全社規模でクラウドシフトを進める中
AWSの設定ミスの予防が新たな課題に

　2008年に開業したライフネット生命保険（以下、ライフネット生命）は、わが国におけるインターネット保険のパイオニア的な存在だ。2021年度は保有契約件数が15%以上増加、2022年8月には同件数が53万件を突破するなど、オンライン生保市場の拡大を力強く牽引するリーディングカンパニーとして、さらなる飛躍を目指している。

　オンライン生保において、ビジネスの生命線を握るのは情報システムやネットワークであり、同社でIT関連の企画・構築や運用を担うシステム戦略本部の責任は大きい。そこで同本部では、より使いやすく効果的で、安全・安心な情報システムの実現に取り組んでいるが、いま最も注力しているのがクラウドシフトである。

　2016年、同社は直販サイトの運用に初めてAWSを導入したが、その後も徐々にクラウド化を進め、現在では多くのフロントエンドシステムをAWS上で運用している。さらには、基幹システムであるバックエンドシステムについてもAWSへの移行を進めつつあり、ユーザー部門においてもAWSを活用したEUC（End User Computing）に取り組んでいる。

　このように全社的なクラウドシフトを進めている同社だが、そこに課題がないわけではない。例えば、顧客情報を扱うバックエンドシステムのクラウド化に際し、顧客の安心を預かる保険会社として、より高いレベルのセキュリティを実現していく必要がある。そこで同社は、クラウド基盤の構築・運用の在り方を確認し直すことを決め、2019年、そのパートナーにSCSKを指名した。

　そうした中、AWSの設定ミスをどのように予防するかということが新たな課題として浮上した。同社における情報セキュリティの責任者であるシステム戦略本部 システム企画部 ガバナンスグループ グループリーダー 竹山真人氏は「クラウドにはビジネスからの要求をスピーディに実現できるメリットがありますが、一方で手軽に設定できてしまうため、ちょっとしたオペレーションミスから脆弱性が生まれ、インシデントへ発展してしまうリスクもあります。こうしたリスクをいかにして予防するのか議論になったのです」と語る。

Smart One Cloud Securityの導入により
最低限の負担で安心のクラウド運用が可能に

　そんな中、ライフネット生命はSCSKより新たな提案を受けた。 CSPM（Cloud Security Posture Management）機能をマネージドサービスで提供する「Smart One Cloud Security」を紹介されたのである。

　CSPM機能とは、パブリッククラウドにおける構成／設定ミスや、各種ガイドラインへの違反を監視する仕組みであり、クラウド環境におけるセキュリティの一元管理を可能とする。しかも、Smart One Cloud Securityはマネージドサービスとして提供されるため、管理者の負担も少ない。システム基盤の責任者であるシステム戦略本部 システム運用部長の山内智之氏は「最初に提案を受けたときは、当社のクラウド環境を考えると機能面やコスト面で過分なサービスのようにも思えました。しかし、今後のクラウドシフト、中でもバックエンドシステムのAWS移行という大きな目標を考えると、さらにセキュリティレベルの向上が必要になると考え直しました。SCSKは、AWSの構築・運用の支援を通じ、当社のクラウドの運用体制やセキュリティ方針を熟知しており、抱えている悩みなども深く理解しています。こうした点も評価し、Smart One Cloud Securityの採用を決めたのです」と当時を振り返る。

　同社は2022年3月に導入作業を実施。現在はアラートの精度を高めるため、継続的にチューニングを行っているが、既にさまざまな効果が見え始めているという。

「セキュリティインシデントの発生をゼロに抑えることが私たちの理想ですが、今回の導入により、その第一歩を踏み出せたと考えています。リアルタイムで上がってくるアラートに加えて、SCSKから月次報告なども提供されるため、経営層に対してセキュリティ対策やアラームの発生状況を可視化した上で報告が今後可能になります。これは私たちの取り組みを理解してもらう意味でも大きいです」（山内氏）

　また、一般にCSPMソリューションを導入すると、管理者へ頻繁にアラートが届くことになり、そのたびにリスクの度合いを判断し対処する必要があるため、担当者の負担は大きく増す。この点、Smart One Cloud Securityはアラートの詳しい内容や対処方法がアラート通知と合わせて提供され、不要な監視や通知の設定変更は依頼を出すだけで対応してもらえる。しかも、問い合わせでアラート内容やどう対処すべきかの判断ポイントのフォローを得ることが可能なため、管理者の負担を抑えて安心してクラウドを運用することが可能になった。

「従来の脆弱性診断にひっかからないようなEUCの設定ミスも、インシデントが発生する前に検知が可能となったため、ユーザー部門が管理するシステムも含めて会社全体でセキュリティの統制を効かせることができるようになったと感じています」（竹山氏）

将来のマルチクラウド化も視野に
Smart One Cloud Securityなら統合的な管理が可能

　現在、システム戦略本部はユーザー部門と月1回、EUCについて情報交換の場を設けるなど、部門横断でセキュリティ状態を把握することも視野に入れている。

「EUCの管理は各部門に任されています。各部門が責任を持って色んなツールを自由に使える反面、会社全体のセキュリティの観点で考えるとリスクが少なからずあると考えています。システム戦略本部で保守・運用していかなければならないシステムの管理や、各部門が持っているシステムのリスク度合いや活用度合いの変化など部門横断で管理をしていきたいと考えています。今後はこの場を利用して、Smart One Cloud Securityから上がってきたレポートを共有。社全体のセキュリティのベースラインを上げていきたいと考えています」（山内氏）

　また、ライフネット生命では今後もAWSを標準のパブリッククラウドとして活用していく方針だが、他サービスとの連携など、ほかのパブリッククラウドを使いたいという声もあることから、マルチクラウドの運用も視野に入れているという。

「Smart One Cloud SecurityはAWSのみならず、Microsoft AzureやGoogle Cloud Platformなど、主要なパブリッククラウドに対応していますので、仮にマルチクラウド化を進めることになったとしても、統合的に管理できると考えています」（山内氏）