2050年のカーボンニュートラル実現に向けて、総合エネルギーサービス事業を展開する北海道ガス株式会社。同社は2023年6月、業務用エネルギーマネジメントシステム「Mys3(ミース)」をリリースし、熱源機器の省エネ制御を実現しました。今回、Mys3の基盤に採用しているアマゾン ウェブ サービス(AWS)のセキュリティ強化に向けて、クラスメソッドに技術支援を依頼し、チェックツールの診断に基づくセキュリティ統制の強化、AWS WAFの運用最適化、CI/CDセキュリティの導入など幅広い対策を実施しました。プロジェクトについて、担当メンバーとして参加した同社 エネルギーシステム部の國奥さんと峠さん、藤原さんにお話をうかがいました。
省エネサービスの高度でさらなるセキュリティ強化が必須に
北ガスグループ経営計画「Challenge2030」において、省エネ対策を進める北海道ガス。同社のエンジニアリングソリューション部エネルギーシステムグループは、業務用顧客向け省エネサービス「Mys3」を、IoTやクラウド技術を駆使して内製開発しました。
2023年6月のリリース以降、自社でMys3の運用を続けてきた開発チームですが、サービスの高度化に伴い、AWS環境におけるセキュリティ強化が新たな課題となりました。
「エネルギーシステムグループは、情報システム部門のようなIT専門のチームではなく、Mys3を提供する事業部門です。そのため、常時変化するAWSのセキュリティへの知見に対して、より高度な判断が難しい状況にありました」(國奥さん)そこで、AWS環境を診断する「AWS Well-Architectedレビュー」を実施し、セキュリティリスクの優先度を整理しました。その中で、特に重要な課題として、AWS環境全体における統制強化、AWS WAFを中心としたネットワークセキュリティの改善、CI/CDセキュリティの導入による脆弱性対策の必要性が明確になりました。
クラスメソッドの札幌オフィスによる「顔の見える支援」に期待
これらの課題に対応するため、技術支援のパートナーとしてクラスメソッドを採用しました。決め手となったのは、Mys3のサービスに対する深い理解と、クラスメソッドの札幌オフィスから「顔の見える支援」が受けられることでした。
「クラスメソッドには、2023年からMys3のフロント領域で支援をいただいており(参考事例 https://classmethod.jp/cases/hokkaido-gas/ )、丁寧でわかりやすく、私たちに寄り添った対応が印象に残っていました。オフィスが近くイベントやコミュニティでも日常的に交流があり、物理的な距離だけでなく心理的な距離の近さも評価のポイントになりました」(國奥さん)
「Mys3の支援実績があり、システムの構成を理解しているクラスメソッドにセキュリティ領域を任せられる点で、安心感がありました。前提知識があるため、迅速な対応も期待できました」(藤原さん)
セキュリティ課題を解決する5つの取り組みを段階的に実施
プロジェクトは、2025年12月から2026年3月にかけて段階的に実施しました。主な取り組みは、「セキュリティチェックツールの検出結果に基づく対応方針の検討」「AWS WAFの利用状況の評価と改善」「Amazon CodeCatalystからGitHubへの移行」「CI/CDセキュリティの導入」「AWSアカウントの分離」の5つです。
①セキュリティチェックツールの検出結果に基づく対応方針の検討
AWSのセキュリティチェックツールである「AWS Trusted Advisor」と「AWS Security Hub」で得られたアセスメント結果をもとに、本番環境のセキュリティリスクを可視化し、対応方針を整理しました。現在、優先順位に応じて設定変更などの対策を進めています。「数百に及ぶチェック項目に対し、どこまで対応すべきかの判断が難しい中、クラスメソッドにはAWSのベストプラクティスを考慮したうえで重要度を判断していただきました」(國奥さん)
「セキュリティ設定は、厳格さとコストとのバランスが重要です。環境ごとに最適解が異なる中、クラスメソッドからはMys3のシステム構成や運用状況に即したアドバイスをいただき、円滑に進めることができました」(藤原さん)
②AWS WAFの利用状況の評価と改善
本番環境および開発環境に導入済みのAWS WAFについて、ルールの棚卸しと見直しを実施し、不要なルールの削除と運用方針の整理を進めました。
