株式会社アイスタイル

ITインフラの老朽化でAWS移行を決断し、セキュリティ対策も見直し

アイスタイルがCloudFastenerを導入するに至ったきっかけと、導入前に抱えていた課題について教えてください。

当社は、1999年の創業以来、実際にその商品を使った生活者から投稿されるクチコミやそれを基にした人気商品のランキングなどを掲載する@cosmeを中心としたデータベースマーケティングを軸として、メディア、EC、実店舗の3つのビジネスでコンスタントに成長を続けてきました。IT領域に関しては自前主義で、オンプレミス環境でサーバーとアプリケーションを自社運用していたのですが、サービスの発展に併せて長年システムの拡張を続けてきた結果、少しずつひずみが生じていました。

その中で、2018年に「@cosme BEAUTY DAY」という通販イベントを開始するにあたり、その数日間にトラフィックが集中する状況を踏まえ、パブリッククラウドの併用を実施しました。それを契機に自前主義にこだわることを辞め、ITインフラをクラウドサービスに移行することを考えるようになりました。そこで「ここで一度しっかりとテクノロジー基盤の見直しをすることが今後の当社の事業成長には欠かせない」と考えて経営層にも浸透させ、2022年に段階的にAWSへ移行することを決意しました。

それまではサイバーセキュリティ対策も自社で実施し、幸いなことにこれまで大きなインシデントに見舞われることはなかったのですが、昨今サイバー攻撃がどんどん多様化・高度化していくなかで、本音を言うと自前で対策を続けていくことに限界を感じていました。決して諦めていたわけではないのですが、「ちょっと打ち手がないぞ」という状態に陥っていたのです。そこでAWSへの移行に併せて、セキュリティ対策を強化するプロジェクトを開始しました。

ツールそのものより一緒に手を動かしてくれるパートナーが欲しかった

そこでなぜサイバーセキュリティクラウド（CSC）に声を掛けたのでしょうか。

AWSに移行することで、当社が抱えていたセキュリティ脆弱性問題の相当部分を解決できますが、100％解決できる訳ではありません。そこで更なる対策をしていくためにパートナーが必要という結論になり、複数のセキュリティベンダーや大手のITベンダーに声を掛けさせてもらったのですが、その1社がCSCでした。

その時、私としてはツールそのものよりも、一緒に手を動かしながら対策に取り組んだりそれをドキュメント化してくれたりするような伴走型のパートナーが欲しかったのです。

CSCには「CloudFastener（クラウドファスナー）」で、セキュリティコンサルやセキュリティ対策プロジェクトのマネジメントも担ってもらい、当社として必要なものを全部セットで提供してもらっています。それが我々の状況に一番合っていたのです。

Made in Japanプロダクトを率先して使い、一緒に創り上げていくことに意義を感じた

セキュリティ領域では海外製品が主流ですが、国内メーカーという部分は気にならなかったのでしょうか。

これは他社とも話をすることなのですが、セキュリティ領域にはMade in Japanのサービスがほぼなく、我々ユーザー側の条件に合ったサービスが提供されにくくなるという構造的な問題があります。そこで日本市場で事業を営む当社としても、CSCのようなMade in Japanのプロダクトを率先して使い、一緒に創り上げていくことに意義があると思っているのです。

もちろん、サポートに関しても日本語で全て対応してもらえることは大きなメリットです。海外製のサービスでは何かあったときに日本法人では判断しきれないことが多い中で、迅速な対応が求められる中でレスポンスが良く、問題に速やかに対処していけます。CSCは、AWSに関しても率先して海外の最先端の事例や情報を取ってきてくれますし、その部分もパートナーとして頼もしいと感じています。

AWS Security Maturity Modelを参照し、濃淡をつけて対策を実施

実際にCloudFastenerでAWSのセキュリティ対策を開始するにあたっては、どのような流れで進めていきましたか？

対策を開始した段階では、まだAWS側でも現在提供されているセキュリティサービスが全て揃っている訳ではありませんでした。そこでAWSから発表されている計画のロードマップを見ながら、基本的なソリューションの領域から対策をスタートして、徐々に対策領域を広げていくという形を取りました。AWS上でのセキュリティ対策を進めていくにあたっては、「AWS Security Maturity Model（AWSセキュリティ成熟度モデル）」というフレームワークを参考にして、当社の実態に合わせる形で対策のレベルに濃淡を付けながら、AWSジャパンとCSCと我々の3社連携のもとで進めていきました。

