当社では、サービスとデータ基盤をそれぞれ異なるクラウド上で展開しており、管理やセキュリティ対策もそれぞれの担当部門ごとに行っています。部門ごとにセキュリティに対して知見のある社員が在籍し対応していたものの、セキュリティへの対応については、属人的になっている部分がありました。以前は、全社ポリシーなどが決まっていなかったこともあり、セキュリティ対応レベルは部門ごと、担当者ごとに異なり、どのような構成になっているか担当者は理解しているものの、他部門や経営層には見えにくい状態になっていました。また、優先事項の高い開発要件が発生するとセキュリティ対応が二の次になることもありました。2024年5月、社内にセキュリティ専門の組織としてリスク&セキュリティ管理グループの前身となるセキュリティを管理するグループが立ち上がり、セキュリティ全般に対応することになりました。その一環でまずは使用しているクラウドの現状を把握・可視化し、会社としてのガバナンスを実行するために、クラウドの設定ミスの診断やコンプライアンス順守のチェック、異常行動の検知、ネットワークの可視化を行うCSPM製品の導入を検討することになりました。

当初は、中小規模の事業者やスタートアップ向けのCSPM製品を中心に検討をしていました。もちろん、Prisma Cloudの評判は耳にしていましたが、「高機能だからこそ利用料が高額で、当社の予算感には合わないだろう」と思っていました。また、製品導入後も、柔軟で、手厚く、スピーディなサポートしてくれるセキュリティベンダーとお付き合いしたいと考えていました。そのような中、NRIセキュアさんには、社内で検討する際の比較材料として、「念のため見積もりを取っておこう」程度の気持ちで当初お声がけしましたが、実際に提示された見積りは、私たちが想定していた金額よりも一桁少なかったんです。機能面でも圧倒的だったので、「この費用でこれが使えるなら……」と期待を感じました。アクセス制御、監査ログ、コスト管理の監査ログなどはもちろんのこと、中小企業向けの製品ではまだ搭載されていないフレームワークもPrisma Cloudには既に搭載されていました。また、コンプライアンス・ポリシーが豊富でサポート体制が充実していることや、当社がいずれ導入を予定しているIDaaSともSSOが可能であること、CSPMのみならず、CWPPやASM、DSPMなどの機能も備えていて、申し分ありませんでした。重視していたサポート面についても、想像以上にスピーディで手厚い対応をしていただき、初回の打ち合わせから1カ月後にPoCを実施することができ、2024年秋頃に本導入しました。

これまでは、部門ごとに「どのような設定になっているのか」が見えづらく共有が難しかった点が可視化されたことで、部門内外でコンプライアンス基準に関するコミュニケーションを取れるようになりました。クラウドセキュリティの可視化のために導入したPrisma Cloudでしたが、異なる部門のコミュニケーションを行う土壌や文化、体制ができたことこそが最大の価値なのではないかと考えています。

現在は、リスク＆セキュリティ管理グループでPrisma Cloudを毎日確認し、対応が必要なものが検知された場合には、それぞれの部門と連携するフローにしていますが、事前に対応ができていたこともあり、緊急対応が必要な問題は発生していません。しかし、脆弱性が検出された際にも、緊急度が高いものなのか、受容できるレベルのものなのか、すぐに判断することができるようになりました。これまで漠然と感じていたセキュリティの不安について、しっかりと対策できていることを、自信を持って説明できるようになっています。