アインホールディングス株式会社
CloudFastenerでAWSセキュリティの「負担」と「不安」を同時に解消できました
AWS
アインホールディングス株式会社 デジタル推進本部 情報システム部 マネジャー 李 玉嬌 氏
企業概要
アインホールディングスは、人々が健康で、美しく、幸せな日々を過ごせる社会を目指し、薬局「アイン薬局」を中心としたファーマシー事業と、コスメティックストア「アインズ&トルペ」、インテリアショップ「Francfranc」を中心としたリテール事業を展開しています。
導入前の課題
- AWS利用が拡大する中で、セキュリティ管理対象が増え、アラート対応だけで1日1人2時間の作業が発生するなど、工数負荷が深刻化していた
- 緊急アラート対応では24時間体制が必要なため、社内人員の心理的な負担があった
- AWSやクラウドセキュリティの専門的な知識やノウハウが不足しており、社内だけでは高度かつ包括的なセキュリティ管理体制の構築が困難だった
導入後の成果
- CloudFastenerによって、1日1人2時間かかっていたセキュリティ管理工数が削減され、インフラチームは本来の業務に集中できるようになった
- AWSセキュリティの専門家によるリスク解析や対応が可能になり、従来より質の高いセキュリティ体制が構築できた
- NIST CSF v2.0に基づいた対応を含む、全社的なセキュリティガバナンス強化を実現できた
AWSの利用が拡大する中、セキュリティ管理が大きな課題に
はじめに貴社の事業内容と部門の役割について教えてください。
当社は、薬局「アイン薬局」を中心としたファーマシー事業と、コスメティックストア「アインズ&トルペ」、インテリアショップ「Francfranc」を中心としたリテール事業を展開しています。25年連続増収を続ける成長企業として、事業拡大とともにクラウド活用にも注力してきました。
デジタル推進本部では、オンプレミスやクラウドで運用しているさまざまな社内システムを原則としてAWSクラウドに1本化する方針のもと、2022年から社内システムをAWSに移行する取り組みを本格化させ、「いつでもアイン薬局アプリ」、POSやMDを中心とした基幹業務システム、可視化や分析のための統合データベース基盤などのクラウド化を進めてきました。2024年時点ではシステム数は15以上、利用しているAWSサービスの数は40を超え、ほとんどすべてのシステムをAWSに移行しました。
当初、AWS担当は私1人でしたが、現在は15名でAWSサポートチームを構成し、インフラ構築のほか、社内向けサポート、社内向けコンサルティング、他クラウドからの移行支援などを行っています。
AWSの利用拡大に伴い、どのような課題が発生しましたか。
私は前職のメーカーで生産技術を担当していたため、AWSもクラウドセキュリティも初めて接する技術でした。AWSが提供する管理系サービスやマネージドサービスを活用してセキュリティを担保してきましたが、2022年頃からAWSの利用が拡大していくなかで、セキュリティの専門的な知識が必要だと痛感するようになりました。とくに医療情報は、個人情報のなかでも最上位のランクに位置しています。医療情報を適切に扱い、事故を確実に防ぐためにはインフラ管理と異なる専門的な知識やノウハウが不可欠でした。
また、近年のセキュリティ事故は、アプリの脆弱性を突くようなサイバー攻撃だけでなく、インフラの設定不備や管理不足から生じる情報漏えいなども多いため、セキュリティ事故につながりかねない情報については、異常を検知してアラートが届く仕組みを作っていました。
しかし、管理対象が増えるにつれ、アラートの数が多くなるだけでなく内容も多種多様となります。その都度、アプリチームやパッケージベンダーに改修を依頼したり、影響を確認して経営層や社外のステークホルダーに適切に報告したりする必要があります。そのため、アラート対応だけで1日に1人最低2時間はかかるほどの大きな負担になっていました。
さらに、緊急アラートへの対応は24時間体制が必要なため、メンバー全員が既存のセキュリティ管理に課題を感じていました。
20以上のAWSアカウントをCloudFastenerへ移行、管理のあり方が激変
CloudFastenerを知ったきっかけを教えてください。
CloudFastenerを知ったのが、2024年に開催された「AWS Summit Japan」です。当時AWSのセキュリティ管理について課題を感じていたため、ヒントを得るためにサイバーセキュリティクラウド(CSC)社が登壇するセッションを聴講しました。
