クラウド設定監査サービスで情報漏えいリスクの低減を実現
情報システム本部 システム基盤部長 森敏幸氏
| 会社名 | 横河レンタ・リース株式会社 様 |
|---|---|
| 設立 | 1987年1月23日 |
| 所在地 | 東京都新宿区西新宿1-23-7 新宿ファーストウエスト |
| 事業内容 | レンタル事業、システム事業、他 |
| URL | https://www.yrl.com/index.html |
- マルチクラウド環境で、セキュリティレベルを保つことが困難
- 設定漏れ等による情報漏えいリスクを低減したい
- クラウド側のアップデートによって管理画面が変化し、設定メニューや設定値も変化するため、手順書の運用が困難
- 各種コンプライアンス基準に準拠した環境を構築可能に
- 定期的にレポートすることで設定漏れや設定ミスを大幅に低減
- 「クラウド設定監査サービス」で設定すべきパラメータや手順が明確になり、手順書の作成が不要に
<採用の経緯>
クラウドファーストを基本に据え、生産性向上を加速
横河レンタ・リースは、レンタル事業とシステム事業を2本柱に顧客のビジネス効率を高めるサービスを提供している。
レンタル事業では、「資産は所有から利用へ」をコンセプトに、IT機器から計測器、マイクロプロセッサ開発支援装置までレンタルで提供し、研究・開発から生産・保守メンテナンスまで幅広くサポート。
システム事業では、顧客のITインフラの運用コスト削減や、堅牢性と柔軟性の向上を目指した提案を実施している。IT機器の販売からシステム基盤設計・構築・保守まで広範なソリューションを取りそろえている企業だ。
-
森 敏幸 氏
「情報システム部門や開発部門などの人材が不足しているお客様のニーズに応えるために、デバイスのレンタルに加えてIT機器に関わる情報提供や管理などを支援し、生産性の向上を強力にサポートしています。最近では、新型コロナウイルス感染症の感染拡大によりテレワークが普及し、セキュリティを意識したPC管理に対するニーズが高まっています。これについても、さまざまなご支援を実施しています」
と情報システム本部・システム基盤部長の森敏幸氏は語る。
森氏が所属する情報システム本部・システム基盤部は、同社のネットワークやサーバー、PC管理などを行っている。「以前はオンプレミスのシステムを使っていましたが、現在はクラウドファーストを基本にしており、システムや業務アプリケーションをクラウドに移行しています。そのため、クラウドの管理・運用が増えています」(森氏)
同社では、Microsoft Azure(Azure)やAmazon Web Services(AWS)などのパブリッククラウドを活用し、業務生産性を向上させているという。「クラウドのメリットは、柔軟性や迅速性にあります。誰もが簡単に利用できる上、生産性は向上しますが、課題もあります。特にパブリッククラウドは初期設定が基本的にオープンであり、利用者によってセキュリティのレベルにばらつきができてしまうため、設定漏れのリスクがあったのです」(森氏)
オンプレミスではデータが社内に保存されているため、アクセスできるユーザーを絞るなどセキュリティコントロールが管理できる。一方、クラウドサービスの場合、データは社外に保存されて外部の脅威にさらされ続ける。これまで以上に情報を厳格に管理する必要があるのだ。
「小さなミスでも情報漏えいなどのセキュリティインシデントに繋がります。これは大きな課題と考えました」(森氏)
<採用のポイント>
マルチクラウド環境のセキュリティリスクを洗い出す「クラウド設定監査サービス」
しかし、ユーザーの設定を一つ一つ確認して安全性を確保するには、専門的な知見が必要な上、多くの工数がかかる。「セキュリティの重要性は理解していますが、そのために専任を配置することは難しいという企業は少なくありません。さらに、マルチクラウドが進む中、各クラウドへの深い知見なども必要になります。そういった状況の中で、クラウドの利便性を損なわず、クラウドのセキュリティ管理を徹底する必要がありました」(森氏)
