複数AWSアカウントをAWS Control Towerで一元管理
SSOによるセキュリティ強化とIT統制を実現

株式会社ADKホールディングス

IT部 情報セキュリティ室 室長 今井利明 様
IT部 情報セキュリティ室 情報セキュリティグループ グループ長 鈴木潤 様

公開日:2022年5月12日

  • AWSアカウント管理にかなりの工数がかかっていた
  • MFA認証の利用はおこなっていたが、更なるセキュリティ対策が必要と感じていた
  • AWSアカウントが人事システムやAzure ADと非連携

  • アカウント集約によるセキュリティと統制の強化
  • SSOによるセキュリティ強化とユーザーの利便性向上
  • Azure ADと自動同期によるAWSアカウントの削除忘れリスクの解消

「すべての人に、歓びの体験を。」を社会的存在意義(パーパス)に掲げ、「顧客を資本と考える顧客体験創造会社」を目指して広告を中心としたコミュニケーションサービスを提供しているADKグループ持株会社のADKホールディングスは、傘下にADKマーケティング・ソリューションズ、ADKクリエイティブ・ワン、ADKエモーションズの3社を擁し、グループ一体となった経営を進めています。2021年3月には、デジタル&データドリブン系ソリューションを専門とする事業ブランド「ADK CONNECT」を立ち上げ、進化型マスマーケティング、D2C(Direct to Consumer)型マーケティング、顧客体験デザインの3領域において戦略的なソリューションの開発・提供を開始しています。

総合広告会社としてクライアントのさまざまな情報を扱う業務の性質上、同社にとってIT環境のセキュリティ強化は重要課題のひとつです。現在、全社で複数のAWSアカウントを利用しており、それらを共通のセキュリティポリシーで管理する工数が増えていました。また、最新のセキュリティ脅威に対して迅速に対応する必要もあります。そこで、すべてのAWSアカウントを集約しガバナンスを強化するため、AWSのマルチアカウント環境を管理するAWS Control Towerを採用し、クラスメソッドをパートナーに選定して導入を進めました。AWS Control Towerで提供されるAWS Organizationsによるアカウント連携や、AWS Single Sign-On(AWS SSO)により、セキュリティレベルや統制の強化が実現しています。AWS Control Towerの導入経緯とその効果について、IT部 情報セキュリティ室の今井さんと、鈴木さんにうかがいました。

多数のAWSアカウントが存在し、セキュリティポリシーの遵守が課題に

広告業務からコンテンツビジネスまで幅広い事業を展開するADKグループは、近年のサイバー攻撃の増加を受けて2021年1月にADKホールディングスのIT部内に情報セキュリティ室を新設しました。情報セキュリティ室は、セキュリティに関する日々の運用、インシデント対応、ISMS認証継続活動等を主なミッションとしています。

「これまでもIT部内のセクションの一部として、ISMSの認証継続活動等は続けており、、一定のセキュリティ対策は実施しておりましたが、より一層、サイバー攻撃への対応やセキュリティポリシーの見直し等に本腰を入れて取り組むため、専門部署として情報セキュリティ室を立ち上げました」(今井さん)

同社は広告会社として、クライアントの未発表の新製品情報、ECサイトの購買データ、個人情報を含むPOSデータ等の重要情報を扱っています。CM、動画、ポスター、イベント、街頭広告等のアウトプット情報も多数保有しており、これらが解禁日より前に外部へ漏れることは許されません。新たな事業ブランド「ADK CONNECT」を立ち上げ、デジタルマーケティングやデジタルビジネスを加速させていくうえでも、セキュリティの強化は必須でした。

こうした背景の中、課題となっていたのがAWSアカウントの管理です。同社は2017年頃からシステムのクラウドシフトを進め、現在は複雑なアプリ改修が必要なレガシーシステムを除き3分の2以上のシステムがAWS上で稼働しています。しかし、AWSアカウントが多数存在しており、共通のセキュリティポリシーで管理する為の工数が日に日に増えておりました。そこでIT部としてすべてのAWSアカウントを集約し、ガバナンスを強化することにしました。

「従来、AWSアカウントへのログインには多要素認証を使うようにしていましたが、昨今のセキュリティリスクが高まっている状況を考慮すると更なる対策の必要性を感じていました。また、AWSアカウントは人事システムやAzure Active Directory(Azure AD)とも紐付いておらず、ユーザーアカウント管理は手作業となっており、手間が掛かることやリアルタイムにアクセス権を反映できないことなどが課題となっていました。さらに、当社の場合は取り扱うデータの性質上AWSの東京リージョン以外は使っていないため、万一不正アクセスされた場合のマイニング被害等を防ぐためにも海外リージョンは使用を制限したいと考えていました」(鈴木さん)

複数アカウントを一元管理するAWS Control Towerを採用

上記の課題解決を目指した同社は、これまでAWSの請求代行の支援を3年以上にわたって担当していたクラスメソッドに対応策を相談したところ、AWS Control Towerを提案されました。AWS Control Towerは複数のAWSアカウントをセットアップ・管理するためのマネージドサービスです。アカウントの一元管理サービスであるAWS Organizationsや、シングルサインオンのAWS SSOと連携し、かつ「ガードレール」と呼ぶ保護機能で設定したセキュリティルールをAWSアカウントに適用することができます。

「マルチアカウントを管理するツールは他にもありますが、AWSアカウントに特化するならAWSのサービスを使うのがベストだと考えました。AWS Control Towerは大きな費用をかけることなくアカウントの制御ができ、AWS OrganizationsやAWS SSOが利用できることに魅力を感じて採用を決めました。クラスメソッドには、過去のAmazon EC2の構築実績や現在の請求代行の支援実績、AWS Control Towerに関する設計構築ナレッジの高さ、技術ブログ(DevelopersIO)の情報発信の量を評価して支援をお願いしました」(鈴木さん)

