牛乳やヨーグルト・プリン・アイスクリーム・カップ飲料などを製造販売している森永乳業株式会社は創業100年を超える老舗企業です。
同社では2018年6月に情報システム部門からIT改革推進部が発足。ビジネス部門へのサービス提供や、積極的なPoCに取り組む「攻めのIT」を推進しつつ、社内を横断するCCoE(Cloud Center of Excellence:部門を越えてクラウド活用を推進する専門組織)を立ち上げし、クラウドへのシフトを図ってきました。
月間3,500万PVを超えるコーポレートサイトや、数百万PVを超えるものも少なくない製品ごとのブランドサイトも、クラウドシフトの対象としてAWSへ移行することになりました。それに伴い、同社ではセキュリティを最重要課題として位置づけ、強化することを決定します。
AWSのマネージドサービスを活用した安定稼働に加えて、セキュリティの強化を目的とした環境移行を実現するためのパートナーを探していた同社に、クラスメソッドは協力させていただくことになりました。セキュリティ重視で行われたAWS環境移行について、森永乳業株式会社IT改革推進部でクラウド推進やセキュリティを担当されている石井俊光さんにお話をうかがいました。
クラウドシフトに合わせたセキュリティと運用の見直し
CCoEを立ち上げ、全社横断的にクラウドシフトを進めてきた同社。AWSへの移行に合わせて見えてきた課題があったと言います。
同社ではクラウドシフトに取り組む前から、脆弱性診断サービスや、クラウド型のWAF(Web Application Firewall)を利用していました。
しかし、以前は事業部門のシステムをはじめ、企業サイト、製品ブランドサイトについても運用管理を外部ベンダーに委託していたそうです。
「運用をすっかりお任せしてしまっており、各システムのサーバインフラの構成の把握や、脆弱性が見つかった時の対応の統一などを十分に行えていませんでした。」
と石井さんは振り返ります。セキュリティ面のチェックも業務プロセスが確立されておらず、整備が必要でした。
自社と関連企業のWebサイトをAmazon EC2やAmazon CloudFront、Amazon S3の環境へ移管し、AWSをベースにしたログ分析基盤の構築を計画する中で、新たにクラウドに適したセキュリティ標準を策定し、セキュリティツールの選定、導入を行う必要が出てきました。
「攻めのITを行う上でも、セキュリティの知識、知見、対応は、常に必要になります。クラウドシフトを推進するための基盤としてセキュリティに関するリテラシーを積み上げる必要があると考えました。」
と語る石井さん。クラウドシフトとともにセキュリティ面の強化を図ることになったのです。
将来の内製化を目指してパートナー企業探し
Webサイトを自社で構築し、運用することを目指した同社はAWSに問い合わせ、パートナー企業を推薦してもらうことに。そこで名前が挙がったのがクラスメソッドでした。
「将来は内製化できるように社内の体制を変えていきたいと考えていました。そこで安全性の高いWebサイト運営を行うために、AWSと連携するサービスをどのように組み合せるべきかということを知りたかったのです。また、求める安全性はサイトごとに異なります。セキュリティ重視のサイト、コスト重視のサイト、それぞれどう構成したら良いのか。そうした見極めを教えていただけることを期待し、お願いすることになりました。」
事前ミーティングにて希望の構成をうかがい、提案をお伝えする中で、クラウドシフトに共に取り組む企業としてクラスメソッドを認めていただけました。
自社運用に最適化したWebサイト基盤の構築
自社グループにて運営するサイトの共通バックエンドを、AWSを中心としたエコシステムで構築することにした同社。実際に数サイトを移行してみるというPoCから取り組み始めました。
「打ち合わせや質問はオンラインミーティングや、課題管理ツールを利用しました。随時レスポンスがもらえるため、ストレスなく進めました。一方でやや込み入った話になる、セキュリティ基準の策定や、ログの取得ポリシー検討、セキュリティソリューションや脅威検知導入の判断などでは実際に会って相談しました。私たちが大切だと思うところに特に手厚く対応してくれ、非常に助かりました。」(石井さん)
製品ブランドサイトは代理店やWeb制作会社と連携して制作します。ミーティング時に技術的な話題になることもありましたが、課題が生じたり、不明な技術領域がテーマになったりしたときにはクラスメソッドのエンジニアが同席し、サポートすることもありました。
最初はEC2を利用した構成を組んでいましたが、管理するサイトが多くなってからはAmazon CloudFrontやAmazon S3を活用してサーバーレスアーキテクチャを徐々に導入し、運用の効率化を図っていきました。
「脆弱性に対するパッチ当てなどの作業では、日程調整やリハーサルで大きな負荷がかかります。内製化チームを拡充しようとはしていましたが、情報システム企業ではありませんので、限られたエンジニアに負荷がかからないようにしなければスケールできません。」
