写真左から ジオテクノロジーズ株式会社 沼野氏 稲吉氏 NRIセキュアテクノロジーズ 永澤
ジオテクノロジーズは、これまで約30年にわたり、オートモーティブやエンタープライズ向けにデジタル地図を提供してきました。またコンシューマ向けにはデジタル地図サービス「MapFan」や、2023年9月時点で1,500万ダウンロードされている移動距離に応じてポイントが貯まるアプリ「トリマ」などさまざまなサービスをAmazon Web Services(AWS)を基盤に展開しています。従来、Cloud Center of Excellence(CCoE)*を核にしてユーザー管理やコスト管理、セキュリティ対策を実施してきましたが、セキュリティのさらなる強化と運用負荷の削減を目的に、ニューリジェンセキュリティの「Cloudscort」を採用しました。
* Cloud Center of Excellence(CCoE):クラウド利用を推進する全社横断型の組織
クラウドシフトが主流となる中、ジオテクノロジーズではどんなポイントに留意しながら対策を進めてきたのでしょうか。同社常務執行役員Chief Digital Officer でデジタル 統括の榎本司氏、同デジタルの稲吉英宗氏、同デジタルでサービス&インテグレーション サービスプラットフォーム マネージャーを務める沼野渉氏に、NRIセキュアテクノロジーズ エキスパートセキュリティコンサルタントの永澤惇が尋ねました。
アタックの事実自体は包み隠さず、リスクマネジメントを重視
ジオテクノロジーズ株式会社 榎本氏
永澤:御社における「デジタル」という部署の業務について教えていただけますか?
榎本:サービスを支えるプラットフォームの開発と社内ITシステム、両方を見る役割です。
永澤:御社ではクラウドも積極的に活用していますね。
榎本:サービス基盤はほとんどAWSで構築しています。日本国内のみならずグローバルにもサービスを展開しているため、拡張性や構築のスピードを考えるとクラウドにメリットがあると思っています。クラウド上で同じモジュールを利用してシステムを構築することで、運用の効率化も可能だと考えており、社内システムについても、クラウドへのマイグレーションを続けています。
永澤:クラウドのセキュリティ対策に関してはどのような取り組みを進めてきましたか?
沼野:まずCCoEというクラウドの推進組織を立ち上げ、全社で50アカウント超のAWSを管理する仕組みを作っています。その中で、ユーザー管理やSIEMによるログ管理、コストの管理などを行っています。
永澤:今回のCloudscort導入によって、多くの不審なアクセスがあることが判明しました。どのように受け止めていらっしゃいますか?
稲吉:導入の結果、アタックを受けていたという実情がきちっと残りました。我々としては、アタックされたこと自体を隠してはいけないと思っています。WAFに限らず、起こっていることは起こっていることとして明らかにした上で、それらをどう止めていくのかを全体で考えていかなければなりません。その最初の一歩として、良い結果を出せたと思っています。
永澤:攻撃を受けているということは公開しづらくないですか。
稲吉:隠したくなるのは当然です。しかし、現実として、どれだけ対策をしていても必ずアタックはされてしまいます。そういう世の中だからこそ、「これだけアタックを受けていますが、これだけしっかり止めています」ときちんと可視化していくことが大事だと思います。
榎本:防御、防止に務めるのはもちろんですが、もしインシデントが起こった時にどう対処するかのリスク管理も重要だと思っています。弊社の社長はIT出身であり、リスクマネジメントを重視する考え方には理解がありますね。「やられたからだめだ」という減点主義ではなく、事実を把握し、何か起こったときに適切に対策することを意識しています。攻撃は常に起こり得ることであり、それを踏まえた上でのセキュリティ対策を進めています。
セキュリティ対策は、利便性とのバランスも大事なポイント
永澤:皆様の経験も踏まえ、AWS環境のセキュリティ対策としてやっておくべきことは何だと思われますか?
