CUSTOMER STORY

「守りのIT」から「攻めのIT」へ。ウェブサイトの集約、内製化、クラウドシフトをセキュリティ機能とコストの最適化で支援

BENEFITS

  • セキュリティに関わるコストの最適化
  • セキュリティ製品の機能重複の解消
  • セキュリティ意識・情報の社内共有の加速
  • 運用管理の内製化など、外部依存の解消

CHALLENGES

  • クラウドシフト、内製化に伴うセキュリティ環境の見直し
  • スペシャリストによるサポートと内製化の両立
  • ベンダーやSystem Integratorによるロックインの排除


1917年の創業以来、乳業メーカーとして100年以上の歴史を持つ森永乳業。2017年に、「かがやく“笑顔”のために」というコーポーレートスローガンを掲げ、牛乳、ヨーグルト、育児用ミルク、流動食など幅広い世代の暮らしに身近な商品を提供し、心とからだの両面から健康をサポートしています。
現在、約80のウェブサイトのクラウド移行を進めている同社のセキュリティ対策を支えているのが、F5が提供するSilverline WAFとSilverlineShape Defenseです。今回は、森永乳業のIT部門でセキュリティ業務全般に携わる清田雅一氏に、導入の経緯を伺いました。

課題(The Need)

森永乳業では、2017年、基幹システムの保守運用、機能改善を中心としたITから、事業強化や営業支援を目的としたITへの変革に着手しました。

「守りのITから攻めのITへ」というキーワードに象徴されるこの取り組みは、ITの内製化とクラウド化を基本としたものでした。清田氏は、「森永乳業グループでは、当時、ブランドや事業部門ごとに社外に向けて公開している80ものウェブサイトを持っていましたが、運用も、稼働するサーバーの管理も、それぞれの事業部門に任されていました。

そうしたサイトを集約してクラウドシフトし、IT部門が直接運用管理することで、企業価値向上と競争力強化を支援しようというのが、改革の基本的な考え方でした」と言います。
システムの内製化を進め、多くのシステム基盤をAWSへと移行する過程で課題となったのがセキュリティでした。

「クラウドシフトによってサーバレスを実現したサイトもあるなかで、ウェブサイトのセキュリティ機能全般について、機能や役割、コストなどのバランスを再検討する必要があったのです」と清田氏。
クラウドシフトによって、AWS が提供するAWS WAF など他のツールを代替利用可能となったサイトもあり、WAFについては、機能と適用サイトを整理したうえで、トラフィック量に応じたコストの最適化が求められました。

解決策(The Transformation)

森永乳業では、コストと求められるセキュリティ機能を最適化し、内製化やクラウドシフトといった取り組みの加速に貢献できる新たなクラウド型WAFの選定をスタートしました。並行して進めている複数のプロジェクトとの兼ね合いもあって短期間で切り替えを完了しなければならず、難易度の高いプロジェクトでした。

「例えば、どうしてもアカウント乗っ取り対策機能を付加したいサイトがあっても、オプションで追加した段階で予算全体を大きく圧迫してしまうようなメニュー構成のサービスは使えませんでしたし、短期間の導入をスムーズに、最小のリスクで実現するためには、しっかりしたサポート体制も重要でした」と清田氏。

そんな要件を満たしたのが、F5が提供するSilverline WAFとSilverline Shape Defenseでした。Silverline WAF は、ウェブサイトを包括的に保護できるクラウドベースのWAFのサービスで、ATO(Account Takeover:アカウント乗っ取り)対策などを実現するSilverline Shape Defenseとの組み合わせで、森永乳業のセキュリティニーズに応えます。「内製化を目指すとはいえ、すべて自分たちだけで運用できるとは考えていません。

きめ細かなサポートを提供できること、海外を拠点とするSOC(SecurityOperation Center)とのコミュニケーションもスムーズだったことが、F5をセレクトした決め手になりました」と清田氏。自社にSI部門を持たずにパートナー企業に委託するベンダーも多いなか、F5には、セキュリティ分野の経験が豊富なエンジニアが多く在籍しています。

