1ヶ月100円弱、docomo社内ニーズから生まれた自動アセスメントツール「スキャンモンスター」【株式会社NTTドコモ】|サイバーセキュリティ.com

1ヶ月100円弱、docomo社内ニーズから生まれた自動アセスメントツール「スキャンモンスター」【株式会社NTTドコモ】



近代ビジネスにおけるインフラの大きな変化として挙げられるのが「クラウド」ではないでしょうか。特定の保管場所にあるサーバーではなく、インターネットなどを通してクラウド上のコンピューターから提供されるサービスを利用します。これにより、サーバーやソフトウェアを購入する必要はなくなり、システム構築の時間も大幅に短縮されました。

近年、クラウド型の各サービスを活用している企業は増えています。一方、ハードウェア以下が目に見えないクラウドは、サイバーセキュリティに関するリスクも。クラウド上に保存した個人情報や機密情報が、サイバー攻撃によって漏洩してしまう可能性もあります。安全なクラウド環境の構築は、クラウドサービスを利用する企業にとって大きな課題でしょう。

株式会社NTTドコモ(東京都千代田区)は2018年、セキュリティポリシーの準拠性確認や、セキュリティリスク早期発見のためのクラウド自動アセスメントツール「スキャンモンスター」を開発しました。今回は同社の守屋氏、中村氏、住谷氏の3者に、日本企業におけるクラウドサービスの現状やセキュリティ面における注意点から「スキャンモンスター」の強み、役割などを伺いました。

ビジネススピードが魅力のクラウド

サイバーセキュリティ.com
今現在、日本企業のクラウドサービス利用状況はどのようになっていますか?

株式会社NTTドコモ/住谷氏

住谷氏
私たちのように通信事業を展開する企業のほか、保険業や金融業、システムインテグレーター、その他業界問わず幅広い業種に利用されています。基幹系システムというより、新規サービスを始めるにあたって導入される企業が多い傾向にあります。

守屋氏
Amazonが提供する Amazon Web Services(AWS)、 MicrosoftのAzure(アジュール)、Googleが手掛ける Google Cloud Platformといった、いわゆるパブリッククラウドを利用しています。やはりオンプレミスからクラウドに移行するユーザーが増えていますね。

サイバーセキュリティ.com
移行する理由としては、どのようなものがありますか?

中村氏
「他社が使っている」、「リソースを確保したい」、「ユーザーの負担を軽減したい」などの声を聞きますが、一番の理由は「短期間でスタート可能なスピード感」だと思います。

住谷氏
クラウドは必要な時に必要な機能だけを利用することができます。物理サーバーは不要で、サービス開始の初動が早い。ユーザーが管理する設備内に情報システムを設置するオンプレミスだと、サーバーの調達だけで半年ほどかかってしまうケースもあります。つまり、スピード感を持って新規サービスをリリースするのに、クラウドは適しています。

専門部署でも見落としてしまう

サイバーセキュリティ.com
クラウドを利用する上で注意すべきことは何でしょう?

株式会社NTTドコモ/守屋氏

守屋氏
オンプレミスとの違いなど、クラウドの特性をしっかり理解すること。クラウドは中身が見えないものです。その特性を十分に理解していないと、セキュリティの観点からトラブルになりやすいというデメリットがあります。例えば「機能を知らなかった」、「設定を変えた後、戻すのを忘れた」という事例が多々あります。これは、軽微なものから重大なものまで様々なインシデントの要因になります。多くはユーザー側の人的要因なのです。

サイバーセキュリティ.com
情報システム部門などの専門部署があれば安心でしょうか?

住谷氏
いえ。クラウドを利用することによりビジネススピードの速度が増すと、プロジェクトが増えて行きます。すると、集中的に管理をする専門部署の負荷が上がるでしょう。したがって、細かいところまで目が行き届かなくなってしまうというケースがあるのです。

中村氏
弊社の場合は、セキュリティを専門的に扱う組織として「情報セキュリティ部」がバックオフィス部門に設置されており、事業部ごとに構築したシステムを統一的な基準でチェックすることで統制を行っています。しかし、実際の運用までチェックすることは非常に難しく、課題となっています。

docomo社内で蓄積されたノウハウ

サイバーセキュリティ.com
スキャンモンスターは御社のノウハウを活かして開発されたそうですね。

守屋氏
はい、そうです。弊社はもともとAWSを利用していました。AWSを適切に使いこなすために、知っておくべきことやセキュリティ対策のリファレンス,社内の各プロジェクトから集めたノウハウなど元にガイドラインやテンプレートを作成。このノウハウを活かして「ドコモ・クラウドパッケージ」を開発しました。スキャンモンスターはこのノウハウから可用性、ログ、暗号化、ネットワークアクセス、アクセス管理、リソース管理などの約60のアセスメント項目を洗い出し、それらをWeb画面からアセスメントできるように開発したシステムです。