いま抱えている課題を解決してくれるものと期待してセッションに参加しましたが、非常に感動しました。イベントにはチームメンバーも参加していて、驚いたことにその場にいた全員がCSCのセッションを聴講し、私と同じくらい興奮していました。そのくらいセキュリティはチーム全体の共通課題だったのです。
すぐにCloudFastenerの早期導入を会社に提案し、AWS Summitの2週間後には導入を正式に決定しました。
CloudFastnerの導入に至ったポイントをお聞かせください。
CloudFastenerは、クラウド資産の洗い出し、セキュリティリスクの可視化、OSやソフトウェアの脆弱性や設定ミスの確認、クラウド環境の脅威の収集・分析などを行ってくれます。
さらに、システム監視は24時間365日行われ、セキュリティの専門家がリスクのトリアージやセキュリティアラートの処置と対応までを行ってくれます。当社では、医療情報については原則として国内リージョンを使用すると決めており、情報管理についても厳密なポリシーで運用する決まりです。
CloudFastenerは、セキュリティ専門家によるフルマネージドサービスで提供する利便性はもちろん、そうした厳しい基準をクリアしていることも採用のポイントでした。既存システムのアカウントをそのまま利用するサービスのため、エージェントの導入やシステム改修も一切なく簡単に導入することができました。
導入は2024年11月からスタートし、システムごとに異なる20以上のAWSアカウント(アイン公式アプリで4アカウント、統合データベースで3アカウントなど)をCloudFastener管理へと移行しました。
非常に助かっているのは、当初想定していなかった業務までカバーしてくれていることです。たとえばアラート対応では、アプリに改修が必要になったり、AWSやソフトウェアベンダーに報告する必要になったときに、私たちに代わって連絡や折衝まで行ってくれたりしています。導入前後におけるセキュリティ管理は激変したといえるでしょう。
CloudFastenerのサポートを受けながら、全社的なセキュリティガバナンスを強化
CloudFastnerを導入して得られた効果について教えてください。
実際の導入効果としては、まずセキュリティ管理の工数削減があります。1日1人2時間かかっていた作業は不要になり、セキュリティリスクの解析や報告にかかる時間も節約できました。
そして、CloudFastenerによる24時間365日監視のおかげで、セキュリティチームにおける緊急アラートに備える心理的な負担もなくなりました。
また、単に業務を効率化しただけでなく、専門家によるしっかりした分析と対応により、セキュリティが大幅に強化されたことも実感しています。CloudFastenerのテクニカルアカウントマネジャー(TAM)が対応の根拠を明確に示して説明してくれるので、アプリチームやパッケージベンダーとのコミュニケーションが非常にスムーズになりました。インフラチームとして、アプリチームやパッケージベンダーと本来話したいのは、開発する機能やサービスに対してどのようなインフラを提供するかといった議論です。開発者の利便性向上やアジャイルの推進、マイクロサービスへの移行などさまざまなテーマがありますが、セキュリティ領域をCloudFastenerが担ってくれるため、インフラチームとしてそうした本来の取り組みがしやすくなりました。
セキュリティ体制の強化という面では、どうでしょうか?
CloudFastenerのサポートを受けることで、長らく実現できずにいたセキュリティ体制の強化に取り組むことが可能になりました。また、セキュリティ体制を企業全体で強化するためには、各種ガイドラインやフレームワークに沿った全社的なガバナンスを整えていくこと重要です。CloudFastenerは、NIST(米国立標準技術研究所)のサイバーセキュリティフレームワーク(CSF V2.0)にも対応しており、そうした全社ガバナンスの構築と徹底にも役立っています。
また、TAMとの週1回の定例ミーティングやチャットツールによる常時サポートにより、要望や課題を整理しながら現状の課題解決や将来的なサービス改善を進めることができています。
さらに、定例ミーティングを通じて、CloudFastenerのセキュリティ専門家から知識やナレッジを学びながら、社内でのセキュリティ人材育成やスキルの向上にも繋げることもできています。
CloudFastenerの導入によって、運用だけでなくサービスの構築時からセキュリティを組み込み、お客さまに安心してサービスを使っていただく体制を築くことができています。
ありがとうございました。
導入企業(一例)