そのため、運用の効率化は必要不可欠だったと言います。
同社では様々なタイミングでオンラインキャンペーンを行い、その都度キャンペーン用の専用サイトを制作しています。
以前はシステム全体の共通基盤の上で稼働していたことから、あるシステムの作業が他のシステムに影響を与える可能性がありました。特にメンテナンス面では、製品のアップデートや定期保守の調整が大変でした。メンテナンスに時間がかかれば全てのブランドサイトに影響が出る可能性があったのです。
現在はサーバーレス構成を導入したことにより、メンテナンス効率が大幅に向上しただけでなく、サービス毎に環境を分離しているため他のサービスに影響を与えることもなくなったと言います。
さらに、メンテナンス性の向上はビジネスのスピードアップにも貢献しています。
「以前は3ヶ月前に相談をもらわないとできなかったようなリリースが、2週間前からでも実現するケースも出てきました。シンプルなWebサイトの立ち上げであれば数営業日内にできるようスピードアップが図れており、ビジネスにも良い影響が出ています。」(石井さん)
複数のツールを組み合わせてセキュリティ強化
同社が当初から重視していたセキュリティについては、セキュリティ標準の策定に対するアドバイスを行い、ツール選定と導入支援を行いました。
セキュリティ標準の策定では、クラスメソッドのエンジニアによる重点的なサポートを評価いただきました。
「クラスメソッドの担当エンジニアにはドキュメントをしっかりとレビューしていただきました。プロフェッショナルのお墨付きがあるという安心感はとても大きいですね。」
実運用を見越したセキュリティ標準を作れたことで、新しいサイトの制作時にもスムーズに適用できるようになっています。
「どのWebサイトに対しても一定の基準でチェックを行い、リリースできるようになりました。運用が標準化されたことで、監視もしやすくなっています。」
と石井さんは効果を語ります。
AWSのセキュリティ強化に向けては、脅威検出を行いAWSアカウントとワークロードを守るマネージドサービスであるAmazon GuardDutyを採用。加えて脆弱性を可視化できるFutureVuls、エンドポイントを保護するF-Secure、脆弱性管理プラットフォームのTenable.ioなど、サイトごとに必要なサービスを提案しました。
また、各環境のログは直感的な操作が特徴であるSumo Logicのダッシュボードで可視化・分析し、セキュリティリスクアセスメントツールDome9(※現CloudGuard Posture Management)による全環境の課題チェックも定期実行できる体制を構築します。
セキュリティには脆弱性の特定や診断など様々な領域が存在し、セキュリティツールごとに得意とする分野や性能は異なります。
導入コストをふまえて必要な機能を満たせる製品・サービスの組み合わせを提案し、最適な管理ができることを目指しました。
「明確な根拠に基づく提案をもらえて、とても心強かったです。エンジニアの方々の質が高いと感じました。抽象的な方針だけでなく、具体的にブレイクダウンしてご説明いただいたので、その後に自社で内製化して巻き取れるだろうという自信を持てました。」
と石井さんにもご納得いただけています。
将来のデジタルトランスフォーメーションを見据えて
森永乳業では、将来のDX(デジタルトランスフォーメーション)も視野に入れています。
「将来的には事業部門と一体になって推進し、「事業に貢献できるIT部門」というスローガンを実現していきたいです。」(石井さん)
クラウドを活用していくためには、クラウド人材の育成もテーマの一つとなります。石井さんは、自分で手を動かしてインプット・アウトプットすること、新しい情報へのキャッチアップが必要と考えています。
クラスメソッドには、CCoEと伴走するパートナー企業として、社内へのノウハウ蓄積と最新技術へのキャッチアップ支援を期待されています。
「私たちは事業会社の情報システム部門です。エンジニアリングの企業ではありません。新しいことを推進しようとしたときに知見が足りなければ、パートナー企業に実装を頼り、レールを踏み外さないようにフォローしてもらいたいと考えています。どのような知見が必要か、ベストプラクティスは何か。そこはクラスメソッドさんに頼りたいです。」(石井さん)
エンジニアも確保し、社内のクラウド運用の仕組みは着々とできあがりつつあります。クラスメソッドとの打ち合わせに、石井さんの他にエンジニアが参加する機会も増えてきており、社内の体制が整ってきていることが感じられました。
クラスメソッドは、クラウド技術に関する高い技術力と知見、最新技術へのキャッチアップにより、最適な製品導入と運用設計を支援しています。
また、お客様自身によるクラウド運用体制作りに向け、IT技術だけでなく組織体制・管理方式・コスト管理などのノウハウ提供を行ってまいります。
