総合乳業メーカーとして牛乳、飲料、ヨーグルト、アイス、育児用ミルクなどの開発・製造を手がける森永乳業株式会社。各種システムをAWS上で運用している同社は、セキュリティ状況の可視化に向けてクラスメソッドの「AWSセキュリティ強化プログラム」を採用し、AWSが提供する「セキュリティ成熟度モデル」を活用したアセスメントを実施しました。実施した内容と評価について、情報システムセンター システム2課の豊島さん、保科さん、松本さんにお話をうかがいました。
セキュリティ状況を可視化して現在のレベルを認識する
1917年の創業以来、100年以上の歴史を誇る森永乳業。同社はビフィズス菌研究でも50年以上の実績を持ち、ヨーグルトやサプリメントの「ビヒダス」シリーズを筆頭に、ビフィズス菌・乳酸菌市場の国内メーカーシェアNo.1です。対外的な情報発信を続ける一方、社内では「ビフィズス菌検定」を実施するなど社員教育にも熱心です。
2019年に策定した「森永乳業グループ10年ビジョン」の達成に向けて、デジタル技術の活用やDXの取り組みを進める同社では、2019年にクラウド活用推進組織(CCoE)を立ち上げ、AWSを中心としたクラウドへのシフトを図ってきました。
業務システムからWebサイトまで、AWSへのシフトは順調に進んだものの、当初はシングルアカウントで運用していたために、AWS上で稼働するシステム増加に伴って、セキュリティ管理の負担やリスクが大きくなっていました。
そこで、同社は2023年11月にクラスメソッドの提案を受けてマルチアカウント化を検討し、マルチアカウント環境を統合管理するマネージドサービスとして「AWS Control Tower」を導入しています。これを契機にシステム単位でのアカウント管理に移行し、アカウント数も30以上に増えていきました。また、AWSのセキュリティ状態については、セキュリティ管理の一元サービスであるAWS Security Hubを活用して適宜チェックをしていたものの、定量的な評価指標がなく、全体像の把握まではできていませんでした。
こうした中、CCoE組織を兼任する同社の情報システムセンター システム2課がクラスメソッドのセミナーをきっかけに技術相談を持ちかけたところ、「AWSセキュリティ強化プログラム」の提案を受けました。「AWSアカウントが増えたことから、現在のセキュリティ状況を可視化して把握したいと思ったのが一番の動機です。自分たちが現在どのレベルにいるのかを客観的に知り、長年にわたって技術支援をいただいているクラスメソッドと共通認識を持つことで、今後のセキュリティ強化に向けてスムーズな会話ができるようになることを期待しました」(豊島さん)
クラスメソッド独自の基準を追加した「AWSセキュリティ強化プログラム」
「AWSセキュリティ成熟度モデル」は、セキュリティ対策がどの程度実現できているかを定量的に測るためにAWSが提唱したフレームワークです。セキュリティ分野の9つの機能カテゴリー「セキュリティガバナンス」「セキュリティ保証」「アイデンティティとアクセス管理」「脅威検出」「脆弱性管理」「インフラ保護」「データ保護」「アプリケーションセキュリティ」「インシデント対応」を対象にいくつかの質問に回答することで、実践的なセキュリティレベルが可視化されます。評価するフェーズは、必須といえるフェーズ1から、最適化を実現するフェーズ4まであり、段階的に強化できます。
クラスメソッドの「AWSセキュリティ強化プログラム」では、セキュリティ成熟度モデルに独自のノウハウによる確認項目と判断の基準を追加したアセスメントを実施します。そしてアセスメントによって現在地を確認した後、機能が不足しているカテゴリーや強化させたい領域に対して、クラスメソッドが提供する様々なセキュリティ強化メニューで支援します。アセスメントの結果は、わかりやすくグラフ化したレポートとして提供するので強化すべきポイントが視覚的に理解でき、社内での共有利用も容易です。
