セガサミーグループ全体のセキュリティガイドライン作成
クラウドネイティブ時代の仕組みづくりを支援

国内外におよそ60社のグループ企業を擁するセガサミーホールディングス株式会社（以下、セガサミーHD）。エンタテインメントコンテンツ事業、遊技機事業、リゾート事業の３つの事業を柱として多くの人々へ感動体験を創造し続けています。

同グループは、クラウド利用が増加し、クラウドサービスを適切に利活用する必要性が高まりました。サービス利用の基準についてグループ全体でガバナンスを効かせるためには、安全な利用の指標となるセキュリティガイドラインの策定が欠かせません。

今回クラスメソッドは、同社の意向を伺いながらコンサルティングの一環としてガイドライン作成をご支援しています。グローバルセキュリティ推進室の佐藤さん、田辺さんにその背景からご感想までインタビューしました。

クラウドの広がりがセキュリティポリシー作成のきっかけに

「もともとグループ全体で守るべきセキュリティ規範やルールなどは制定していました。しかし、クラウドに特化したルールやガイドライン等はなく、相談が来るたびに案件に応じて検討・運用していました。」（佐藤さん）

2人が所属するグローバルセキュリティ推進室は、国内外におよそ60社あるグループ企業に対してセキュリティ面のサポートを行うことも業務の一環です。各社のセキュリティソリューションでアラートが出たときや相談があったときも対応しています。そんななか、近年同グループではクラウド利用が本格化してきました。

「『S3の公開範囲がおかしい』など、クラウド特有のインシデントが出てくるようになりました。グループ企業は各社・各部門でスキルも知見も異なります。何も言わなくても適切な設定にしてくれる部門もあれば、古い知識のまま設定してしまったり、オンプレミスの常識をクラウドに持ち込むようなケースもありました」（佐藤さん）

こうしたケースに対して統制を効かせるには、セキュリティの観点で最低限守ってほしいラインを定めなければいけません。ましてグループ全体でクラウドの利用量が増える中、セキュリティレベルの底上げは避けて通れない課題です。

さらに、グローバルセキュリティ推進室が所属するITソリューション本部でも、AWSを使ったシステム構築の話も出てきました。そこで、グループ全企業を対象にしたセキュリティガイドラインを作成することになったのです。

対象範囲の広さと使い勝手の良さ

セキュリティガイドラインを作成しようという話が出たのが2022年初頭。海外のグループ企業向けにはAWS等が作成した英語のドキュメントがすでに多く存在していることもあり、まずは日本語のガイドラインを年内に展開しようという目標で始めました。

グループ全体を見渡すと、使用しているクラウドサービスはAWSを筆頭にGoogle Cloud、Microsoft Azureと様々。これまで使用していたセキュリティポリシーと整合性を取りながら、特定のサービスに依存しない、全体で共有できる事項を網羅するガイドラインの作成を目指しました。

「しかし、日頃はグループ企業のサポートのほか、EDR（Endpoint Detection and Response。ネットワーク内のエンドポイントからログデータを収集し、不審な挙動やサイバー攻撃を検知するタイプのセキュリティソリューション）のアラート処理もしていることから、私たち2人だけで作成するのは難しい状況でした」（佐藤さん）

そこで同社はすでに別部門で取引のあったクラスメソッドに今回の件をご相談いただきました。ユーザーが比較的多いAWSに加え、Google CloudやAzureなども視野に入れたマルチクラウド対応のドキュメントを作れる外部企業としてのお声がけです。

「AWSのテクニカルな記事を書かれていることはクラスメソッドの技術ブログであるDevelopersIOを見て知っていました。7月にご依頼し、8月一杯でひとつの章をご執筆いただいて内容を判断し、続きをご依頼するか検討しようと思いました」（佐藤さん）

実際にお話を進めていく中でも「AWSに強いという印象は持っていましたが、話していてほかのクラウドもお任せできる、と改めて認識しました 」（田辺さん）とクラウドサービス全体の知識レベルもご評価いただいています。

情報システム部門やグループ企業からも好評

ガイドライン作成は2022年7月からスタート。従来の運用実態にもとづく要件定義から始め、AWS、Google Cloud、Azureのドキュメントを比較検討し、最終的にAWS Well-Architectedフレームワークを骨子としたマルチクラウドに対応した構成を練りました。そして翌月、全体構成と1章分のドキュメントを納品し、「章立て、認証・認可、既存のセキュリティポリシーと比較しての内容などを判断し、このクオリティであれば大丈夫だと思いました」（田辺さん）と、続きの執筆もご依頼いただけることに。

最終的にクラスメソッドからは14ページからなるガイドライン、4ページのチェックリストをご用意しました。ドキュメントは基礎概念やアクセス制御のほか、異常検知から各種対策方法といった実践的な情報を広くガイドした内容となりました。

「情報セキュリティは攻撃手段も日々進化するものではありますが、時流に流されないドキュメントを作っていただけました。クラウドサービスに依存しない、全体的な状況を網羅した内容にとなり、情報システム部門からも『よいものができた』と評価してもらえました」（佐藤さん）

グローバルセキュリティ推進室ではそのセキュリティガイドラインをベースにグループ各社のルールに合わせた用語の変更や、担当者のスキルに鑑みた表現に調整を行った後、2022年末のグループ各社が一堂に会する「情報セキュリティ委員会」でガイドラインを公開。グループ各社への展開が始まりました。

利用者のレベルはさまざまですが「もっと早くこうしたドキュメントが欲しかった」というグループ企業もあり、ニーズを満たした資料になったようです。

「外部企業に発注する際、セキュリティ面の基準で『とりあえずいい感じに』とはいきません。NDAさえ結べばガイドラインを渡しても構わないので、最低限このくらいはやってくださいね、という基準を伝えるドキュメントとして活用できています」（佐藤さん）

スキルレベルが不統一であることの解消は容易にはいきません。何をしたらいいか判断に悩む方々の助けになる情報が提供できました。

クラウドサービスに通底する情報を提供

グループ全体で10,000人程度のスタッフが在籍するセガサミーグループ。これだけの大人数を抱えて情報セキュリティレベルを維持することは難しいものです。さらに、個別の事案について詳細にルールを決めたり、アドバイスしたりすることにも時間がかかります。