株式会社NTTデータ
Trend Cloud One™によってAWS上で稼働する
サービス基盤のセキュリティ運用を最小限の
リソースとコストで実現
AWS上で稼働するクレジットカード会社向けのサービスをセキュアに保つために、サイバー攻撃や設定不備によるセキュリティインシデントのリスクに対処する必要があった。
従量課金でTrend Micro Cloud One - Workload Security/Conformity/File Storage Securityを活用することで、最小限のコストで効率の良いセキュリティ運用を実現した。
NTTデータは2022年12月14日、「ABLER(エーブラー)Digital Services」(以下、ABLER)と呼ばれるSaaS型データ活用ソリューションの提供を開始した。これはAIによる自然言語解析やオントロジーなどの技術を使って、自然文やSNS、音声といった非構造化データから新たな知見を見いだし、顧客のビジネスを支援するというもの。
中でもクレジットカード会社の「加盟店審査」の業務を支援するサービスは、その精度や品質の高さから注目を集めている。このサービスについて、NTTデータ 第一金融事業本部 金融グローバルITサービス事業部 ABLER推進担当 課長 蜂須賀 敦氏は次のように語る。
「クレジットカード会社では、加盟を希望する企業や店舗の経営状況や評判に関する情報を収集・評価して加盟店とするかの審査を行います。従来は人が一連の作業を行っていましたが、ABLERを利用すれば作業にかかる手間や時間を軽減し、評価の属人化を防ぐことができます」
顧客向けのサービス基盤、さらに様々なデータを扱うという特性上、セキュリティは必須要件だった。
ABLERはアマゾン ウェブ サービス(以下、AWS)上で稼働している。
少数精鋭でサービス基盤を運用しているため、運用効率を考えてAWSの各種マネージドサービスを積極的に活用している。
しかし、マネージドサービスだけでシステムすべてをカバーすることは難しい。Amazon Elastic Compute Cloud(以下、Amazon EC2)やAmazon Simple Storage Service(以下、Amazon S3)のセキュリティやAWS環境の設定不備対策は自分たちで対策を検討・対処する必要があった。
これらの課題解決のために同社が導入したのが、トレンドマイクロのクラウド環境向けセキュリティソリューション群「Trend Cloud One(以下、Cloud One)」だった。
Cloud Oneでは5つのソリューションを提供しているが、同社は「Trend Micro Cloud One – Workload Security」、「Trend Micro Cloud One – Conformity(以下、Conformity)」、「Trend Micro Cloud One – File Storage Security(以下、File Storage Security)」を採用した。
Workload SecurityはAmazon EC2に対してマルウェアや脆弱性対策など複数のセキュリティ機能を提供する製品だ。特に仮想パッチという機能を活用することでAWS WAFだけではカバーできない部分も含めて脆弱性対策を実装できる。
ConformityはAWSやAzureなどクラウド環境の設定不備を検出・可視化するためのCSPM製品だ。
File Storage SecurityはAmazon S3にアップロードされるファイルをスキャンし、マルウェアの有無をチェックする製品だ。AWS Lambdaなどを利用してカスタマイズすることで、リスクのあるファイルを隔離するなどの措置もとれる。
Cloud Oneの選定理由について、蜂須賀氏は次のように語る。
「Amazon EC2のマルウェアや脆弱性への対策とAmazon S3のマルウェアスキャンを検討するうえで、運用負荷を最小限に抑えつつ、実績のある製品でセキュリティを強化したいという要件を満たすのは、Workload Security とFile Storage Security以外にありませんでした。設定不備対策は複数のAWSサービスを組み合わせることでも実現できますが、導入や運用に工数がかかるのがネックでした。
ABLER基盤は少数精鋭で運用しているため、シンプルで分かりやすい仕組みが必要です。Conformityは単一製品で設定不備対策を実現でき、さらにダッシュボードやレポートによって設定不備を簡単に確認できます。Cloud Oneの各ソリューションを活用することで、運用負荷を最小限に抑えつつ、セキュリティを実装できると考えました」
さらにAWS Marketplaceを経由して従量課金でCloud Oneを利用できる点も選定理由の1つだった。加盟店審査サービスの提供初期において、将来的なサービスのスケールを気にせず、セキュリティ費用をサービスの稼働分だけに抑えられる点は大きなメリットだった。
セキュリティ運用にかかる工数を最小限にしたいという同社の希望通り、各ソリューションの導入はスムーズに進んだ。いずれのソリューションもSaaS型のため管理サーバを構築する必要はない。Workload Securityは保護対象にAgentを導入する必要があるものの、インストールスクリプトを利用することで簡単に対応できた。ConformityもAWSとCloud Oneのアカウントを紐付けるだけで、AWS環境の状態を可視化することができ、最小限の工数で運用を開始できた。
Cloud One製品の活用イメージ
まずWorkload SecurityによりAmazon EC2とその上で稼働するAmazon Elastic Container Service(Amazon ECS)のコンテナアプリケーションがしっかり守られているという安心感を得ることができた。さらにConformityでAWSの構成・設定状況を監視することで設定不備に起因するインシデントも確実に防げていると蜂須賀氏はその導入効果を高く評価する。
「Conformityのコンソールやレポートは毎日チェックしていますが、可視性に優れていて現場からも高く評価されています。アラートが検出された場合に詳しい内容や対処方法をワンクリックで提示してくれるのも、大変ありがたい機能です」
なお、取材時点ではFile Storage Securityは検証段階だったが「トレンドマイクロ主催のFile Storage Securityのハンズオンセミナーに参加しており、シンプルでわかりやすい点を評価しています。検証環境への導入時も、配布された資料を確認しながら構築用のテンプレートも活用することで、数ステップで作業が完了しました」と蜂須賀氏は語る。
同社ではABLER上に加盟店審査以外のサービスも順次提供していく予定だ。その際もCloud Oneであればサービス規模に応じて運用工数を抑えたまま柔軟にセキュリティを実装でき、従量課金によってセキュリティ費用も必要最小限にできる。こうしたメリットにより、引き続きCloud Oneを有効活用していきたいと蜂須賀氏は抱負を述べる。
「今後提供するサービスによってはPCI DSS準拠が求められる可能性もありますが、ConformityならPCI DSSのベンチマークルールを適用するだけで簡単に対応状況を確認できます。また万が一のインシデント発生時に備えてインシデントレスポンスの体制も強化していく予定ですが、この点についてもトレンドマイクロのXDRを導入することでうまく自動化・効率化できるのではないかと考えています」
"Cloud Oneはセキュリティ製品の管理サーバを自社で導入・管理する必要がなく、Cloud Oneのコンソール上でAWS環境のセキュリティを管理できるため、少人数でも効率的に運用できます"
蜂須賀 敦 氏
株式会社NTTデータ 第一金融事業本部
金融グローバルITサービス事業部ABLER推進担当 課長
業種
IT
従業員
地域
東京都、日本
※製品・サービスの導入効果は、ご利用企業・組織の方の声に基づくものであり、お客さまご利用状況により効果は異なります。
※記載内容は2023年8月現在のものです。内容は予告なく変更される場合があります。
Get started with Trend today