ミニストップ、クラウド上のリスク500件超を解消　運用スキーム維持しセキュリティ強化

　ミニストップは、クラウドセキュリティ基盤「Cloudbase」を採用した。3月30日、Cloudbaseが発表した。DX推進に伴うクラウド活用の拡大で増大したセキュリティリスクを可視化し、既存の運用スキームやベンダー連携を維持したまま効率的な是正体制を構築した。導入から1年足らずで500件以上のリスクを解消しており、今後は運用の高度化と開発プロセスのさらなる改善を進める。

　イオングループの一員としてコンビニエンスストアを展開するミニストップは、サービスの利便性向上を目的にAWSを中心としたクラウド活用を積極的に進めてきた。しかし、守るべき領域が急速に広がったことで、設定ミスや権限管理の不備といったクラウド特有の課題が顕在化していた。

　対応を担うデジタル推進本部は少人数体制であり、各メンバーが複数のプロジェクトを兼務している。専門部署を持たない中で、高度化する攻撃手法への追従や、システムリリース直前のリスク発覚による手戻りが大きな負担となっていた。限られた人員でセキュリティ品質を担保するため、リスクの可視化から優先度判断、対策実行までを実務レベルで支援できる仕組みが求められていた。

　製品の選定にあたり、検出精度や網羅性に加え、日常の運用で使い切れる直感的な操作性を重視した。また、単なるツールの提供にとどまらず、リスク対応を前に進めるための具体的なアクションを提案する伴走支援体制を高く評価し、Cloudbaseの採用を決めた。

　運用では、Cloudbaseで検出されたリスクを社内の各システム担当者に割り当て、そこから開発ベンダーへ修正を依頼するフローを構築した。管理画面をベンダーとも共有し、修正方法のドキュメントを直接参照できるようにしたことで、指示の具体化と対応の迅速化を図っている。

　導入の効果として、運用開始時に確認された500件から600件にのぼる即時対応リスクを、1年足らずでほぼ解消した。Cloudbaseを通じてリスクの発生要因や修正ノウハウが蓄積されたことで、新規開発時における同様のミスが減少。設計段階での対策が定着したことで手戻りがなくなり、納期を重視したスムーズな開発プロセスと、中長期的なコスト削減につながっている。

　ミニストップデジタル推進本部本部長付の齊藤貴久氏は、「各ベンダーへ具体的に指示できるようになったのは大きな変化だ。過去の指摘が現場で理解され、再発防止の仕組みがチームとベンダーの双方に根づき始めている」と述べている。また、同本部ビジネスDX推進部の星山大地氏は、「脆弱性の対象環境や優先度が明確な状態で話を進められるため、対応のスタートラインが前進した。今後もセキュリティの打ち手を増やしていきたい」としている。

　今後は、社内でのセキュリティ教育を強化するとともに、ユーザーコミュニティを通じた他社との知見共有にも取り組む考えだ。クラウド環境の進化に対応し続けるため、運用の高度化を継続していく。

ニュースリリース