今回は森永乳業にて、これまでセキュリティ状況が明確に把握できていなかった2つのアカウントをピックアップして「AWSセキュリティ強化プログラム」を適用しました。期間は2024年6月から7月の2カ月間とし、1つめのアカウントAについては6月、2つめのアカウントBについては7月とそれぞれ1カ月単位で実施しています。
基本的には、森永乳業とクラスメソッドとの間で毎週ミーティングを行いながら、複数のセキュリティ項目に関するアセスメントシートに森永乳業が回答し、それをもとにクラスメソッドがレポートを作成、改善策を提案するという流れです。
「クラスメソッドからは、実施しやすいフェーズ1とフェーズ2から始めたほうがよいといったアドバイスを受け、週単位でミーティングしながら進める提案をいただきました。最初に英語で書かれているAWSのアセスメントシートを見た時は驚きましたが、クラスメソッドから日本語化されたアセスメントシートを用意いただき、自社でも対応できました」(保科さん)「これまでAWS上での開発経験や運用経験がなく、実務でAWSに初めて触れたのが本アセスメントでした。AWSに関する知識がない中、独学で勉強もしましたが、社内の有識者に確認しながらアセスメントシートを埋めたことで、AWSに関する理解が大きく進みました」(松本さん)
改善提案を参考にしながら対策に向けたアプローチを開始
現在、同社ではアセスメントを実施した2つのアカウントに対し、レポートと改善提案を参考にしながら対策に向けたアプローチを開始しています。本格的な対応はこれからですが、当初の目的どおりセキュリティ環境が可視化されたことで安心感が得られたとコメントをいただいています。
「第三者の視点によってセキュリティの現在地を客観的に把握することができました。加えてアカウントを管理している部門やセキュリティ部門(CSIRT)に対して、アセスメントレポートを提示することで、セキュリティ強化に対する共通理解を得るとともに、対策の依頼が容易になりました」(豊島さん)
アセスメントシートを作成し、評価を実施した松本さん、保科さんにとっても「プロジェクトを通して学びになった」と所感を述べています。「まずは最低限必要なフェーズ1とフェーズ2のセキュリティ状態をチェックできたことが、今回のアセスメントにおける最大の成果です。要件から外れたフェーズ3とフェーズ4についても、私たちが気になっているポイントに関して、クラスメソッドの担当者からピックアップした形で回答をいただき、次へのステップにつなげられています」(松本さん)
「毎週クラスメソッドから出される宿題に対して調査を進める作業は大変でした。しかし、自社の環境を調査してAWSのベストプラクティスを理解しながらアセスメントシートを埋める作業を通して、AWSについて学ぶ機会を得られたので、自分自身の勉強になりました。クラスメソッドの担当者にはミーティングの中で、セキュリティの枠を超えた質問に対しても回答をいただきました。セキュリティ環境の強化に対しても、理想ばかりを追求しても疲弊してしまうため、現実的なラインで最も安全な道筋や対策を示唆いただけたのもありがたかったです」(保科さん)
定期的なアセスメントでセキュリティレベルを維持
今後について、同社では継続的なアセスメント実施計画として、2025年度に向けた検討を始めています。
同社のAWS環境におけるセキュリティは、AWS Control Towerの配下でアカウントを管理しており、一定のレベルを達成しています。今後は、新規アカウントをAWS Control Towerで管理しつつ、既存アカウントの移行も進めていく方針です。さらには、AWS Control Towerで管理している既存アカウントについても、セキュリティ診断を実施して客観的に評価する構想を描いています。
「クラスメソッドは重要なパートナーですので、セキュリティ面で私たちに不足していることがあれば積極的に指摘をいただき、一緒に改善に取り組んでいきたいと思います」(保科さん)
クラスメソッドは森永乳業のセキュリティ施策を継続的に支援し、さらなるセキュリティ強化についても貢献を重ねてまいります。
