クラウドネイティブ化を支える
セキュリティ基盤

ＳＯＭＰＯシステムズ株式会社は、ＳＯＭＰＯホールディングス株式会社を最先端のデジタルで支えるIT戦略企業として、ＳＯＭＰＯグループ各社のシステム開発・運用やDX基盤整備を担っている。ＳＯＭＰＯグループは2020年に「クラウド・バイ・デフォルト」を掲げており、同社はクラウドを活用した情報システム基盤のアップデートを牽引してきた。

当初はオンプレミスのアーキテクチャをそのままパブリッククラウドのIaaSに移行するリフト＆シフトが中心だったが、同社のクラウド戦略は年々進化している。2022年には全社でクラウドネイティブ化の方針を打ち出し、クラウド活用を前提とした情報システムのアーキテクチャデザインや、それに沿った環境整備を進めてきた。

クラウドネイティブ化の推進にあたっては、セキュリティのアップデートも重要なテーマになった。ＳＯＭＰＯシステムズ株式会社 アーキテクト本部 本部長 三ツ木雄一氏は「顧客接点に関わるオンラインサービスでも当然クラウドを活用していますので、セキュリティは非常に重要なポイントです。クラウドネイティブ化を見据えて、セキュリティのアセスメントを行い、その結果を基に改善を進めていくことにしました」と振り返る。

アセスメントの結果、成果と課題の両面が明らかになった。ＳＯＭＰＯグループの中核事業会社である損害保険ジャパン株式会社（損保ジャパン）のクラウドセキュリティを担当するＳＯＭＰＯシステムズ株式会社 アーキテクト本部 クラウドアーキテクチャグループ グループ統括部長 昌山智氏は次のように説明する。

「クラウドの設定の脆弱性を検知するCSPM（Cloud Security Posture Management）やクラウド環境内のワークロードを保護するCWPP（Cloud Workload Protection Platform）は、金融機関に求められる水準で対策できていましたが、クラウドネイティブ化を進めていくことを考えると、先んじて対策を講じる必要があるという結論になりました」（昌山氏）

具体的には、従来のCWPPではコンテナやサーバーレス環境のワークロード保護やマルチクラウド環境の統合的なセキュリティ監視といった点で機能が不十分だったという。さらに三ツ木氏は、損害保険を扱う損保ジャパンならではの事情も考慮する必要があったと説明する。

「損害保険は商品が違えば掛け金や支払いの条件なども異なり、共通化できない部分が多いので、サービスの種別ごとに個別のシステムが必要になります。契約スパンが長期にわたる商品も多く、時代の変化に合わせて新たな保険商品も出てきます。結果としてシステムの数も増え続けることになるので、セキュリティに関してはスイート製品を採用しないと運用業務の負荷が過大になってしまう懸念がありました」（三ツ木氏）

具体的な製品選定を進めるにあたって、機能面では28項目の選定要件を抽出したという。ＳＯＭＰＯシステムズ株式会社 アーキテクト本部 クラウドアーキテクチャグループ 主任システムエンジニア 辰己茂章氏は「マルチクラウド環境を統合的に可視化できること、コンテナのレジストリをスキャンできること、サーバーレスアプリケーションのコードのチェックができること、などの要件を出して、製品ごとにそれを満たす機能があるかどうかをチェックしていきました」と説明する。

金融系のシステムならではの多面的かつ厳しい要求をクリアできるかも重要なポイントだったという。

「何かあった時に電話やメールのレスポンスにどれくらい時間がかかるのかなど、サポート体制の充実度も大きなポイントでした。また、金融特有の事情として、日本のデータセンターでホストされているサービスであることは必須です。FISC安全対策基準などのガイドラインで求められるセキュリティ水準は頻繁に変わりますので、そうした基準の更新が製品のアップデートに自動で反映されていくかどうかも重視しました」（辰己氏）

ＳＯＭＰＯシステムズは外部の調査機関の支援を受けてセキュリティ市場における各ベンダーのポジションやソリューションの将来性を調査し、さらに候補製品のユーザーにヒアリングをしながら、綿密に情報収集を進めた。そうして得た情報を基に複数製品を比較検討し、統合的なクラウドネイティブ・アプリケーション保護プラットフォーム（CNAPP）である「Cortex Cloud」を採用した。

昌山氏は「CSPMをカバーしている製品は多かった一方でCWPPを強みにしている製品は数が限られていました」と話すが、Cortex Cloudは両領域で同社が求める要件を満たしていたという。

また、多機能性や将来的な機能拡張への期待も、Cortex Cloudを採用した大きな要因だった。

「マルチクラウドを横断的に可視化するCSPM、CWPPに加えて、クラウドインフラの権限管理ソリューションであるCIEM（Cloud Infrastructure Entitlement Management）やデータセキュリティなど、Cortex Cloudは非常に多くの機能を網羅しています。今後着手する予定のセキュリティ施策に対応できる点も大きな魅力でした」（辰己氏）

