新規事業立ち上げのリードタイムを短縮、イノベーションを創るためのクラウドセキュリティ対策
パナソニック オペレーショナルエクセレンス株式会社
パナソニック オペレーショナルエクセレンス株式会社(以下、PEX)は、 幅広い分野における高度な専門人材が集う会社として設立されました。パナソニックグループの実業で培った、知見や経験に加え、各専門分野間の連携を活かして、お客様の実務に寄り添ったソリューションを提供しております。
<お話を伺った方>
情報システム本部 ビジネスITソリューション部イノベーション共創課 課長 瀬野 様
導入前の課題
—ミッションについて
瀬野様:PEX情報システム本部はパナソニックグループ全体のIT統制やインフラ提供を行う部門で、私の在籍するビジネスITソリューション部は主に新規事業開発・研究を行っている全社の技術部門を担当しています。
主なミッションは「パナソニックグループでのスタートアップ事業開発を加速するITインフラの提供」で市場に競争力のある開発スピードを実現しながらも、パナソニックグループとして守るべき品質も確保できるような社内ITサービスを企画・導入しています。
イノベーションの量産には世の中の有益なクラウドサービスを積極活用できることが必須ですので、全社のソフトウエア開発力強化PJとして「クラウドCoE」活動も推進しています。様々な開発現場の声から必要な施策を打ち出す上で、世の“ベストプラクティス”といえる仕組みを全社に向けて一斉適用するものと、それらが出来上がるまでに今できる事をスモールにスピーディに実行するものを分けて検討しており、今回のCloudbase採用はその後者として、まだ市場に答えが出ていない”PoCトライアル時におけるセキュリティ対策の姿”を模索している中でのスモールな範囲での実験的施策として行わせて頂きました。
—課題について
瀬野様:パナソニックグループは事業会社制の下、各事業会社がそれぞれ新規事業開発を行っています。
私の部署はそれら事業会社に対して直接的な行政を行っているわけではありませんが、技術部門全体での課題認識の一つとして、特に昨今のスタートアップ企業等で実践・成功されているアジャイル型開発・リーンスタートアップを支える為にどのようなしくみが必要か、について以前から考えておりました。
実際のところ、弊社がアジャイル型で事業開発を行うことについては様々な“壁”があります。その一つが「限られた予算やリソースの中で作られたPoCサービスを市場に出す際のセキュリティ対策」です。パナソニックグループとして既に多くの事業・製品を提供差し上げている状況下で、たとえ「低予算でスピーディに作成したPoCサービス」とはいえそこでセキュリティ事故を起こしてしまうようでは、その新規事業の規模を超えた会社全体としての大きな責任問題と信用の損失に繋がってしまう為です。
PoCであれパナソニックグループとしての完成された品質として十分なセキュリティ強度を確保する必要がありますが、そもそもスモールスタートが前提となっているフェーズでのその対応は現実的に困難です。かといって市場の巻き込みを避けて社内に閉じたPoCにしてしまっては良いサービスを作る事も出来なくなってしまいます。
こういった各事業現場だけでは解決が困難な課題を少しでも解消できるための施策として社内のPoCフェーズのサービス群のセキュリティをまとめて見守りできるような所謂「SOC(SecurityOperationCenter)」的な体制を自部署で構築し、提供してはどうかという考えに至りました。全社のITセキュリティ部門の大部分は社内インフラ資産のセキュリティ監視や対応で出払っている状況でしたので、SOC要員の教育も含めて一からトライをしています。そういった中で、少しでも早くSOC運営を開始・定着させることができる“切り札“こそがこの「Cloudbaseの採用」でした。
活用方法について
瀬野様:この度自部署で構築したSOC部隊にて対象クラウド・サーバーのセキュリティ監視の仕組みとしてCloudbaseを利用させていただいております。
