サイバーエージェント、DeNA、LayerXのCTOが語る、マルチクラウドのセキュリティ／品質管理：サイバーエージェント、DeNA、LayerXの選択（2）

マルチクラウドを活用するテック企業は何に心がけていて、どのような態勢を築いているか。本連載では、サイバーエージェント、DeNA、LayerXのCTOによるパネルディスカッションの内容をお伝えしている。今回はセキュリティ／ガバナンスについて語り合った部分を取り上げる。

[吉村哲樹，＠IT]

　2022年4月下旬に開催されたデジタルカンファレンス「Google Cloud Day: Digital '22」では、サイバーエージェント、ディー・エヌ・エー（以下DeNA）、LayerXの3社の技術部門トップ（CTO）が一堂に会したパネルディスカッション「Tech Leader に聞く。マルチクラウド活用における技術選定とそれを支える組織」が行われた。

　本セッションの前半では、マルチクラウドを活用するための戦略や技術選定などについて意見が交わされた。これについては前回の「テック企業のCTOたちが話した、マルチクラウド技術選定のやり方」で紹介した。今回は、マルチクラウドを安全に運用するためのセキュリティやガバナンスついて話し合われた部分を紹介する。次回はマルチクラウド活用を推進するための人材育成を取り上げる。

マルチクラウド特有のセキュリティリスクにどう対処するか？

　複数のクラウドサービスが混在するマルチクラウド環境においては、一般的な環境と比べてセキュリティによりきめ細かく配慮する必要がある。クラウドサービスのセキュリティ設定はサービスごとに内容や項目が異なるため、利用するクラウドサービスが増えれば増えるほどその管理が煩雑になり、設定の抜け・漏れに起因するインシデント発生のリスクが高くなる。

　またサービスのアップデートに伴いセキュリティ設定の仕様が変更されることもあり、アップデート内容にキャッチアップできずにいると設定内容にいつの間にか抜け・漏れが生じ、やはりセキュリティリスクを呼び込んでしまう恐れがある。事実、こうしたことが原因で大規模なインシデントが発生してしまった事例もあることから、セキュリティ対策はマルチクラウド活用において極めて優先度が高い取り組みとされている。

左からサイバーエージェントの長瀬慶重氏、DeNAの小林篤氏、LayerXの松本勇気氏

　前回は、サイバーエージェント、DeNA、LayerXともに、クラウドサービスの選定は基本的に現場の判断に任せているということを紹介した。その一方でセキュリティ対策に関しては3社とも決して現場任せにはせず、やはり全社レベルでしっかりガバナンスを効かせるための体制・プロセスを敷いているようだ。

　サイバーエージェント 常務執行役員（技術担当） 長瀬慶重氏によれば、同社では現在全社共通のセキュリティガイドラインを設けているほか、社内横断型のセキュリティ専門部隊も設置しているという。

　「30人規模のセキュリティ部隊を設けて、各システムのセキュリティ対策の品質をチェックするようにしています。またそれとは別に、各事業部門にセキュリティ担当者を置いて、有事の際のインシデントレスポンス体制を全社レベルで構築しています」

　このセキュリティ専門部隊が中心となって各システムのセキュリティアセスメントを行い、さらにその結果を現場だけでなく役員レベルにも報告して、全社レベルでセキュリティ対策に取り組む姿勢を鮮明に打ち出しているという。

全社規模でセキュリティガイドラインと専任組織を設ける