっかりカバーしていきたいですね。

すでにIT部門の外にも、Cloudbaseの活用は広がり始めています。社内で複数のステークホルダーが関わる開発プロジェクトが進んでいますが、Cloudbaseという共通言語のもとで束ねられ、検出されたリスクを潰しながらアジャイルに開発を進めることができています。

槌屋様：打ち合わせの場で他社の成功事例だけでなく、運用がうまくいかなかった事例も共有いただいており、着実に前に進むための支援が大変ありがたいです。引き続き様々な事例を共有いただけることを期待しています。

池田様：私が情報セキュリティインフラグループのミッションとして掲げているキーワードは、「縛られない安心」です。制約を強めるだけのセキュリティでは、現場の生産性やスピードとのバランスが取りにくい時代になってきました。現場の皆さんが意識していないけれど、実はセキュリティがちゃんと担保されている、そんな世界をつくりたい。マルチクラウドと内製開発が広がっていく潮流のなかで、この『縛られない安心』をどう実装していくか。その答えを、Cloudbaseを共通言語として、地道な運用の積み重ねの先に見出していきたいと思っています。