500件超のクラウドリスクを短期間で是正──既存運用スキームを活用したベンダー連携の取り組み

ミッションについて

加盟店の成長を支えるデジタル推進の中核

齊藤様：デジタル推進本部のミッションは、加盟店様がより効率的に店舗運営することで、より成果を出せる環境をデジタルの力で支えることです。本部の各部門と連携しながら、店舗業務改善や利益改善につながるシステム開発や、情報システム運用の整備、さらにはデジタルを活用した新たな事業開拓までを担っています。デジタル推進本部は加盟店様の成長をテクノロジー面から総合的に支援する役割を持つ部署であり、本部も含めた全社改革を進める部門になります。

星山様：私はデジタル推進本部の中の、ビジネスDX推進部に所属しています。インフラセキュリティの整備や受発注システムや分析基盤の開発、運用管理を通じて、店舗運営や本部業務の安定性と効率性を高めています。インフラ構築そのものは各ベンダー様に委託していますが、要件定義や設計方針の策定、セキュリティ統制などは社内で主導しています。

少人数体制のため一人が複数の役割を担っていますが、その分、技術面から事業全体を横断的に支える役割を担っている部署です。

導入前の課題

クラウド拡大と裏腹に増大するセキュリティ課題。少人数体制での限界

星山様：当社では主にAWSを利用しています。近年、業務のデジタル化や新サービス開発の機会が増えたことに加え、既存オンプレミス環境ではインフラ準備やスケール対応に時間やコストがかかるという課題が顕在化したことから、より柔軟で迅速なIT基盤の必要性が高まっていました。そのため、クラウド活用を進め、社内全体でシステム開発の俊敏性や自律性を高めてきました。

しかし、その一方で設定ミスによるリスクやガバナンスの不整備、脆弱性リスクといったクラウドのセキュリティ課題も増えていきました。クラウドサービス自体にも一定のセキュリティ機能は備わっていますが、リスクの検出機能が限定的であったり、調査開始から対策実行までに時間がかかってしまったりと、課題がありました。また、攻撃手法が高度化・多様化していく中で、十分には追従できていない状況でした。

齊藤様：当社には、いわゆるCSIRTのような専門部署を置けるほどの人員の余裕はありません。部門全体でも少人数の体制で、星山のように各メンバーが複数の主要プロジェクトを同時に担当しています。そのような状況の中で、経営層や事業部門からは「他社と同等以上のレベル、スケジュールでプロジェクトを完遂してほしい」という期待が常に寄せられています。限られた人員と専門性の中で、通常の開発業務に加えてセキュリティ対応まで担うのは、正直なところ大きな負担でした。特に、システムリリース直前のセキュリティチェックでリスクが発覚すると、ベンダー様への修正依頼が発生しますし、場合によっては納期遅延や追加開発コストにもつながります。そうした事態はできる限り避けたい思いもあります。

元々システム分野を専門的に学んできたメンバーは多くはありません。星山も、入社後10年ほどは店舗を回るストアアドバイザーとして現場業務を担当し、その後社内公募で手を挙げてシステム部門に異動しました。配属から4年ほどで現在の役割を担っています。専門知識がない状態から独学でここまでキャッチアップしてきた点は、本当に評価しています。

とはいえ、それぞれの知識や経験を持ち寄って何とか進めているのが実情です。私たちだけでは補いきれない専門領域については、単なるツール提供ではなく、リスクの可視化から優先度判断、対策実行までを実務レベルで支援していただける存在が必要だと感じていました。

「新たな打ち手」を模索する中で出会ったCloudbase

星山様：「安全を確保しながら、今後どのようにクラウドを広げていくか」という点が大きなテーマになっていました。設定ミスや脆弱性の増加、ガバナンスのばらつきといった課題を踏まえ、クラウド環境全体のリスクを可視化し、継続的に管理できる仕組みが必要だと感じていました。

セキュリティ分野ごとの個別の対策ではなく、設定状況や脆弱性を横断的に把握し、優先度を判断できるクラウドセキュリティ基盤の導入を本格的に検討し始めました。

齊藤様：ちょうど星山から「クラウド設定や脆弱性を包括的に管理できるツールを探したい」という報告を受けていたタイミングで、Cloudbaseさんからご連絡をいただきました。

お話を伺う中で印象的だったのは、単にツールを提供するというスタンスではなかったことです。クラウドセキュリティは導入して終わりではなく、継続的に運用できて初めて意味がある。その前提で、リスクの可視化から優先度付け、リスクへの対処方法まで支援するという考え方をお持ちでした。

私たちのように専任体制を持てない組織にとっては、その姿勢が非常に現実的に感じられました。そこで、比較検討として具体的にお話を進めることにしました。

製品の分かりやすさ、そして導入当初から始まる「本気の伴走支援」

星山様：製品選定で一番重要視したのは、検出精度と網羅性、そしてリスクの優先順位の分かりやすさです。その上で最も大事なのは、日常の運用で使い切れるかどうかでした。

他社製品は高機能ではありますが、管理画面が分かりづらいものが多かったのです。その点、Cloudbaseは性能としても様々な機能がついている中で画面や取扱いが非常に分かりやすく、継続的に機能追加が行われており、非常に魅力的でした。

齊藤様：私の立場から見ると、最も評価したのは「導入後の支援体制」です。正直なところ、リスク検出ロジックの細かな優劣をユーザー側で完全に見極めるのは難しい部分があります。だからこそ私たちは、「自分たちの体制で継続的に回せるか」という観点を重視しました。

