2021年4月、三井住友トラストグループのデジタル戦略子会社として設立されたTrust Base株式会社。同社では金融DXを実現するDevSecOps体制をより強化するために、クラスメソッドの「AWSセキュリティ強化プログラム」によるセキュリティアセスメントを実施しました。その内容と評価について、DXプラットフォームセンターの中川さん、小林さんにお話をうかがいました。
AWSとDevSecOpsに特化したセキュリティ評価が必要
近年、金融業界にもDXの波が押し寄せ、柔軟かつスピード感のあるデジタルトランスフォーメーションが求められています。こうした時代の要請を受け、Trust Baseは誕生しました。設立から4年の若い会社ですが、その大半がITエンジニアやデータサイエンティスト、UXデザイナー等のDX人材。現在は約90名の社員を抱え、三井住友トラストグループのDX推進を担っています。
具体的にはAWS上で金融業務に特化したSaaSを開発して、旧来の煩雑なオペレーションをデジタル化。最近では生成AIを組み合わせたアプリ開発を手がけるなど、オペレーショナルエクセレンスに取り組んでいます。
DXプラットフォームセンターはTrust Baseの中でコーポレートITに該当する部署で、ITインフラとセキュリティの運用管理を一手に引き受けています。自社開発したSaaSを三井住友信託銀行をはじめとした金融機関に提供するにあたって、堅牢なセキュリティ対策が求められることから、同社では、開発環境の根幹を成すAWSのセキュリティアセスメントを独自のガイドラインに従って実施していました。しかし、中川さんはその方法に課題感を抱えていたと話します。「我々のガイドラインはFISC(金融情報システムセンター)の安全対策基準をベースにした内容でしたが、疑問がありました。なぜなら汎用的なクラウドセキュリティ対策であり、AWSやDevSecOpsを意識した内容ではないからです。
また、従来のアセスメントではFISCの安全対策基準やISO/IEC27017、27018をベースとしたチェックシートによる評価、いわゆるベースラインアプローチでした。加えて、開発者によるセルフチェックのため100%正しいとは言い切れないという不安がありました。だからこそ早急にAWSに特化したフレームワークと有識者による答え合わせをしなくてはならないと考えていました」(中川さん)
経験に裏打ちされた「AWSセキュリティ強化プログラム」
2023年2月のクラスメソッドメンバーズ加入以降、Trust BaseとクラスメソッドはAWS活用で関係を深めてきました。そうした背景もあり、AWSとDevSecOpsに特化したアセスメントとして紹介を受けたのが「AWSセキュリティ強化プログラム」です。AWSが提供しているフレームワーク「AWSセキュリティ成熟度モデル」をベースに独自のノウハウと判断基準を加えてアセスメントを実施し、改善点にはセキュリティ強化メニューを用いて対策支援を行うサービスです。
「答え合わせには2つのことが必要と考えていました。1つ目はAWSセキュリティに最適化された指標を使用すること。2つ目はAWSとDevSecOpsの両方に精通した技術者と一緒に進められること。これらの条件を満たすのがAWSセキュリティ強化プログラムでした」(中川さん)
ほかの依頼先候補も比較検討しましたが、最終的にクラスメソッドのAWSセキュリティ強化プログラムを採用した理由について、中川さんはこう語ります。
「コンサルティングファームやSIerのアセスメントは費用が高く、それでいてアセスメントで使用する指標は汎用的なものでしたし、AWSとDevSecOpsの両方に精通した技術者をアサインいただくのはほぼ不可能でした。ところが、クラスメソッドは費用が数分の1で、しかもAWSセキュリティ成熟度モデルをベースにしたフレームワークを使用し、なおかつAWSとDevSecOpsの両方に精通した技術者による支援が決め手になりました」(中川さん)
想定以上に優等生だったがヌケモレも発見
こうして2024年7月から約2カ月にわたってAWSセキュリティ強化プログラムを実施。週一のペースでクラスメソッドのコンサルタントとともにディスカッションを行い、課題解決の道を徹底的に探っていきました。
「コンサルタントの質問に対してアセスメント対象のプロダクト開発チームは答えをまとめなくてはいけません。その過程において開発チーム内で開発プロセスやセキュリティ対策について認識合わせを行い、言語化することで、プロダクトの課題を明確に認識できるメリットがある。開発チームにとって非常に良い体験になったと感じています」(中川さん)
幸いなことに、答え合わせをしてみると、これまで我々が運用してきた独自のガイドラインでもほとんどのセキュリティ対策をカバーできていたことがわかりました。AWSセキュリティ強化プログラムは、フェーズ1からフェーズ4に至るまで強化すべきポイントを項目ごとに見える化しますが、ヌケモレはごくわずか。「我々のセキュリティ対策が適切であることが裏付けられてホッとしました」と中川さんは振り返ります。
一方、アセスメントの担当窓口として携わった小林さんはまた違った考えを持っていたようです。「正直、開発チームは肌感覚でセキュリティを担保できているとの手応えがありました。そもそもTrust Baseは様々な企業から転職してきた経験豊富なエンジニアが在籍しているのですが、その誰もが弊社独自のガイドラインがしっかり整備されていることを口にしていましたから。
とはいえ改めて第三者評価を受けてみると結果は完璧ではありませんでした。例えばアクセス権限の強いアカウントを定期的に棚卸しする項目については、AWSが推奨する棚卸の機能は有効化していたものの、その機能を活用する運用まではきちんと落とし込めていませんでした。そうしたヌケモレをきちんとチェックでき、プロダクトの非機能部分も含めてよりブラッシュアップされたと感じています」(小林さん)
脅威モデリングの整備、セキュリティチャンピオンの育成を目指す
現在は、AWSセキュリティ強化プログラムの評価で未対応になっていた箇所についてガイドラインをブラッシュアップしたうえで運用しています。その上で、今後は組織力の強化を図っていきたいと小林さんは話します。
「これまではDXプラットフォームセンターのセキュリティチームが横断的にセキュリティをマネジメントしていましたが、開発現場の最前線までは目配せができていませんでした。この課題を解消するため、脅威モデリングのようなセキュリティ・バイ・デザインを各開発チーム内でできるようにするのと、各開発チーム内に配置するセキュリティチャンピオンの育成に取り組んでいきます。DevSecOpsを行うにあたって開発チームのセキュリティリーダーとなるセキュリティチャンピオンの存在は欠かせないものですので、今後もクラスメソッドと相談しながら人材の育成に努めていきたいです」(中川さん)
中川さんは「AWSの活用方法にとどまらず、組織の課題についても気づかせてくれたことがAWSセキュリティ強化プログラムの大きな収穫」と話します。これからもクラスメソッドはTrust Baseのパートナーとして継続的にAWS活用・セキュリティ支援を行っていきます。