2021年9月にAWS Control Towerの採用を決定後、2021年12月から2022年2月にかけて、IT部が管理しているAWSアカウント1つと、現場の業務部門が管理しているマーケティングシステム、データ分析システム等のAWSアカウント4つの合計5アカウントをAWS Control Towerの配下に移行しました。

制御項目を設定するガードレールの設計では、AWSが提供するガードレールにより東京リージョン以外へのアクセス制御などを行うのに加えて、サーバーやストレージの暗号化などに関するADK独自のガードレールを作成して組み合わせています。
AWS CloudFormationを活用することで、移行する5つのAWSアカウントに短期間かつ確実に展開していきました。

AWS SSOの設定ではAzure ADとの連携を実現し、独自のアクセス権限も設計しました。AWS SSOのアクセス権限は現行のポリシーを踏襲しましたが、クラスメソッドの提案を受けて管理者権限だけでなく読み取りだけの権限も新たに設け、ログを見るだけなら読み取りだけの権限でログインすることで、不用意なオペレーションミスをなくす工夫をしました。

導入期間中は、コロナ禍ということもありオンラインでのプロジェクトとなりましたが、プロジェクト管理ツールを活用しながら、大きなトラブルもなくスムーズに進んだといいます。
「AWS Control Towerは新しくニッチなサービスで、ナレッジがない部分もあることから手戻りがゼロというわけではありませんでしたが、開発チームのリカバリーもスムーズでした。定例ミーティングでのインプットはもちろんですが、プロジェクトの技術ポイントがクラスメソッドの技術ブログに掲載されていく過程で、私たちも理解を深めることができました」(鈴木さん)

AWSアカウントへのログインをシングルサインオンによって一元化

AWS Control Towerの導入により、配下に移行したAWSアカウントに関してはセキュリティレベルの向上と、ガバナンスの強化が実現しました。

「特に大きな効果は、ばらばらだったAWSアカウントへのログインがSSOによって一元化されて管理が徹底されたことです。セキュリティレベルが向上したのはもちろんのこと、AWS SSOを経由することで何度もログインを繰り返す必要がなくなり、かつAuthenticatorアプリも不要となった為、ユーザーの利便性も向上しました。AWSアカウントを新たに追加する際も、AWS Control Towerを活用すれば従来より少ない工数で済み、かつデリバリーも早くなりました。ユーザー管理もAzure ADとの自動同期が実現したことで、ユーザーの削除忘れによる不正アクセスリスクもなくなりました。ユーザーを新規で追加する際もAzure ADを更新するだけで済み、管理者の負荷も軽減されています」(鈴木さん)

今回の施策は、IT部の情報セキュリティ室としても、セキュリティ強化の一歩としてアピールできたことは大きいといいます。

「AWS WAFの導入など、これまでもクラウドセキュリティの強化に努めてきましたが、今回のプロジェクトでIT部全体にクラウドセキュリティの重要性を改めて認識してもらうことができました。さらに統制を効かせられるようになったことは、周囲からも評価をいただいています」(今井さん)

現場部門やグループ会社で管理するAWSアカウントに横展開

今後は、特定の案件の為に個別契約しているAWSアカウントや、クラスメソッドとライセンス契約していないAWSアカウントについても、AWS Control Towerによる管理に向けて水平展開していく計画です。グループ会社で新規のAWSアカウントが必要となった際も、IT部からAWS Control Towerを適用した状態で払い出す形式での運用を開始しています。

また、現在AWS Control Towerの配下で管理しているAWSアカウントについては、脅威検知のAmazon GuardDutyや、アラート管理のAWS Security Hubなどを適用しておりますが、さらなるセキュリティ向上のためSOC/CSIRTを立ち上げ、SIEMで収集したログからの予兆分析など、よりプロアクティブなセキュリティ施策を推進していくことが新たなチャレンジとなっています。

「AWS環境については、セキュリティからインフラまで新たなことに幅広くチャレンジしていきますので、クラスメソッドには今後もAWS Control Towerのような新しい技術の提案を期待しています」(鈴木さん)

総合的な体験デザインにシフトしている広告業界で新たな付加価値の提供を目指すADKグループにとって、ITにかかる比重はますます大きくなっています。クラスメソッドは、引き続きさまざまな領域でサポートしてまいります。

この事例はAWSコンサルティングをご利用いただいています

クラスメソッドのAWSコンサルティングは、公式資格を持つエンジニアがお客様の要件にマッチしたAWSのクラウドインフラ設計、サービス選定をご提案。AWSの広い知見を活かし、コスト削減からハイパフォーマンスな構成までじっくりとアドバイスします。

AWSコンサルティングを詳しく見る

AWSコンサルティング

関連する事例

相談しやすいスペシャリストを
お探しなら
まずはクラスメソッドまで

  • すべてのサービスや企業情報をまとめた一冊

  • 導入前の不明点はなんでもご相談ください

お電話でのお問い合わせはこちら。
大小問わず不明点はなんでもご相談ください
0120-991-668 (平日9:30~18:30)
  • AWSプレミアティアサービスパートナー
  • 「APN Certification Distinction」の認定を取得
  • LINE Biz Partner Program 認定バッジ「OMO」
  • alteryx PARTNER OF THE YEAR 2018
  • プライバシーマーク認証マーク
  • ISO/IEC 27001
  • ISO/IEC 27017
  • ISO/IEC 20000-1
  • ISO/IEC 27701
  • AICPA SOC2 Type1 レポート受領
  • ベストモチベーションカンパニーアワード2021受賞