属人化させないチュートリアル機能

サイバーセキュリティ.com
なるほど。ではスキャンモンスターの特徴をお教えください。

株式会社NTTドコモ/中村氏

住谷氏
まず、使い始めが簡単ということですね。CloudFormationのテンプレートを提供しているので、セットアップがスムーズです。ワンクリックでアセスメントが可能。マニュアルを読んでいただき、クリックするだけなので、ユーザーがセットアップに必要な作業時間は10分程度です。また、複数のアカウントを所持していても同時にアセスメントが可能なので、切り替える手間が省けるというのも利点です。

中村氏
大事なのは、アセスメントされたリスクに対してどのようなアクションを起こすか。リスクの中には解決しなくても良いものや、ビジネス上許容しなくてはならないものもあるでしょう。スキャンモンスターは、誰でも次のアクションを起こせるようなチュートリアルを用意しています。

守屋氏
チュートリアルは社内でテストを繰り返して、誰もが理解できるような内容にしています。セキュリティリスクなどを見える化し、NGの理由や条件が提示されます。また、許容できるレベルかどうかなども確認することが可能。アセスメント項目ごとに用意されたチュートリアルに従って対応していきます。

ソフトウェアライセンスでセキュリティ対策

サイバーセキュリティ.com
スキャンモンスターの提供方法は?

住谷氏
SaaS型ではなく、ソフトウェアライセンスとして提供しています。これはセキュリティに配慮した提供方法です。

守屋氏
アセスメント結果の情報は企業が守るべきセキュリティ情報 であり、セキュリティリスクにもなるため、外部に情報を出したくない企業もあるでしょう。SaaS型であれば情報を提供しなければなりませんが、スキャンモンスターは顧客が管理するAWS環境上にシステムを構築するので弊社側に情報が渡ることはありません。CloudFormationのテンプレートを配布し、顧客が自身でシステム構築をする仕組みです。

月100円弱が実現した理由

サイバーセキュリティ.com
コストはいかがでしょうか?

住谷氏
サーバーレスであること、アセスメントボタンを押した時のみリソースを消費することがスキャンモンスターの特徴。稼働時間のみ課金されるので、弊社の実績では1ヶ月あたり100円弱という低コストを実現しています。また、販売価格は初年度が19万円(税別)、2年目以降が年間10万円となっています。

サイバーセキュリティ.com
非常に低価格に感じます。

中村氏
そうですね。スキャンモンスターはもともと社内の問題解決やニーズのために内製で開発したプロダクトです。初期開発費用を抑えられたため、低価格での提供が可能となりました。

スキャンモンスターの資料無料ダウンロードはこちら
https://nttdocomo.cloud/document.html

セキュリティのベストプラクティス追求

サイバーセキュリティ.com
スキャンモンスターを導入して、御社の中で効果は見られますか?

守屋氏
社内全体にセキュリティ意識の向上が見られています。また、社内セキュリティチェックリスト上では対策していたつもりでも、実環境では未対策となっていたセキュリティリスクを検知し対処したという事例も多くあります。

住谷氏
以前はドキュメントベースのチェックで、それが実質的にできているかが不明瞭でした。しかし、スキャンモンスターによって抽象度が高かったアセスメント項目を確実にチェックできるようになっています。

サイバーセキュリティ.com
最後に今後の展開を教えてください。

守屋氏
まずはスキャンモンスターの導入企業を増やすこと。ドコモ・クラウドパッケージは約300社にご利用いただいているので、同数の企業に提供したいと考えています。クラウドは日々アップデートされるため,セキュリティ対策もそれに合わせて継続的にアップデートをしていかなければいけません。社内や利用顧客と議論を交わし、セキュリティのベストプラクティスを追求していければ。

住谷氏
今後は労働人口が減少し、エンジニアも減っていくでしょう。一層、技術の進化をキャッチアップしなければなりません。機械ができる自動化を可能な範囲で行い、人間は得意な分野に注力すべき。新しい脅威に対抗するために、人間がやれることを増やさなければなりません。

中村氏
そうですね。現実的にリスクを0にすることが難しいからこそ、自動化による可視化などは非常に有効。クラウドに詳しくなくても「自分たちで判断できる」という仕組み作りが今後、重要になってくると思います。

サイバーセキュリティ.com
ありがとうございました。

スキャンモンスターの資料無料ダウンロードはこちら
https://nttdocomo.cloud/document.html

ドコモ、スキャンモンスターはトライアル版を提供中。
本サービスと同じ機能が無料でご利用いただけます。30日間の期間限定。
https://nttdocomo.cloud/scanmonster.html


SNSでもご購読できます。