多くのベンダー様が「伴走支援」と言いますが、実際には初期設定や操作説明が中心で、その後の継続的な支援までは踏み込まないケースも少なくありません。しかしCloudbaseの場合は、定期的な打ち合わせでも「このリスクは対応し始めていますか？」「ベンダー様への依頼やリスク説明を問題なく行えていますか？」といった具体的な確認を行い、対応が止まっている箇所を明確にしてくれます。我々ができていないところをはっきりと自覚させてくれるので、非常に助かっています。

自分たちだけでは判断に迷う場面でも、「一緒にベンダー様と話しましょう」「技術的な整理を一度やりましょう」と具体的なアクションを提案してくださる。例えば実際に対応を進めたいリスクについて「なぜそれがリスクになるのか」をエンジニア同士で直接会話する場を設けていただきました。導入当初から、単なる操作説明ではなく「リスク対応を前に進めるところまで支援する」という姿勢を明確に示してくださったのは、Cloudbaseだけでした。

星山様：導入前のPoC（概念実証）の段階から、重要度の高いリスクが検出され、そこから急ピッチで活用を進めました。

齊藤様：「こんなにリスクがあったのか」という現実を受け止めるところからスタートし、「どうリスクに対処しようか」と悩む中で伴走していただきました。リスクの修正方法でドキュメントに記載されている確認方法などを一つひとつアドバイスいただく中で、信頼関係を築くことができました。PoCの段階から本番のような動きができたことが製品の採用とその後の活用にもつながったと思います。

活用方法について

ベンダーを巻き込みリスク対応加速

星山様：インフラセキュリティの担当として、Cloudbaseでクラウド環境全体を見るのは私ですが、一人では絶対に無理です。そこで、各システムの社内担当者にリスクを割り当て、その担当者から開発ベンダー様へそれぞれ修正を依頼してもらう、という運用で進めています。

齊藤様：即時対応リスクが検出されると、私にもメールが飛んでくるので、全体のリスク状況やどのようなリスクを保有しているのかすぐに確認できます。星山が毎週リスクの対応状況を追いかけてくれているので、新しいクラウド環境が増えてもリスクは増加せず一定に保てています。

星山様：Cloudbaseの画面は、現在複数のベンダー様にも直接利用していただいています。対応方法も画面内でそのまま確認できるので、ベンダー様側でもすぐ実現可能かどうかの判断がしやすいのではないかと思います。

齊藤様：私からしても各ベンダー様へ「検出されているこのリソースのリスクに対応してください」と具体的に指示できるようになったのは大きな変化だと思います。

導入後の効果について

500件超のリスクを1年足らずで解消。開発プロセス改善とコスト削減も実現

星山様：導入当初、即時対応リスクが500〜600件あると分かった時は想像以上の件数にショックを受けました。ただ、それらを見つけられたことは良かったと正直に思いました。

Cloudbaseの画面が見やすかったこともあり、リスク対応は非常にスムーズに進んだと思います。また、「どのような危険性があるのか」という詳細な理由が直し方ドキュメントに記載されているため、対応を進める中でベンダー様側にも知見が蓄積されていきました。その結果、以降のシステム構築では同様の指摘が減り、継続的に改善が進んでいる実感があります。新たに発生するリスクも抑えられるようになり、全体のリスク総数も徐々に減少していきました。

齊藤様：弊社は年間で相当数の新規開発を行っていますので、本来であればリスクは増えてもおかしくありません。それにもかかわらず総数が減少しているということは、過去に指摘された内容が現場でしっかりと理解され、設計や構築の段階で活かされているということだと考えています。単にリスク対応しただけでなく、再発防止の仕組みがチームにもベンダー様にも根づき始めている。それもCloudbase導入による大きな成果の一つだと思います。

星山様：導入前は、新たな脆弱性が発見された際に、どの環境が対象で、対象となる環境や対策の必要性を把握するのに多くの時間を要していました。導入後は、対象環境や優先度が明確に記載されている状態でベンダー様と話を進められるので、リスク対応のスタートラインがだいぶ先に進んだと感じています。

また、システムのリリース後に脆弱性への対応をしようとすると非常にコストがかかりますが、Cloudbaseで検出されて指摘されるというナレッジが蓄積された結果、事前に対策した状態でリリースされるようになりました。これにより、後からかかるコストは明確に減ったと思います。

齊藤様：納期はビジネスに直接影響します。手戻りがなくなったことで、納期を重視した開発ができるようになったのは大きいですね。ベンダー様も、過去に指摘された点を守ればよいとポイントを絞れるので、手間をかけずに対応できるようになったと思います。

今後の展望、Cloudbaseへ期待すること

プロダクトの進化、そしてユーザーコミュニティを通じた「日本全体のセキュリティレベル向上」への期待

星山様：直近でSBOMの機能が追加されるなど、導入時点では想定していなかった新たな機能が追加され、セキュリティの打ち手が増えているのは非常に助かっています。今後も、セキュリティに有用な機能を追加していっていただけるとありがたいです。

齊藤様：今後は社内でのセキュリティ教育が大きな課題です。職位によって対応してほしい内容も異なりますし、日々世界中で新しい脅威が生まれています。いつ当社が脅威に狙われるとも限りません。Cloudbaseのユーザー企業同士でクラウドに限らずセキュリティの情報交換ができる場に積極的に参加していきたいです。似たような悩みを持つ担当者同士で話をさせてもらう機会があれば、お互いの知見を広げられると思います。Cloudbaseというセキュリティプロダクトにだけに閉じず、日本全体のセキュリティレベルを上げていける、クラウドの利活用が世の中にしていってくれることをCloudbaseという会社に期待しています。