そこで、クラウドサービスに搭載されているアラート機能を使って設定ミスや設定漏れなどを通知するようにしてみたが、設定ミスや設定漏れなどを指摘されても、その後の手順が分からないという課題があった。さらに、設定手順を理解しても、バージョンアップにより手順が変わることもあるため、その知見が共有できないという問題もあったという。
そんな中、同社はJBCCが提供しているマルチクラウド環境に対応している監査サービス「クラウド設定監査サービス」に注目したという。
クラウド設定監査サービスは、コンプライアンス基準に基づき、設定ミスや設定漏れなどを監査・診断し、レポートするサービス。CISなどの専門機関による基準に加え、パブリッククラウドの知見を持つJBCC独自のポリシーも盛り込み、監査・診断のクオリティを高めている。サイバー攻撃の予兆やデータの外部公開状態を検知・報告し、セキュリティリスクを低減する。
「クラウド設定監査サービスのPoCを実施したところ、問題がある設定を指摘するだけでなく、修正するための手順などもきちんと表示されました。そのため、ユーザー自身がセキュリティルールを覚える必要がなくなり、問題が生じたときは即座に対応できるようになります。緊急度が高いリスクをリスクスコア表示で明確化できる点もメリットだと感じました。また、クラウドとセキュリティの知見を持ったSEが報告するセキュリティ診断レポートを使うことで、ツールだけでは判別しにくい優先対処事項が明確になります。この結果を受けて、クラウド設定監査サービスの導入を決めました」(森氏)
また、クラウド設定監査サービスは、各種コンプライアンス基準に基づいて監査・診断することもできる。「顧客によって必要なコンプライアンス基準が異なる場合もあるので、それらに対応できるのは本当に助かります」(森氏)とのことだ。
現在、同社ではセキュリティ診断レポートを元に定期的なチェックを実施。クラウドの設定不備による情報漏えいリスクを低減している。
<今後の展望>
セキュリティの知見を持つJBCCに期待
導入効果を森氏に聞くと、「こういったツールは導入効果がわかりにくく、IT投資が難しいという話を聞くことがあります。しかし、一度インシデントが起きると膨大なコストがかかり、これまで積み上げてきた企業の信用が失墜してしまいます。そういったことを防ぐための投資という点では、その効果は十分だと思います」とのコメントが返ってきた。
IT環境が大きく変わる中、セキュリティのリスクも拡大している。インシデントが発生した場合、想定以上の被害を被ることもある。企業のビジネスをドライブさせるには、守りを固めつつ、攻めと守りの両輪でビジネスを推進していく必要があるのだ。クラウド設定監査サービスは、クラウド環境の守りの要となるだろう。「JBCCのセキュリティ部隊には、幅広い専門家が揃っています。これまでインシデントに対応してきた知見もあるので、安心感も大きいですね。クラウド以外のセキュリティサービスやセキュリティ強化の提案やアドバイスも頂けているのもありがたいです」と森氏は話す。
さらなるセキュリティレベルの向上を目指し、同社ではログの監査や管理のほか、インシデントが発生した際の対応の強化を検討しているとのこと。今後もJBCCの果たす役割は大きい。
事例資料ダウンロード
お客様にご利用いただいている「クラウド設定監査サービス」の詳しい情報はこちら
クラウド設定監査サービス
マルチクラウド環境を対象とした、IaaS環境における設定ミスや漏れをコンプライアンス基準に基づき監査・診断し、定期レポートにて報告するサービスです。また、攻撃の予兆やデータの外部公開状態を検知・報告しセキュリティリスクを低減します。
詳しく見る企業のIT活用をトータルサービスで全国各地よりサポートします。
JBCC株式会社は、クラウド・セキュリティ・超高速開発を中心に、システムの設計から構築・運用までを一貫して手掛けるITサービス企業です。DXを最速で実現させ、変革を支援するために、技術と熱い想いで、お客様と共に挑みます。
