2-3日かかる作業を数分に短縮。セキュリティエンジニア一人分の能力をもたらしたCloudbaseが提供する安心と、新たな道すじ。

スターフェスティバル株式会社

スターフェスティバル株式会社は、日本全国の飲食店・物流ネットワークとテクノロジーを活用し、フードデリバリーのプラットフォーム事業を展開しています。 現在、喫食者向けには日本最大級のフードデリバリーの総合モール「ごちクル」や、社員健康サポート福利厚生サービス「ごちクルNow」、飲食店向けにはデリバリー参入をサポートする「スタートデリバリー」、物流会社向けには軽貨物車両の配送シェアリングサービス「スタロジ」など多様なサービスを運営しています。

＜お話を伺った方＞

スターフェスティバル株式会社　山﨑様

導入前の課題

—事業内容について

スターフェスティバル株式会社は、日本全国の飲食店・物流ネットワークとテクノロジーを活用し、フードデリバリーのプラットフォーム事業を展開する事業会社になります。 日本最大級のフードデリバリーの総合モール「ごちクル」、社員健康サポート福利厚生サービス「ごちクルNow」などの個人や法人のお客様向けデリバリーサービスの年間取扱高は100億円を超える見込みで、各サービスが成長しているとともに、新規事業も創出しています。

—課題について

その中で抱えていた問題は、クラウド利用におけるセキュリティの問題でした。まず、インフラエンジニアが少数でインフラの新規構築/設計やアプリチームの相談など重要な業務に追われ、セキュリティ面の対応が後回しになってしまっていたことが大きな問題でした。

それに追随して、セキュリティリスクがあるかどうかの棚卸しの作業になかなか手が回らなかったため、Security Hubを一部使ってみましたが、検出後の調査の煩わしさに悩まされていました。さらに、表記が英語だということ、ドキュメンテーションもやりづらく、検知されたものが何故検知されたか、説明や理由が分かりづらかったことで、あまり利用しなくなってしまい、問題の解決には至りませんでした。

また、導入前は、過去のインフラのナレッジを元に、影響がありそうなリソースを手動で定期的に調査していたり、EC2など一部サービスの棚卸しは自前のツールで実施していました。しかし、手動での調査は煩雑で、EC2の棚卸しも、定期メンテナンスできず陳腐化していました。

活用方法について

そのような課題の中、弊社のCTO柄沢さんからの紹介という形でCloudbaseを知り、セキュリティ管理への危機感が上司や会社全体で共有されていたため、導入を決意しました。

導入当初は設定ミスのクリティカルに分類されている項目を一つ一つ解消し、これまで検知できいなかった設定ミスも含めて解消できるようになりました。それだけでなく、緊急度の高い問題を解消した後は、新しい問題が発生していないかのチェックに日常的に利用しています。

また、インフラチームが少人数のため、一部インフラ業務をアプリケーションチームでも実施してもらっていますが、開発のための一時的な設定変更で発生するセキュリティリスクを検知できるので、安心してインフラ業務をお任せすることができています。

導入後の効果について

設定ミス発覚後の対応に関するドキュメントが充実しているため対応がとても簡単になりました。今はインフラチームで修正作業を実施していますが、今後はアプリチームにも対応してもらえるように考えていますが、Cloudbaseはドキュメントの充実度が高いだけでなく、操作や画面もわかりやすいため、十分自走化ができると思っています。

そして、今まで手動でチェックはしていたものも、それをせずとも常に最新の状態で迅速に更新してくれるので非常に助かっています。

また、最近、コスト削減が喫緊の課題になり対応を迫られた際もCloudbaseの機能のおかげでコスト削減ができました。Cloudbaseはリソース棚卸し機能でリソースが一覧化されているため、リソースの要否判断が簡単にできます。結果、月額2,000ドルのコスト削減につながり、工数でいうと2-3日かかる作業が、数分で終わるようになりました。

展望

—つい後回しになってしまうクラウドセキュリティをCloudbaseで一任できるように

スタートアップから大企業まで、クラウドサービスを利用する企業は是非、Cloudbaseを導入することをおすすめしたいです。

Cloudbaseの導入によって、インフラエンジニア１人分の作業をCloudbaseが担ってくれているような実感があります。検出だけでなくメンテナンスも楽になり、日々のリソースの棚卸し、バッチやそのコンテナの管理など、重要でも後回しになってしまう重い業務をCloudbaseが全部担ってくれています。

また、セキュリティを後回しにして開発を優先することは、インフラエンジニアにとって心が痛いことなので、精神的な負担の軽減も嬉しい一面です。

重要性が高く工数も非常に多いのに、つい後回しになってしまうセキュリティ面をCloudbaseに任せ、今後増えていくと予想されるセキュリティリスクを未然に防ぐことができるので、サービスの新規構築や改善など、インフラエンジニアに求められている業務に注力できると思います。

もし仮に転職することがあるなら、転職先でもCloudbaseを導入してくれていたら嬉しいですし、そのことでインフラエンジニアは大幅に効率が上がるので、会社自体のアピールにもなると思います。企業選びのポイントになることもあるのではないでしょうか。

—Cloudbase導入によって変化しつつある社内

社内においても、新入社員からはセキュリティ的にしっかりしているという意見をもらうことが多いですし、Cloudbaseの導入で、クラウドセキュリティへの意識を事業部サイドや会社全体へとボトムアップで広げていくことができるのではないかと思っています。さらに、今後は脆弱性管理機能も効果的に駆使しながら、クラウドに関するすべてのリスクをCloudbaseで管理して、最大限活用していきたいです。