SEと営業がタッグを組み、チームF5としてタイムリーな連携とサポートが提供可能だったことなど、F5は、セキュリティサービスの移行という絶対に失敗できないプロジェクトにおける信頼感も大きかったといいます。

採用決定から、必要な事務手続きを経て、2021年5月、およそ3か月という短い作業期間で移行プロジェクトは完了。「時間が限られるなか、週1回の定例ミーティングを設定したうえで、課題を持ち寄って一つひとつ解決していくといった作業にも対応してもらえたのは、ありがたかったですね」(清田氏)。

効果(The Outcome)

「F5 Silverline WAFとSilverline Shape Defenseの運用を始めてから1年ほどになりますが、SOCチームのサポート、問い合わせなどへのレスポンスも早く安心感があります。SOCとのやり取りも日本語で可能ですし、日本側のエンジニアのサポートも受けられるので不安を感じることはありません」と清田氏。F5のSOCは、24時間情報システムを監視し、サイバー攻撃の検出・分析・対策を行うセキュリティのスペシャリストで構成されています。

専門的なスキルが不可欠なため、自社内に同様の機能を持つことは困難です。実際、清田氏も、「一企業の情報システム部門では限界はありますし、内製といっても完全に社内だけで運用はできません。専門的なサポートは、やはり重要なポイントでした」と、F5の運用支援体制を評価しています。

現在、森永乳業では、清田氏のマネージメントのもと、3名の担当者でウェブサイトなど公開系システムのセキュリティを担当しています。「WAF移行から1年たって、SOCチームのサポートを受けつつ、ある程度独り立ちできてきた状況です。ウェブサイトのセキュリティ対策に必要なコストも、15%ほど削減できました」(清田氏)。
きめ細かなチューニングが難しかった従来の環境と比較して大きく変わったのは、F5 Silverline WAF/Silverline Shape Defenseには、リアルタイムで攻撃の詳細情報を確認し、検知や阻止の状況や対応する対策などを可視化して確認できるポータルが用意されていて、iRule機能により、URLフィルタリングやカスタムヘッダの付与など、セキュリティポリシーのきめ細かな設定が可能になったことです。

「必要なセキュリティを実現するための設定を社内スタッフが行うことで、具体的な機能についても理解が進みました。内製化という視点からも望ましいと考えています」と清田氏。
ポータル画面を定期的に確認し、ブロック件数やアラート件数などの情報を社内で共有できるようになったこともメリットだといいます。「ある期間だけ、平均のブロック件数を大きく上回るといった状況が発生した場合、それをトリガーに詳細分析を行うといった取り組みが習慣化できました」(清田氏)。

F5 Silverlineは、レイヤ7攻撃、ゼロデイ攻撃、DDoS攻撃、クレデンシャルスタッフィングなどにくわえ、不正行為に利用されたホストや匿名サービスに使用されたIPアドレスのブロック、悪意あるボットへの対応など求められる機能をトータルで提供します。また、カスタマーポータルにより、アプリケーション保護の内容と、どんな攻撃が行われ、どんな対策がとられたかといった履歴の可視化が可能なため、迅速なポリシー変更や導入も容易。高度なセキュリティと運用管理コスト削減の両立を支援します。

期待(The Future)

現在、森永乳業では、ウェブサイトの90%以上の集約とクラウドシフトを完了。社内システムについても徐々に作業を進めています。

「社内システムについては別のセキュリティ対策を進めています。日々新たなリスクが生まれるなか、セキュリティ対策には継続的な検討が不可欠と考えています」と清田氏。

ゼロトラストセキュリティなど、情報やアプリケーションの保護は継続的に検討する必要もあり、SilverlineWAF、Silverline Shape Defense 以外のF5のセキュリティサービスについても検討していきたいとのこと。「当社のIT 部門は、「攻めのIT」を推進するなか、「まずはトライしてみよう」という考えで改革に取り組んできました。

PoC(Proof of Concept:概念実証)といわれる考え方に近いかと思いますが、今後も気になるアイディアやサービスがあれば試してみたいと考えています」と言う清田氏。期待以上のスピード感をもってWAF 移行を実現したF5とのパートナーシップは、「挑戦」する風土を大切にする同社の考え方にもマッチしているのかもしれません。