クラウドを利活用してプロダクトを提供する企業にとっては、セキュリティ運用のあり方はビジネスの成否に直結する課題となる。クラウド型入退室管理システム「Akerun(アケルン)」で知られる株式会社Photosynth(フォトシンス)も、こうしたセキュリティ運用の課題に直面した企業の一つだ。同社が採用したのは、24時間365日、AWSの各種セキュリティサービスを包括的に管理、運⽤するセキュリティサービス「CloudFastener(クラウドファスナー)」だった。
-
株式会社Photosynth CISO 小嶋 聡史氏
スマートロック市場のリーダーが直面したセキュリティ課題
2014年に創業したPhotosynth(フォトシンス)は、導入社数7000社以上を誇るクラウド型入退室管理システム「Akerun(アケルン)」をはじめ、IoTとクラウド技術を活用したスマートロック市場を築いたパイオニアだ。 Akerunの特徴は、工事不要で既存ドアに後付け設置できることに加え、利用ユーザーが増えても追加費用がかからない料金体系にある。さらに、公開APIでさまざまなクラウドサービスと容易に連携できることも大きな特徴だ。現在、勤怠管理や会員管理、受付システムなど20社以上のサービスと連携でき、業務のDXや無人化・省力化、人手不足解消などに役立てることができる。2024年7月からは、施設運営の業務プロセスアウトソーシング(BPaaS)事業である「Migakun(ミガクン)」を本格開始するなど新規事業への取り組みにも力を入れている。
そんなPhotosynthがビジネスを推進するうえで直面した課題が、サイバーセキュリティだった。
「お客様の大切なカギを預かるサービスとして、品質管理とセキュリティ強化は最重要の課題です。しかしながら事業の拡張や新規事業の展開にあたり、バックエンドで利用しているクラウド環境の管理が複雑化していくのが課題となっていました。サービスの品質管理とセキュリティ管理がこれまでと同じように担保できなくなる懸念が出てきたのです。当社にとってこれは事業運営に直接的にかかわる、重大なリスクでした」(小嶋氏)
同社のCISO 小嶋 聡史氏は、数々のインターネットサービス企業でセキュリティサービスやサービス基盤の開発、技術統括をリードしてきた実績を持つ。2020年にPhotosynthにテックリードとして入社後、SRE(Site Reliability Engineering)を中心としたサービス基盤の強化に従事し、2022年からはCISOとしてセキュリティ全般を統括している。
その小嶋氏がセキュリティ課題を解消するために採用したのが、サイバーセキュリティクラウドが提供する「CloudFastener(クラウドファスナー)」だった。
事業拡大で現れたセキュリティ課題、社内だけでの対応が困難に
CloudFastenerは、クラウド環境のさまざまなセキュリティ課題を包括的に解消できるサービスだ。Photosynthではサービス提供のためのクラウド環境としてAWS(Amazon Web Service)を採用している。事業拡張や新規事業の立ち上げが増えるなかで、利用するAWSのリソースやアカウントは急速に増えていったという。
「アカウント数だけでも現在10を超えています。それぞれのアカウントで利用しているリソースの数は1年で倍増していく勢いで、社内のエンジニアだけで対応することは難しい状況でした。当社では2020年頃からサービス品質の継続的改善に向けて、SRE(Site Reliability Engineering)の取り組みに力を入れています。そのなかで、環境の可視化や計測、自動化を進めてきましたが、SREを実践しにくくなるほど複雑化が進んでいたのです」(小嶋氏)
Photosynthが抱えていた課題は大きく4つに整理できると小嶋氏。
1つ目は、「セキュリティイベントやアラートに対応するための工数の増加」だ。Photosynthでは、AWSのセキュリティ管理サービス「AWS Security Hub」やAPI使用状況の確認で用いる「AWS CloudTrail」など、さまざまなセキュリティ関連サービスを利用している。しかし、提供サービス拡大に伴い、イベントやアラート数が増え、その分の対応工数が増加。サービスのリリース速度が低下するような事態も招きつつあった。
2つ目は、「APIをターゲットとしたサイバー攻撃自体の増加」である。Akerunのサービスは、IoT機器と鍵を管理するクラウドサービスのAPI連携によって施解錠を実現している。ただ、近年はAPIを狙った海外からの攻撃急増に加え、攻撃が高度化、巧妙化していおり、社内のナレッジだけで今後対応することが難しくなっていくことが懸念されていた。
3つ目は、「セキュリティ人材の不足」。プロダクトに対するセキュリティ対策は、SREチームが品質管理とセキュリティを一体で行う体制だったものの、そうした人材の採用や育成がますます難しくなっている状況だ。
