株式会社JTB

クラウド移行後のセキュリティ運用体制の見直しが課題に

はじめに、御社の事業内容と渡邉さま、松永さまのミッションについて教えてください。

当社は旅行事業を中心に展開しており、旅行に関わるWebサイトやWebシステムを数多く運営しております。

Webシステムソリューション部は、Web販売事業部が運営するWebサイトの企画・運用・保守を担当する部署です。UI/UXの改善やコンテンツ強化に加え、セキュリティの管理も担っています。

IT企画チームは、全社基盤の保守・運用に加え、部門をまたがるITやシステム関連のプロジェクト推進を担当しています。

システム環境をパブリッククラウドに移行されたとのことですが、移行の経緯を教えていただけますか。

当社では長年、自社データセンター上に構築したプライベートクラウドを利用してきましたが、拡張性や運用効率、コスト面に課題がありました。そこで、データセンターを閉鎖しパブリッククラウドへの移行を決定しました。

実は以前から、Web販売事業部をはじめとする一部の事業部では、すでにパブリッククラウド上でのシステム構築を行っていました。社内に一定のパブリッククラウドに関するノウハウが蓄積されていたこともあり、パブリッククラウドへの移行は比較的スムーズに決断できました。

パブリッククラウドへの移行にあわせて、セキュリティ面でどのような課題を感じていましたか。

当社では、セキュリティの重要性を以前から理解しており、プライベートクラウドの時からさまざまなセキュリティサービスを導入してきました。例えばWAFについては、従来サードパーティー製のWAFサービスを利用しており、専任チームによる支援や、定例会の開催など、WAFベンダーの手厚いサポート体制のもとで高いセキュリティ水準を維持してきました。

一方で、パブリッククラウドへの移行にあたっては、コスト面やパブリッククラウドとの親和性を考慮し、パブリッククラウドネイティブなサービスの活用を想定していました。WAFについても同様にパブリッククラウドが提供するWAFサービスを活用することを検討していましたが、移行後においても、これまでと同等のセキュリティ水準を維持できるのかという点が、大きな課題でした。

さらに、当社では膨大な数のシステムをクラウド上で運用することになるため、WAF単体にとどまらず、クラウド環境全体のセキュリティをどのように担保していくのかという、より包括的な課題もありました。クラウド環境においては、運用体制をどのように構築するのか、また属人化を避けながら高いセキュリティ水準を維持するにはどうすれば良いのか、といった点も懸念していました。

そこで、CloudFastenerに白羽の矢が立ったわけですね。導入に至った経緯を教えてください。

実は、CloudFastenerは当初、導入を想定してはいませんでした。というのも、クラウド環境の設定ミスや脆弱性などを継続的に監視するサービスをすでに導入しており、一定の運用体制は整っていたためです。

そのような中で、パブリッククラウドWAFの運用課題を検討する過程で、サイバーセキュリティクラウド社のWAF自動運用サービス「WafCharm」を知りました。パブリッククラウドWAFを強化しながら、当社の運用負荷をしっかり抑えられそうだと感じ、導入を決めました。そして、WafCharmについてお話を伺う中で、CloudFastenerというサービスをご紹介いただきました。

CloudFastenerには専任のTAM（テクニカルアカウントマネージャー）がアサインされ、パブリッククラウド環境全体を対象とした包括的なセキュリティサポートを受けられる点に魅力を感じました。CloudFastenerを導入することでパブリッククラウド環境のセキュリティレベルをさらに高められるではないかと考えたのです。

また、インシデントが発生してから対応するのでは後手に回ってしまいますし、コストを抑えながらも盤石なセキュリティ体制を構築する必要があると考えていました。こうした背景から、CloudFastenerの導入検討を進めることにしました。

包括的なクラウドセキュリティで、これまで同様に高いセキュリティ水準を担保

CloudFastenerの導入を決めた理由を教えてくだい。

WafCharmと同じベンダーであるサイバーセキュリティクラウド社が提供しているサービスである点は、大きなポイントでした。WAFをはじめとしたクラウドセキュリティ全般に関する専門知識をお持ちであり、当社のクラウド環境におけるセキュリティ強化に貢献していただけるのではないかと思いました。

また、CloudFastenerはWafCharmと同様に、パブリッククラウドのマーケットプレイスに出品されているサービスであることから、パブリッククラウドベンダーのお墨付きがあるという安心感もありました。

CloudFastenerをWafCharmとセットで活用することで、パブリッククラウド環境全体をカバーする包括的なセキュリティ対策を実現でき、それによってこれまでと同等以上のセキュリティ水準を維持できると判断し、導入を決めました。

セキュリティ専門家が常に伴走してくれる心強さ

CloudFastenerを導入して得られた効果について教えてください。

CloudFastenerは専任のTAMがアサインされるため、非常に心強い存在だと感じています。TAMとの定期的な打ち合わせを実施していただいており、日々の運用の中で感じるセキュリティに関する不安や疑問を、気軽に相談できる体制が整っています。

また、専任のTAMだからこそ、当社のシステム構成や環境の特徴、固有リスクについても理解していただいており、セキュリティに関する相談がしやすいと感じています。いわば「痒いところに手が届く」ような対応で、こちら側の背景を踏まえた提案をしていただけるため、細かな説明をしなくてもスムーズに話が通じるようになってきました。実際に、セキュリティに関わる社内メンバーからも、「相談しやすい」という声が上がっています。

当然ながら、私たちにない高度な専門スキルをお持ちですので、セキュリティ運用の質を継続的に高めていく上で、非常に心強い存在だと感じています。

今後のセキュリティに関する展望について教えてください。

セキュリティは今や事業継続における最重要課題だと考えています。昨今、大手企業のセキュリティインシデントのニュースが世間を賑わせていますが、あれだけの大企業であってもインシデントが発生してしまうことを考えると、セキュリティに「これで十分」という終わりはないんだと実感しています。日進月歩で進化する攻撃に対処できるように、私たち自身も立ち止まることはできません。

また、当社ではグローバル展開にも力を入れているため、今後はグローバルを見据えたセキュリティ体制の構築も重要だと考えております。

最後に、同じようなセキュリティの課題を抱える企業へのアドバイスをお願いします。

セキュリティを強化するためにセキュリティサービスの導入は必要不可欠ですが、数多く導入すれば良いというわけではないと考えています。「今までやっていたから同じように入れればいい」ではなく、どういう攻撃を止めたいのか、何を実現したいのかなど、自社の要件をしっかりと定義したうえで、その要件に合ったサービスを選び導入することが重要です。

また、セキュリティはサービスを導入しただけでは十分ではないので、導入後の運用をどのように行うのかまでしっかり考慮する必要があります。すべてを外部に任せきりにするのも望ましくありませんし、完全な内製化も人材やリソースの観点からは難しいと思います。領域ごとに、内製化すべき部分と外部に任せるべき部分を見極め、バランスの取れた運用体制を構築することが大切だと考えています。

ありがとうございました。