「安全・安心」にクラウド活用、事業を加速させるCCoEと開発現場の共通言語

セコム株式会社

1962年に日本で初めての警備保障会社として創業。1966年企業向けにオンライン・セキュリティシステムを開発し、全国に基盤を築いてきました。また、1981年ホームセキュリティシステムを発売し、家庭市場を開拓。現在は、企業で約111万件、家庭で約158万件、国内合計約269万件、海外約106万9,000件、総契約件数約375万9,000件（2024年３月末現在）のご契約先を有しています。1989年には「社会システム産業」を宣言。セコムグループとしては、セキュリティ事業を中心に、防災事業、メディカル事業、保険事業、地理空間情報サービス事業、BPO・ICT事業を展開。セキュリティで培った安全のネットワークをベースに、安心で便利で、快適なサービスやシステムをトータルで提供する、新しい社会システムづくりに取り組んでいます。

＜お話を伺った方＞

技術開発本部 クラウドエンジニアリングG 川隅 様

技術開発本部 クラウドエンジニアリングG 岩田 様

導入前の課題

—ミッションについて

岩田様：クラウドエンジニアリングGは、2023年9月に新設されたグループです。ミッションは大きく5つあります。

1. クラウドを利用した開発案件の支援

2. マルチアカウント管理によるガバナンスの強化

3. クラウド運用ガイドライン、セキュリティポリシーの策定

4. クラウドの保守運用に必要なツールや体制の標準化

5. クラウド活用人材の育成

弊社では「みまもりクラウド」の開発を契機に、パブリッククラウドを活用した開発案件が増えていきました。しかし、クラウドの運用やセキュリティ対策を案件ごとに検討・実施していたため、開発工数がかかり、セキュリティレベルも統一されていない状況にありました。それらを解決するためにクラウド保守運用の標準化やセキュリティポリシーを策定する必要が生じたことが設立の背景です。

川隅様：弊社では2030年に向けて「あんしんプラットフォーム」構想をビジョンに掲げています。その過程として、「セコムグループ ロードマップ2027」を策定し、「みまもりクラウド」や「堅牢なセキュリティとオープンなクラウドを融合させたビジネスインフラへの進化」などクラウドに関わる目標を設けています。これらの目標を達成するには私たちが技術開発本部におけるCCoEとしての活動を推進し、ガバナンスを効かせたセキュアなクラウド活用の実現が必要不可欠です。そして、組織内での人材育成も重要なミッションです。クラウドの知見やセキュリティの重要性を技術開発本部内に教育しています。

—課題について

岩田様：昨年、クラウドセキュリティ対策のため、AWS Security Hubを導入していましたが、運用面を考慮した機能が不足していたため、運用が困難でした。具体例としては”リスクの検出結果に対してメモが残せない”、”対応状況が分かりにくい”などです。リスクに対して対応する必要がない場合は、どのような理由で非対応にしたのか、対応の根拠を残したいという要望もあったので、リスク一覧をエクスポートし、対応方針や対応根拠をCSVファイルで共有して運用していました。また、本当に緊急対処すべきリスクについて、全てのメンバーがすぐに理解できないという課題もありました。クラウドに慣れていないメンバーに環境を渡すだけでは運用が困難であり、設定ミスの内容を十分に理解し修正ができるようになるまでの学習コストも非常に大きいです。想定コストが大きくなるほど、セキュリティ対応は後回しになりがちで、納期を優先して開発にリソースを割いてしまいます。その結果、開発終盤までセキュリティホールが放置されてしまうという悪循環が発生してしまいます。

川隅様：セキュリティ対策は常にアップデートをする必要があります。セキュリティコントロールをCSVファイルに全て落とし込み、社内の対応方法について運用ベンダー様ともやり取りをしなければいけないところにも課題がありました。弊社が対応すべきセキュリティ対策のベストプラクティスと世の中のベストプラクティスとが違ってくるため、外部委託をしても弊社に対して何がベストプラクティスなのか提案することが難しく、内部的な方針を定めるにも時間がかかっていました。

同時期、弊社のコーポレート側でもクラウドセキュリティ対策について検討しており、Cloudbaseを提案されました。弊社の運用に耐え切れるか不安はありましたが、顧客のニーズに対する改善スピードの面ではCloudbaseは信頼できました。また対応しているセキュリティ基準が圧倒的に多かったことも、Cloudbaseの導入を進めた理由のひとつです。

活用方法について

岩田様：Cloudbaseの日時スキャンの通知を確認し、即時対応リスク、設定ミス、脆弱性の検出結果に対応しています。活用ポイントは2つあり、1つ目は担当者の割り当て機能を活用して対応状況を可視化しタイムラインを管理する事、2つ目は対応しない場合にはその根拠をCloudbase内に記入し、内容を管理する事です。

川隅様：我々クラウドエンジニアリングGは、Cloudbaseの検出結果に対応していません。CCoEとして一番重要なのはセキュリティ対応の方針を素早く決定する事です。リスクや設定ミスを検出した場合、必要な方針を素早く決定すれば、開発担当のグループに所属している各アカウントの担当者が修正します。大企業になればなるほど、ニーズに対応するためにスピード感を持ってサービス展開を考え、サービスの多様性を一気に広げようとすると、インフラチームだけで全てを対応するには限界がくると考えています。

導入後の効果について

岩田様：即時対応リスクを検出できる点が非常に助かっています。対応することで、緊急度の高いリスクがない状態にしておけるので安心感を得ることができます。また、設定ミスの直し方ドキュメントが充実しているので、私自身も理解を深めることができますし、アカウント担当者を教育する際には非常に役立っています。

川隅様：Cloudbaseを運用しながらセコムとして共通のセキュリティポリシーを策定する事ができるようになりました。そして、今は設定ミスに対する対応方針を策定できており、CCoEと開発担当のグループがCloudbaseを介して共通言語で会話できることで、結果的にビジネスが加速しています。

展望

川隅様：今までは開発フェーズでのセキュリティ対応ができておらず、検証段階で初めてセキュリティ対応をすることが多かったです。そうなるとセキュリティリスクがある場合、また設計フェーズまで戻ってしまいます。今後は開発フェーズ初期からCloudbaseを利用したセキュリティ対策を組み込んで、開発速度をさらに向上させて行きます。

セコムとして世の中の「安全・安心」を作っていくというミッションを遂行するために、CCoEは開発現場に「安全・安心」にクラウドを利用できるような環境を提供し、開発に注力していけるような体制を構築します。そのために我々は必要なサービスを提供しますし、セキュリティポリシーを強固にしてガバナンスを確保していきます。