製品選定後は、2023年10月から12月までの3カ月でPoCを実施した上で、クラウド上の基盤構築や各種テストを進めた。Cortex Cloudの適用対象となるシステム数は約300で、2024年中に約10システムに先行導入し、2025年1月から2月にかけて残りのシステムに展開した。

対象システム数が多いことから、導入プロセスではできるだけ自動化の範囲を広げることを意識したという。辰己氏は「金融系の要求水準に照らすと、手動で導入する場合は2人体制で1人が指差し確認しながらもう1人が作業するようなイメージになるので、2カ月で導入を終えるのは難しい。IaCやクラウドの組織管理機能を使い、主要部分の作業工数は、手動での作業と比べて10分の1以下まで圧縮できました」と振り返る。

ＳＯＭＰＯシステムがCortex Cloudを導入した約300のシステムは、社内の業務システムから代理店向けのシステム、顧客向けオンラインサービスのシステムまで多岐にわたる。社員向けのシステムのユーザー数は数万人、代理店向けは数十万人、顧客接点となるオンラインサービスに至っては数千万人規模のアクセスを想定しているなど、大規模なシステムが少なくないが、Cortex Cloudはこうしたシステム群の安定稼働に貢献している。

従来検知できていなかった脆弱性やリスクの可視化

Cortex　Cloudの導入により、セキュリティの水準が高まった。特にCWPP領域の検知機能が強化され、これまで検知できていなかった脆弱性が可視化されている。開発環境で削除し忘れた検証用のモジュールなどの脆弱性も検知しており、潜在的なリスクまで排除できている。 また、Cortex Cloudに実装されている「AttackPathポリシー」により、複数のアラートを紐づけて具体的なリスクを可視化することも可能になった。

クリティカルなリスクの早期把握と対応の高度化

従来の環境では、個別のクラウドごとにログやアラートをチェックして、リスクの大きさや対応の緊急性を判断していた。Cortex Cloudはマルチクラウドで統合的にリスクを可視化し、会社のポリシーに基づいて判定した脅威度情報を付加してアラートを上げる仕組みになっており、クリティカルなリスクをいち早く把握して対応方針を決められるようになった。

運用業務の生産性向上

マルチクラウドで複数のアカウントを同時に一つのコンソールで監視できるようになったことで、運用業務の生産性が大幅に向上した。従来、特定の脆弱性がどのシステムに影響するリスクがあるのかを把握するためには、関係部署に個別に問い合わせしたり、一つ一つのアカウントがどんなサービスをどんな構成で使っているかチェックしたりする必要があったが、こうした手間が不要になった。導入効果の厳密な定量化はこれからだが、業務担当者の体感としては作業時間を３分の１以下に削減できている。

セキュリティのさらなるアップデートに向けた今後の重点施策としては、データセキュリティの強化、シフトレフトの推進、運用の自動化・高度化を進める。

データセキュリティの強化について辰己氏は、「DSPM（Data Security Posture Management）の活用などで重要情報の管理を更に高度化していきたいと考えています」と話す。また、システム開発の初期段階でセキュリティ対策を組み込むシフトレフトを推進することで、よりセキュアでスムーズなシステム開発体制を構築したい考えだ。さらに、セキュリティのログ分析やインシデント対応、設定の修正などを、できる限り人手を介さずに実行することで、運用の一層の効率化を図る。

こうした要件を網羅するセキュリティソリューションについては、ゼロベースで選定を進めるが、セキュリティのプラットフォームを統一するメリットは大きいと見ている。「当社は既存のオンプレミスのシステムにもパロアルトネットワークス製品を導入している実績があります。異なるITインフラ環境を統合的に管理してシステム運用をシンプルにしていくという観点でも、パロアルトネットワークスが幅広い機能の改善・拡充に取り組んでくれることを期待しています」（昌山氏）

さらに、「AIの活用などにより、ユーザーがサイバーセキュリティに多くのリソースを割かずとも、ビジネス開発やそれを支えるシステム開発に専念できる世界が来ることを待望しています。業界をリードしているパロアルトネットワークスには、そうした視点でのソリューション開発にも取り組んでほしいです」と三ツ木氏は話す。

ＳＯＭＰＯシステムズは、統合的なCNAPP製品であるCortex Cloudの導入を足掛かりとして、クラウドネイティブなセキュリティ対策に継続的に取り組んでいく方針だ。金融業界を取り巻く事業環境が急速に変化する中、ＳＯＭＰＯグループの成長を支えるDX基盤の整備を推進するために、先手を打って幅広い視野で取り組みを進めていく。