最後に4つ目は、「最新のセキュリティ脅威へのキャッチアップ」である。サイバー攻撃は日々進化しており、ビジネス環境の変化にあわせて新しい手口や手法も次々と登場している。自社だけで最新の脅威情報を収集し、対応策を検討していくことに限界を感じていたという。
セキュリティに関する「守備範囲の広さ」を評価
「対応工数増」「API攻撃の増加」「人材不足」「最新の脅威への情報収集」、これらの課題を解決したのが株式会社サイバーセキュリティクラウドが提供する「CloudFastener」だ。小嶋氏はCloudFastenerを採用したポイントを、こう解説する。
「品質管理とセキュリティ強化のために、新たな人材を採用したり、既存メンバーを育成したりすることも検討しました。ただ、いずれも時間がかかるうえ、ビジネス環境が大きく変わるなかで自社だけで対応し続けることは現実的ではない。それに対し、CloudFastenerは日々のセキュリティ対応から、最新のセキュリティナレッジの収集、将来的な人材育成までトータルでカバーできます。セキュリティコンサルティングやセキュリティマネージドサービスなど、部分的に役立つサービスは多く提供されていますが、CloudFastenerほど守備範囲の広いサービスはありません。我々がビジネスを展開するうえで抱えていたセキュリティ課題をすべて解消してくれるサービスだったのです」(小嶋氏)
もともとPhotosynthではAWSの利用にあたり、サイバーセキュリティクラウドが提供するWAF自動運用サービス「WafCharm」を利用していた。
「WAFの運用では検知のためのシグネチャをいかに改善していくかが重要です。WafCharmを利用していて頼もしかったのは、単に脅威をブロックするだけでなく、最新の脅威に合わせてシグネチャをどう更新していけばよいか、現在どんな脅威が発生していてどう対処すればいいか、我々の開発環境や運用環境に合わせて丁寧に解説してくれたことです。 このように、WAFのシグネチャ更新というセキュリティに関して難しい流域を担うサイバーセキュリティクラウド社が提供するAWS環境全体セキュリティマネージドサービスであれば信頼できると感じ、 それが導入の決め手となりました」(小嶋氏)
CloudFastenerがカバーする領域は、セキュリティ脅威の特定から、防御、検知、対応、復旧まで、全てのプロセスだ。セキュリティエンジニアが情報資産とリスクの把握を行い、攻撃を防ぐために最適な防御策を提案、実際に攻撃を検知するための対策を実施。サイバー攻撃に対処するための対策の実施や実修正のサポートも担う。
「それまでもNIST CSF(Cyber Security Framework)やCIS Controlsを使って可視化やコントロールは行っていたものの、その運用や体制の継続自体が課題となっていました。その全てをCloudFastenerに任せることができたのは大きかったです」(小嶋氏)
「PSIRTチーム」として基盤運用の一部を担う存在に
さらに、CloudFastenerを採用したことで、サイバーセキュリティクラウドの専任チームによる継続的なサポートを受けることができるようになったという。
「SREチームの定例ミーティングに参加してもらい、その都度、脅威情報の提供やトリアージなどの優先順位付け、具体的なアクション、セキュリティ対策のアドバイス、人材育成のための教育やトレーニングの支援などを受けています。セキュリティイベントやログは24時間365日継続的にモニタリングされ、日々の状況をレポートとして確認することができます。AWSのSecurity Hubの情報よりも見やすいだけでなく、当社として対応すべき項目を示した、わかりやすいレポートです。品質管理とセキュリティの取り組みが、これまでよりはるかに両立しやすくなりましたね」(小嶋氏)
加えて、CISOである小嶋氏から見て、CloudFastenerの最も大きな導入効果は「品質管理とセキュリティを継続的に改善していくための体制を築けた点」だと語る。
「セキュリティで最も難しいのは、体制の構築と継続的な運用です。CloudFastenerはそれを担うだけでなく、プロダクト開発におけるセキュリティ基盤にもなっている。その意味では、当社における『PSIRT(Product Security Incident Response Team)チーム』といえるでしょう。IoTとクラウドを基盤にビジネスを展開する当社のような企業にとって、CloudFastenerはなくてはならない存在であり、サイバーセキュリティクラウドはビジネスを支えてくれる最良のパートナーです」(小嶋氏)
今後、Photosynthはキーレス社会の実現を通じて、少子高齢化や人手不足などのさらなる社会課題の解決へと向け、さまざまなサービスを提供していく方針だ。サイバーセキュリティクラウドは、その良きパートナーとしてPhotosynthの発展を支えていくだろう。
[PR]提供:サイバーセキュリティクラウド
メルカリで相次ぐ不正行為、どう対処しているのか? 不正対策部門の責任者に直撃
