株式会社Photosynth 

スマートロック市場のリーダーが直面したセキュリティ課題

まず、Photosynthさんの事業と小嶋さまの役割についてお聞かせください。

当社は2014年の創業以来、導入社数7000社以上を誇るクラウド型入退室管理システム「Akerun」を中心に、IoTとクラウド技術を活用したスマートロック市場を築いてきました。Akerunの特徴は、工事不要で既存ドアに後付け設置できることに加え、利用ユーザーが増えても追加費用がかからない料金体系にあります。さらに、公開APIでさまざまなクラウドサービスと容易に連携できることも大きな特徴です。現在、勤怠管理や会員管理、受付システムなど20社以上のサービスと連携でき、業務のDXや無人化・省力化、人手不足解消などに役立てることができます。2024年7月からは、施設運営の業務プロセスアウトソーシング(BPaaS)事業である「Migakun（ミガクン）」を本格開始するなど新規事業への取り組みにも力を入れています。

私は、2020年にPhotosynthにテックリードとして入社後、SRE(Site Reliability Engineering)を中心としたサービス基盤の強化に従事し、2022年からはCISOとしてセキュリティ全般を統括しています。

どのようなきっかけでセキュリティ強化の必要性を感じたのでしょうか？

お客様の大切なカギを預かるサービスとして、品質管理とセキュリティ強化は最重要の課題です。しかしながら事業の拡張や新規事業の展開にあたり、バックエンドで利用しているクラウド環境の管理が複雑化していくのが課題となっていました。サービスの品質管理とセキュリティ管理がこれまでと同じように担保できなくなる懸念が出てきたのです。当社にとってこれは事業運営に直接的にかかわる、重大なリスクでした。

事業拡大で現れたセキュリティ課題、社内だけでの対応が困難に

具体的にどのようなセキュリティ課題がありましたか？

当社ではサービス提供のためのクラウド環境としてAWSを採用していますが、事業拡張や新規事業の立ち上げが増えるなかで、利用するAWSのリソースやアカウントは急速に増えていきました。現在、アカウント数だけでも10を超えています。それぞれのアカウントで利用しているリソースの数は1年で倍増していく勢いで、社内のエンジニアだけで対応することは難しい状況でした。当社では2020年頃からサービス品質の継続的改善に向けて、SRE（Site Reliability Engineering）の取り組みに力を入れています。そのなかで、環境の可視化や計測、自動化を進めてきましたが、SREを実践しにくくなるほど複雑化が進んでいたのです。

課題は大きく4つありました。1つ目は、「セキュリティイベントやアラートに対応するための工数の増加」です。当社では、AWS Security HubやAPI使用状況の確認で用いる AWS CloudTrailなど、さまざまなセキュリティ関連サービスを利用していますが、提供サービスの拡大に伴い、イベントやアラート数が増え、その分の対応工数が増加。サービスのリリース速度が低下するような事態も招きつつありました。

2つ目は、「APIをターゲットとしたサイバー攻撃自体の増加」です。Akerunのサービスは、IoT機器と鍵を管理するクラウドサービスのAPI連携によって施解錠を実現しています。ただ、近年はAPIを狙った海外からの攻撃急増に加え、攻撃が高度化、巧妙化しており、社内のナレッジだけで今後対応することが難しくなっていくことが懸念されていました。

3つ目は、「セキュリティ人材の不足」です。プロダクトに対するセキュリティ対策は、SREチームが品質管理とセキュリティを一体で行う体制でしたが、そうした人材の採用や育成がますます難しくなっている状況でした。

最後に4つ目は、「最新のセキュリティ脅威へのキャッチアップ」です。サイバー攻撃は日々進化しており、ビジネス環境の変化にあわせて新しい手口や手法も次々と登場しています。自社だけで最新の脅威情報を収集し、対応策を検討していくことに限界を感じていました。

セキュリティに関する「守備範囲の広さ」を評価

そこで「CloudFastener（クラウドファスナー）」の採用を決められたわけですが、決め手は何だったのでしょうか？

品質管理とセキュリティ強化のために、新たな人材を採用したり、既存メンバーを育成したりすることも検討しました。しかし、いずれも時間がかかるうえ、ビジネス環境が大きく変わるなかで自社だけで対応し続けることは現実的ではありません。それに対し、CloudFastenerは日々のセキュリティ対応から、最新のセキュリティナレッジの収集、将来的な人材育成までトータルでカバーできます。セキュリティコンサルティングやセキュリティマネージドサービスなど、部分的に役立つサービスは多く提供されていますが、CloudFastenerほど守備範囲の広いサービスはありません。我々がビジネスを展開するうえで抱えていたセキュリティ課題をすべて解消してくれるサービスだったのです。

また、以前からサイバーセキュリティクラウド社の「WafCharm（ワフチャーム）」を利用しており、その信頼感も導入の決め手となりました。WAFの運用では、検知のためのシグネチャをいかに改善していくかが重要です。WafCharmを利用していて頼もしかったのは、単に脅威をブロックするだけでなく、最新の脅威に合わせてシグネチャをどう更新していけばよいか、現在どんな脅威が発生していてどう対処すればいいか、我々の開発環境や運用環境に合わせて丁寧に解説してくれたことです。このように、WAFのシグネチャ更新というセキュリティに関して難しい領域を担うサイバーセキュリティクラウド社が提供するAWS環境全体セキュリティマネージドサービスであれば、安心して導入できると確信しました。

これまでもNIST CSF（Cyber Security Framework）やCIS Controlsを使って可視化やコントロールは行っていたものの、その運用や体制の継続自体が課題となっていました。その全てをCloudFastenerに任せることができたのは大きかったです。

「PSIRTチーム」として基盤運用の一部を担う存在に

具体的にどのようなサポートを受けていますか？

SREチームの定例ミーティングに参加してもらい、その都度、脅威情報の提供やトリアージなどの優先順位付け、具体的なアクション、セキュリティ対策のアドバイス、人材育成のための教育やトレーニングの支援などを受けています。セキュリティイベントやログは24時間365日継続的にモニタリングされ、日々の状況をレポートとして確認することができます。AWS Security Hubの情報よりも見やすいだけでなく、当社として対応すべき項目を示した、わかりやすいレポートです。品質管理とセキュリティの取り組みが、これまでよりはるかに両立しやすくなりました。

最大の導入効果はどのような点でしょうか？

品質管理とセキュリティを継続的に改善していくための体制を築けた点です。セキュリティで最も難しいのは、体制の構築と継続的な運用です。CloudFastenerはそれを担うだけでなく、プロダクト開発におけるセキュリティ基盤にもなっています。その意味では、当社における「PSIRTチーム」といえるでしょう。IoTとクラウドを基盤にビジネスを展開する当社のような企業にとって、CloudFastenerはなくてはならない存在であり、サイバーセキュリティクラウド社はビジネスを支えてくれる最良のパートナーです。

今後の展望をお聞かせください。

今後、当社はキーレス社会の実現を通じて、少子高齢化や人手不足などのさらなる社会課題の解決へと向け、さまざまなサービスを提供していく方針です。サイバーセキュリティクラウドには、その良きパートナーとして当社の発展を支えていただきたいと考えています。

ありがとうございました。