CloudFastenerという新しいサービスを導入するにあたって、不安はありませんでしたか？

特にありませんでした。並走して進めていく形をとっていて、方針変更や修正をその都度一緒に進めてきたため、不満を感じることは無かったですね。

そもそもCloudFastenerというサービス自体、既製品を提供するのではなく、人がかかわって一緒にオペレーションを回していく形のサービスなので、当社の事情や都合をしっかり汲んでもらえるだろうと最初の段階からある程度安心できていました。

日本企業ならではの丁寧なアラート対応でオペレーションが円滑に進む

CloudFastener導入後の効果、導入してみて良かった点を教えてください。

オペレーションを担当するエンジニアの立場として、日本企業ならではの対応という部分で助かっていることがあります。グローバルの製品では、何か不審な動きを検知してアラートが飛んでくる際には機械的で強い口調になりがちで、ちょっと既定の操作をしただけなのに強いアラートが上がってしまうという事象が頻繁に起きます。その点で、人を介してかつ日本人が間に入ることでそこの表現が丸くなって、「多分こういう事だと思うんですけど」という言い方をしてもらえるのは、精神衛生的な側面も含めてとても有難いです。

当社のエンジニアもドキッとすることなく、「こういう経緯だから大丈夫です」とか、「想定していなかったので調査してみます」というように、落ち着いて円滑に仕事を進めていけるのは大きいです。

それによって、重大なセキュリティインシデントの見逃しも防ぐことができます。インシデントのアラートは、運用の過程でオオカミ少年化していくものなので、アラートを仕込んで監視をする際には勘所を押さえることが重要になります。その際にCloudFastenerは相談に乗ってくれて、こちらの要望を踏まえてどこを重視し、どこを比較的緩めても大丈夫という形で実際に設定もチューニングしてくれるため、AWS上へのシステム移行直後から専門性を伴ったレベルでセキュリティ対策を講じることができています。

全体的なセキュリティ対策という視点でも、今までは勘所が分からずに、もぐらたたきのように全方面の動きに対して全力で対処していたのですが、CloudFastenerを導入したことで、対策の強弱を付けられるようになりました。従前感じていた終わりが見えない状況からは、脱却できる状態になりつつあると感じています。

CloudFastenerはスモールスタートが可能で予算獲得もしやすい

今後の対策の展望やCloudFastenerに対する期待について教えてください。

プロジェクトでは、セキュリティに関するルールの策定やAWS上でのセキュリティ対策を強化していく作業がまだ少し残っていますが、それらの作業が終わると次は運用フェーズに入ります。ただし運用フェーズに入ればもう大丈夫というものではないので、CloudFastenerには引き続き協力していただきたいです。期待という部分では、効率化という側面では運用フェーズに入って定型化できる部分やシステム化できる部分はそうしていくべきですが、ずっと横ばいで同じことをやっていけば良い訳ではありません。社内のエンジニアもセキュリティに関するノウハウを蓄積し、レベルアップをしていかなければならないので、その時に当社によりマッチするかかわり方をその都度見極めていただき、引き続きサポートをしてもらえると有難いですね。

最後に、同様の課題を持つ企業へメッセージをお願いできますか？

クラウドセキュリティ対策を実施するにあたり、昨今の状況を鑑みるとソリューションやパッケージさえあればいいと考えている企業はまずないと思われます。どの企業も「サポートが欲しい」「一緒に手伝ってほしい」と思っているはずです。その中で、日本語で血が通ったコミュニケーションをしてもらえるCloudFastener というサービスは、特にお勧めできると思います。

また、よく他社のCTO やセキュリティ担当者から、「セキュリティ対策に予算を付けてもらうのが大変」という話を聞きますが、リスクが顕在化している今はまさに対策を進めやすい時期だと思います。その際に海外の製品は、機能は充実していても時間をかけて作りこんで大きく始めなければなりませんが、CloudFastener は小さく始めることができ、運用の過程で必要に応じて大きくしていくことも小さくすることもできるサービスです。意思決定や予算の獲得に当たって、経営陣も説得しやすいのではないでしょうか。

ありがとうございました！