具体的には対象クラウド環境の脆弱設定洗い出しと、実際の不正検知を行っており、システムからの通知をSOCで確認の上で対象クラウドのオーナーへ連絡し、フォローできるようにしています。
同様のセキュリティ監視ツールは世の中に多く存在していますが、多くのツールは対象クラウドの持つ膨大な設定項目全てに対してフラットにチェック結果を表示するところまでが機能の大半です。結果として大量の設定不備結果が表示され、その内容をセキュリティ有識者が一つ一つ確認して対応必要な項目を見出すという作業が必要となるので難易度・負荷共に大変なものとなっていました。Cloudbaseはそのいわばトリアージともいえるような作業にあたる「即時対応必要なリスク表示」という機能を持っており、一つ一つの「点」としての設定不備通知に加え、複数の「点」を総合的に「線」や「面」として捉えて既に脆弱性として発現している項目をより強くアラートとして明示してくれています。さらにはインパクトの大きい設定不備に対する対策ガイダンスも日本語で整備されているので、そこまでセキュリティ専門知識が備わっていないメンバーでも比較的早期にSOC運用を開始することができました。
導入後の効果について
瀬野様:まずは私共が管轄している技術部門で起こった複数の新規事業テーマのPoCサービスに順次適用し、半年ほどの期間をかけて効果検証を行いました。
手ごたえとしてはデリバリーの観点で実際のPoCサービスの市場公開実現までのリードタイムが平均2ヶ月ほど短くなった、というのが一番にあげられます。これまではPoCサービスのモジュール自体が作成できても、そこから実際にインターネット上に公開する上で必要なセキュリティ強化対応や運用体制づくりを行っていた為、どうしても時間がかかっていたところが、最低限の監視の仕組みとそのキャッチアップ・通知を支援する仕組みが備わっていることでPoCテーマ側での対応人員を最小限にすることができ、結果立上げリードタイムが短くなった、という構図の様です。
次にクオリティ観点での効果として、「これまでどのような対応をしておけば良いか手探りだった」というセキュリティ対策について、今回の仕組みで不正侵入を検知してくれるだけでなく、設定ミスによる脆弱性を「即時対応必要リスク」を中心に利用者側にとって優先すべき対応を“トリアージ“してくれていることで早期に必要な設定を完遂することができています。手探りだった対応が一定の基準に沿って網羅的に抑えることができているという安心感を得られたところも体感的な評価として適用したテーマオーナー達からフィードバックを受けました。
これらの手ごたえをもとに現在は社内の提供サービスとして本番運用しており、まだ私共の部署の管轄対象のスコープのみではありますが徐々に適用範囲を拡げ、その効果を拡大させています。
展望
瀬野様:スタートアップのようなスピード感でスモールに事業検証を行ってサービス化を実現させるテーマ向けの見守り基盤として、適用範囲をさらに拡大させていくことを考えています。現在技術部門では上記開発を支える開発プラットフォームづくりも行われていてその基盤の見守り機能にも適用が予定されていますので、これを皮切りに更なる活用促進が進むだろうとも感じております。
このSOCの分野においては弊社でもまだベストプラクティスと呼べる仕組みの姿が見極められていない世界ですので、現在は開発現場各自で様々なやり方を模索している状態です。本件もその中の有益なアプローチの一つとして、今後も技術部門側で適用しながら、会社全体としては最終的なベストプラクティスを見極めてきたいと考えております。
私にとってのCloudbaseは「セキュリティ専門家が十分に揃っていない中でインターネットにサービスを公開しようとする(せねばならない)日本企業」にとって心強いパートナーです。これは弊社以外のお客様にとっても今の時代とてもニーズの高いサービスともいえるのではないかと思っています。
今後Cloudbaseと共に私たち自身も成長しながら弊社の新規事業開発加速の実現へ貢献を果たしていきたいと考えております。
会社名
パナソニック オペレーショナルエクセレンス株式会社
設立
2022年4月1日
代表
佐藤 基嗣
従業員数
非公開
本社所在地
大阪府門真市大字門真1006番地