ロッテが国産CNAPP「Cloudbase」導入、マルチクラウドのセキュリティ空白地帯を解消

ロッテのICT部門は、2020年4月に全社システムをクラウドへ移行しました。基幹システムはGoogle Cloud上に、周辺システムはAWS上に集約し、オンプレミス特有の運用負荷からの脱却と内製開発の推進を実現しています。しかし、クラウドシフト自体は完了したものの、クラウド特有のセキュリティ対策が後回しになっており、誰も状況を把握できていない状態が続いていました。また、外部ベンダーに運用を委託している領域では、「セキュリティ対応しています」という報告があっても、そのエビデンスが見えず、ベンダーとセキュリティ課題を同じ目線で議論するための「共通言語」が必要とされていました。

Cloudbase導入後、2026年1月以降は対応優先度の高い設定ミスを月10件前後のペースで継続的に解消しています。担当者間のコミュニケーションも月50〜100件にまで増加し、セキュリティ対応の共通言語が組織内に浸透し始めました。なかでも顕著な変化は、ベンダー管理の質の向上です。ベンダーとの協業の中で見落とされていた設定ミスが可視化されたことで、契約上の責任範囲が明確になり、「誰が責任を持つのか」の整理が進みました。Cloudbase上のチケットシステムでベンダーとやり取りを行うことで、別途証跡管理ツールが不要になり、ベンダー側にも専任担当者が置かれるなど、対応スピードも大幅に向上しています。

現在はインフラ部門を中心に運用を定着させており、今後はアプリケーション領域への横展開を進める計画です。また、会社全体のミッションとして重要度が高まるAI基盤の整備に対しても、Cloudbaseを活用したクラウドセキュリティの担保を推進していきます。ICT部シニアマネージャーの池田様が掲げるミッションのキーワードは「縛られない安心」です。制約を強めるのではなく、現場が意識しなくてもセキュリティが担保されている世界を目指し、Cloudbaseを共通言語とした運用の積み重ねを続けていきます。

「Cloudbase」は、AWS・Microsoft Azure・Google Cloudといったパブリッククラウドを利用する際に発生する設定ミスや、サーバーやコンテナの脆弱性といった様々なクラウド上のリスクを、統合的に可視化し、対策項目の優先順位付けと実施・管理までを一貫して行うセキュリティプラットフォーム（CNAPP）です。スズキ、出光興産、キオクシアなど、日本を代表する多くの企業に利用されています。

A. パブリッククラウド上の設定ミスや脆弱性を可視化し、優先順位をつけて対策まで一貫して行う国産のセキュリティプラットフォームです。

A. 設定ミスのエビデンスが可視化されるため、ベンダーとの責任範囲が明確になり、チケットシステム上でやり取りすることで証跡管理も効率化します。

A. 現在はインフラ部門が中心ですが、今後はアプリケーション領域への横展開やAI基盤のセキュリティ担保にも活用を予定しています。

• https://cloudbase.ink/case/lotte
• https://cloudbase.ink/contact
• https://cloudbase.co.jp/

O!Productニュース編集部からのコメント

ベンダー任せで見えなかった設定ミスが月10件ペースで見つかるのは大きいですね。共通言語としてチケット管理まで一本化できるのも、運用効率の面で刺さりそうです。

引用元：PR TIMES