「現状の設定や運用で大きな問題がないことが確認できた点は安心材料でした。今後に向けて、ルールの見直しの頻度やチェック方法の指針も示していただきましたので、得られた知見をベースに運用を続けていきます」(國奥さん)
③Amazon CodeCatalystからGitHubへの移行
AWSの開発基盤サービスであるAmazon CodeCatalystがパイプラインの新規受付を終了することに伴い、新たなサービスへの移行という選択肢も検討。そこで、社内で実績のあるGitHubを採用し、既存のパイプラインを移行しました。「クラスメソッドには、リポジトリ連携や環境変数の設定などに関するアドバイスを提供いただきました。GitHubの扱いに不慣れな中、スクリーンショット付きのわかりやすい作業手順書の提供や、チャットでの迅速な質問への回答、的確なタイミングでの声かけなどにより、理解を深めながら移行を進めることができました」(峠さん)
「GitHubへの移行は開発チームが手を動かしながら内製で開発し、スキルを蓄積・共有していきたいという意図がありました。クラスメソッドは私たちの方針を理解したうえで、ドキュメント整備などで支援をいただきました」(國奥さん)
④CI/CDセキュリティの導入
開発速度の高速化に伴い、CI/CDパイプラインを狙ったサイバー攻撃が増えています。パイプラインが侵害されるとAWSの本番環境まで侵入し、大きな影響を受けるリスクがあります。そこで、AWS環境全体を防御する観点から、CI/CDセキュリティの導入を決定しました。
「クラスメソッドには、静的解析ツールの準備やドキュメント整備などで支援をいただいています。現在、CI/CDパイプラインに組み込むための基盤が整いつつあり、今後に向けて実装を進めていく予定です」(國奥さん)
⑤AWSアカウントの分離
開発・検証・本番の3つのAWSアカウントがある中、開発環境のAWSアカウントにPoC環境が紐付いているという課題がありました。対応策を検討した結果、アカウントを分離する方針を決定し、クラスメソッドの支援を受けながらデバイス連携も含めたアカウント構成の設計を整理しました。今後はこの方針に基づき分離を進めていく予定です。
内製開発を加速する支援体制と豊富な実績に基づく技術提供を評価
すべての取り組みは、原則として内製開発を前提とし、クラスメソッドには意思決定のための情報提供、技術Q&A、アドバイスなどを依頼しました。クラスメソッドに対しては、内製開発を加速する適切な支援体制と、豊富な実績に基づく技術の提供を高く評価しています。
「構想段階から相談ベースで対応をいただき、私たちのチームにとって何がベストかを考えたうえで最適な選択肢を提案していただきました。担当領域を切り分け、責任範囲を明確にしていただけたこともあり、プロジェクトを円滑に進めることができました」(國奥さん)
「支援を受けてみて、エンジニアの技術力とコミュニケーション能力が高い印象を強く持ちました。私たちが言語化できていない課題に対しても、意図を正しく汲み取ったうえで、最善の解決策を提示していただきました。作成いただいたドキュメントも整理されており、内容が理解できるようにわかりやすく書かれています。そのため、ミーティングでも短時間に質の高い議論ができました」(峠さん)
「目的に対するゴールが明確で、いつまでに何をするという指示も的確でした。そのため、私たちも目標までに何を準備すればよいかを把握しやすく、効率的にプロジェクトを進めることができました」(藤原さん)
セキュリティに関する「現在地」と「目指す方向性」を明確化
今回のプロジェクトにより、同社はセキュリティに関する「現在地」と「目指す方向性」を明確化することができました。AWS WAFに関しても最適化と運用改善が進み、不要ルールの削除によるコスト削減も実現しています。GitHubの導入に関しても、初期の学習ハードルを乗り越えながら、社内スキルの向上を図りました。さらに、AWSアカウントの分離で統制も強化されています。
今後は、セキュリティ対策のさらなる強化に加え、生成AIの活用も視野に入れています。
「生成AIやAIエージェントの活用が業務に浸透していく中、セキュリティの重要性はさらに高まります。そのため、ガードレールを整備したうえでAI活用を進め、開発の高度化と効率化を加速させていきます。クラスメソッドとは新規案件でも連携を進めており、今回のプロジェクトで得た知見をベースに今後の開発に取り組んでいきます」(國奥さん)
内製開発のスピードを生かしながら、セキュリティ基盤の強化を進める北海道ガス。クラスメソッドは、今後も同社のエネルギーサービスの進化を支えてまいります。
