ハウス食品グループ本社株式会社

サーバサイドのセキュリティ対策不足が課題に

はじめに、御社の事業内容と、酒井さまの役割について教えてください。

当社は、「食を通じて人とつながり、笑顔ある暮らしを共につくるグッドパートナーをめざします」というグループ理念のもと、カレーやシチューなどの家庭用食品を中心に、スパイスや健康食品、海外事業など幅広い食品事業を展開しています。

私は情報セキュリティ統括部の部長として、グループ全体のセキュリティの統括を担っています。具体的には、セキュリティ戦略の策定、ポリシー整備、インシデント対応体制の構築、そしてグループ各社のセキュリティレベルの向上が主な役割です。

CloudFastener導入前、AWSのセキュリティにはどのような課題がありましたか？

当社は早い段階からデータセンターからAWSへの移行を進めており、基幹システム、周辺システム、ネットワーク・サーバ環境、さらにWebサイトやECサイトなど、複数の領域でAWSを活用しています。

しかし、セキュリティ対策に関しては率直に申し上げると十分に行き届いていない状態でした。構築後のシステムの脆弱性を継続的に確認する運用が定着しておらず、特に基幹システムについては「閉じた環境だから」という理由から対策が後回しになっていました。

こうした背景から、「サーバサイドのセキュリティは本当にこのままで大丈夫なのか」という危機感を抱き、抜本的な対策に着手することにしました。

セキュリティ専門家による支援の安心感が導入の決め手に

CloudFastenerを知ったきっかけを教えてください。

AWSからの紹介が大きなきっかけでした。これまでもAWSの担当者とインフラとセキュリティを統合的に管理するために定期的に情報交換をしてきました。例えばAmazon InspectorやAWS CloudWatchなどのAWSセキュリティサービスを勉強会形式で教えていただきました。

その中で、2024年のAWS Summitに参加した際に、AWS担当者の紹介でサイバーセキュリティクラウド（CSC）さんのブースを訪問しました。AWS WAF自動運用サービスの「WafCharm」は以前から導入して利用していたのでCSCさん自体は知っていたのですが、CloudFastenerというサービスについては知りませんでした。実際に話を聞く中で、「そこまでやってくれるのか」と想像以上の包括的な支援内容に驚き、導入検討を始めました。

CloudFastener導入の決め手を教えてください。

最大の決め手は、AWSセキュリティに特化した専門家が継続的に環境を評価し、改善まで伴走してくれる点です。私たちはセキュリティの専門部署ではありますが、AWSの技術的な領域に関しては十分にカバーしきれていない部分もありました。AWS環境のセキュリティ状況をきちんと把握して、全体として見えるようにしなければならないという思いがある中で、AWSセキュリティの知見を持った専門家にしっかり見ていただけるというのは、とても心強いと感じました。

また、当社の一部のネットワークやシステム環境の保守・運用をしてくれているスターネット社がCSCとパートナーシップを結んでいるという点も安心材料になりました。信頼関係のあるパートナーと連携しながら、統合的にセキュリティを強化できる体制が整うことも導入の後押しになりましたね。

セキュリティの見える化と施策の優先順位の明確化で、セキュリティの強化を実感

CloudFastener導入後、どのような効果を感じていますか？

最も大きな効果は、AWS環境のセキュリティ状況を可視化できたことです。基幹システムから外部公開サイトまで、各システムの脆弱性や設定の不備、潜在的なリスクが一元的に把握できるようになったため、セキュリティ運用上の大きな前進となりました。

そして、セキュリティ運用の優先度が付けられるようになったのも大きな変化です。セキュリティ対策というのは、やろうと思えばいくらでもやれることがありますが、CloudFastenerでは「これは絶対にやらなければいけない」「ここまではやっておいた方がいい」「ここはやらなくて大丈夫」というところまで、根拠に基づいて具体的な提案をいただけるので、やるやらない判断がしやすくなります。

さらに、組織全体のセキュリティレベルの底上げも実感しています。専任のTAMが定例会で最新の脅威トレンドや技術知識を説明してくれるため、当社のメンバーが専門家の知見を吸収しながら成長できています。

今後のセキュリティに関する展望について教えてください。

近年は食品業界に限らず多くの大企業において大規模なセキュリティインシデントが発生しており、当社にとっては決して対岸の火事ではなく、非常に強い危機感を持っております。

セキュリティを抜本的に強化するため、現在は5〜6年を見据えた中長期的なセキュリティ戦略に基づき、現状とのギャップを段階的に埋め、セキュリティを強化する取り組みを進めています。

今後は、デバイス管理などの基盤整備を実施しつつも、クラウドセキュリティもさらに強化していきたいと思っています。AWSのセキュリティに関しては、基幹システムとAPIの連携、AIとのつなぎなど、クラウド上での連携におけるセキュリティ対策を強化していく構想があります。また、クライアント側はゼロトラストで進めていく方針で、認証とネットワーク制御をしっかりやっていきたいと考えています。

最後に、同じようなセキュリティの課題を抱える企業へのアドバイスをお願いします。

アドバイスというのはおこがましいのですが、やはりシステムベンダーとは別に、セキュリティ専門家の視点で環境全体を俯瞰してもらえたことは非常に大きな価値でした。個別システムの最適化だけでなく、第三者の視点で環境全体を網羅的に確認できることが、改善の加速につながります。

もしセキュリティについて、自社のみでの対応に限界を感じている企業があれば、運用の部分を信頼できるセキュリティベンダーに任せる選択肢は有効だと思います。セキュリティの専門家に任せられるところは任せて、自社のリソースを本来注力すべき戦略的な業務に集中できるため、効率良く高いレベルのセキュリティを実現できるはずです。

ありがとうございました。