稲吉:AWSが公開しているガイドラインはとてもよく出来ており、このガイドラインに沿って対策するのが第一だと思います。僕はこの会社に来て初めてきちんと読んだのですが、かなり広範囲に、しかもディティールまで突っ込んだ形で体系立って書かれていることにとても驚きました。
永澤:クラウド環境を運用する上では、どうしてもガイドライン通りにいかないことがあると思います。外部のパートナーにも運用を任せる場合は、社外であるインターネットから管理画面にアクセスできるようにする必要が出てきますが、社外からアクセスできるということは、不正アクセスを受けるリスクが高まります。かといって、あまりにアクセスを絞ってしまうと、今度は運用に手間がかかってしまい、利便性が落ちてしまいます。クラウド環境では、いかに利便性とのバランスを取り、クラウドの良さを生かしつつセキュリティを満たすかが大事なポイントだと思いますが、御社ではどのように考えられていますか。
稲吉:いかに開発の速度を落とさずに、脆弱性を作り込むことなく、攻撃を止めるのかを整備していくことが鍵だと考えています。我々としてもガチガチにすることは望んでいませんし、そうするつもりもありません。ただし、守るべきところは守っていきたいと考えています。また、インシデントが起こってから対応するのは大変ですから、できる限り起こる前に止める方法、たとえば最近の流行りで言うとシフトレフト的な取り組みも模索していきたいと思っています。
あくまで今回のCloudscortの導入は第一弾で、この先、内部統制的な観点からの監査やチェックも入れていかなければなりません。それらとスピードの兼ね合いをどう保つかというバランスは考えどころです。
榎本:また、けっして人的リソースが潤沢とは言えない状況ですので、なるべく自動化し、工数を削減し、運用が楽になる方法も模索する必要があると考えています。
永澤:そこも大事なポイントですね。NRIセキュアでは、お客様に代わって環境を監視するサービスに力を入れています。クラウドならではの利点を阻害せずに、セキュリティレベルを少しでも上げるというバランスを取りながら、お客様の負荷をどれだけ下げていけるかに取り組んでいます。
マルチクラウド戦略や内部統制といった新たな課題も
永澤:今回はWAFの機能をご採用いただきましたが、この先、どのようなセキュリティ対策を検討されていますか?
稲吉:先ほども触れましたが、まず直近では内部統制を考えています。また、お客様からはセキュアコーディングやISMS対応といった要望も頂いており、それらの整備も重要と捉えています。ただし、アジャイル開発で回しているため、どのようなプロセスでセキュアコーディングを入れていくかはうまく考えていく必要があります。
永澤:クラウドならではのセキュリティ対策の難しさを感じる部分はありますか?
沼野:弊社の開発現場はスキルが高く、割と何でもできてしまいますが、何でもできてしまうがゆえの課題はありますね。
稲吉:気が付くといろいろなものが開発されているのですが、セキュリティ面で見ると「対策が不十分じゃないかな」という部分がないわけではありません。また、それぞれがどんどん作ってしまうため、共通化という概念もあまりありませんね。クラウドなのにサイロ化している部分もあるため、共通化できるところは共通化し、横串的に支えるものを導入していかなければいけないと感じています。
一方で、弊社の場合はEC2が少なく、サーバレス化が進んでいるのは、セキュリティ面では助かっていると感じています。
永澤:EC2は使うつもりのないサービスやライブラリまで入ってしまい、そこに脆弱性が存在する可能性がありますからね。そこも含め、AWSのガイドラインに示されているベストプラクティスに沿っているかどうかをチェックし、早めに脆弱性に気付ける仕組みがあるかどうかが、セキュリティレベルを保つ上では大きいかもしれません。
稲吉:この先マルチクラウド環境になってくると、新たな課題も生じるだろうと感じています。今はまだAWSだけですが、DR(ディザスタリカバリ)やサービスレベル、コストの観点から、今後利用するクラウドが増えていく可能性はあります。すると、AWSで習得したことをまた別のクラウドで習得し直さなければならないため、倍とまではいかないまでも、やはり相応の負荷がかかるでしょう。その負荷をできるだけ抑えつつ、構造が違えば考え方も違う環境で、同じことを同じ物差しでどう推進するかも課題ですね。
永澤:ガバナンスも同様に難しい課題ですよね。政府ではクラウド利用に関する指針を出していますが、実施可能なセキュリティ対策の中から、各クラウドで何を実施していくべきかを見極めるのは大変だと思います。
稲吉:アメリカではNIST SP800-171のように政府がきちんと規定を定めており、政府の仕事に関わる場合それに合わせて運用して行く必要があります。日本でも防衛省は参考に取り組んでいますが、企業でもセキュリティを考える場合に非常に参考になるものです。セキュリティはどうしても「インシデントによる損害を防ぐため」という考え方だけが先行しがちですが、「セキュリティを守ることが利益になる」というストーリーで進めていくべきだと考えています。デベロッパーも、運用をしている我々も、経営層も、リスクマネジメントを踏まえてそうしたアプローチを取っていかないと、このままではつらい状況が続いてしまうでしょうね。
永澤:皆様が終始コンソールに張り付いて見ていくのではなく、AI解析や監視サービスを活用していただくことで、本業にリソースを集中していただけると思います。お客様がリソースを割くべきところに割いていただくため、我々が代わりにセキュリティを見ていきたいというのが、セキュリティベンダーとして常に心がけていることです。言うなれば、ここも「責任共有モデル」ではないかと思います。
稲吉:もはや「全部が全部、丸ごとセキュリティをやってくれ」という時代でもありません。ユーザーもセキュリティを推進していく必要性を認識しないといけないと思いますし、責任共有はそれをうまく表現した言葉だと思います。
永澤:Cloudscortでは今後、マルチクラウドに対応していく構想を練っています。ユーザーの皆様がサービス開発にいっそう集中していただけるよう、ニーズとバランスを取りながら、我々に任せたいと考えている部分を支援できればと考えています。
