キオクシア、マルチクラウドの常時監視体制を整備

　キオクシアは、マルチクラウド環境の継続的な設定監査とガバナンス強化を目的に、クラウドセキュリティ態勢管理（CSPM）ツール「Cloudbase」を採用した。6月1日、同プラットフォームを提供するCloudbaseが発表した。2024年9月から本格運用を開始しており、少人数で常時監視を継続できる体制を構築している。監視結果にもとづく定量・定性データを示すことで、経営層や社内に対してクラウド環境の安全性を客観的に説明しやすくする狙いがある。

　キオクシアは2017年4月に東芝のメモリ事業を分社化して設立されたフラッシュメモリ・SSDの製造大手である。分社化に伴い、AWSやAzureなどのクラウド基盤を既存環境から切り離し、自社で運用する体制へ移行する必要が生じた。開発時のセキュリティ設計は進めていたものの、本番稼働後の設定や運用状態を継続的かつ客観的に評価する仕組みがなく、ルールやガイドラインの順守状況を把握し続けられるかどうかが課題となっていた。また、市場全体でクラウドの設定ミスに起因する情報セキュリティ事故が増加していたことも、クラウド環境を常時監視する必要性を意識するきっかけになった。  

　ツールの選定にあたっては、複数の製品を比較検討した。そのなかで、管理画面から検出内容、対処方法に至るまでを日本語で確認できる点を評価した。検出内容は日本語だが解決策は英語で表示される製品もあるなか、Cloudbaseでは一連の情報を日本語で参照でき、翻訳作業の負担が少ない点が実運用上の決め手となった。また、複数のクラウドサービスを横断して一元的に管理できるマルチクラウド対応は、自社がAWSやAzureなど複数の環境を利用している状況に適合していた。

　運用プロセスの面では、ツール導入を機にセキュリティ部門とIT推進部門の役割分担と連携方法を明確化した。従来は両部門間での情報共有が属人的になりがちだったが、同じダッシュボードやレポートを共有することで、セキュリティ部門がリスクの優先度や対応方針を判断し、IT推進部門が具体的な設定変更や是正対応を行う流れを整理した。さらに、専用線や閉域網を多用する自社のネットワーク構成に合わせて監査ポリシーを精査し、実態として問題とは言えない検知をノイズとして減らすことで、対応が必要なアラートに集中できるようにしている。

　導入から約1年が経過した段階では、集中的な是正対応の結果として、検知されるリスクの件数は当初から減少している。継続的な監査結果を指標として示せるようになったことで、「常時監視が行われていること」を経営層に対して定量的に説明しやすくなった。また、これまで特定の担当者の経験や暗黙知に依存していた部分についても、ツールから提示される具体的な指摘内容や推奨設定をもとに作業手順を標準化できるようになり、担当者の交代時にも引き継ぎが容易になった。

　今後は、検出した設定不備やリスクに対して、より自動的に対処する仕組みの導入に関心を高めている。現在は主にIaaS（基盤系クラウドサービス）の設定監査を中心としているが、SaaS（アプリケーション系クラウドサービス）も含めて監視対象を広げていく計画である。

　キオクシア サイバーセキュリティセンター グループ長の戸川慎也氏は、オンプレミス環境を前提としたシステム運用が長く続いてきた同社において、クラウド利用が拡大した際に経営層から安全性に関する問いが多く寄せられたと振り返る。Cloudbaseの導入後は、自部門の説明だけでなく、ツールによる評価結果を示すことで常時監視の状況を客観的に説明できるようになったという。特権アカウントの設定不備なども具体的な指摘として挙がるため、対応すべきリスクを明確にしやすくなり、「どこから手を付けるべきか」が分かりやすくなったと述べている。

ニュースリリース