パブリッククラウド環境の全社利用が進むソフトバンク
CSPM ソリューションとして「Cortex Cloud」を導入

国内大手通信事業者のソフトバンクは、全社で増え続けているクラウド利用のガバナンス維持とセキュリティ 強化を実現するために、パロアルトネットワークスのクラウドネイティブアプリケーション保護プラットフォーム 「Cortex Cloud」を導入した。CSPM（Cloud Security Posture Management）ソリューションに注目 した。同社は、クラウド環境の設定をチェックするだけでなく、適正でない設定を検知・自動修正できるCortex Cloudを選定。リスク評価にかかる時間を大幅に短縮し、クラウド利用のガバナンスとアジリティを両立させる 効果が得られたという。

ソフトバンクは、日本を代表する大手通信事業者の一社。2015年にソフトバンクモバイルから現社名へ商号を変更した。現在は“ソフトバンク”、“ワイモバイル”、“LINEMO（ラインモ）”という三つの携帯電話ブランドによる移動通信サービスをはじめ、長距離・国際電話を含む固定通信サービス、インターネット接続サービスを提供。移動通信領域では5G（第5世代移動通信システム）ネットワークを積極的に展開し、高速・大容量・高品質のデータ通信による新たなサービスやビジネスモデルの開発を推進している。

ソフトバンクではパブリッククラウドを利用した社内外向けのシステム基盤が増え続けている。しかし、事業部門主導のクラウド利用が増えるにつれてセキュリティリスクの懸念は日増しに高まり、社内システムを管理するIT部門の業務負荷が増大化するという課題に悩まされていた。

「クラウドにはビジネス部門が気軽に導入して利用を開始できるという利点がある ものの、部門毎に行うセキュリティ対策では十分とは言えないこともあります。また、 クラウドの利用状況を洗い出していくと、未使用の状態で契約だけが残されている 環境も存在するなど、セキュリティリスクの懸念が高まっていました。こうした状況は 全社的な課題と認識し、今後のセキュリティリスクを回避するためにもクラウド利用に ガバナンスを効かせて維持していくことが急務でした」（ソフトバンク テクノロジーユ ニット共通プラットフォーム開発本部 ITクラウド開発統括部 ITクラウドCoE部 ITク ラウドCoE課 課長 森川潤氏）

この課題を解決するために、ソフトバンク社内のクラウド利用を統括するIT部門では、人手を割いてクラウドの契約状況を調べたり、セキュリティリスクのチェックや評価を行ったりしていた。だが、多数のクラウド環境や設定を人力で確認するには限界があった。

「当社ではパブリッククラウドを含むITを安全に効率よく使用していくことを目的に、IT管理委員会が2022年に立ち上がりました。この組織を中心にビジネス部門やリスク管理部門と連携しながら、クラウド環境の適正な利用とガバナンスの維持を実現するための検討を開始しました」（森川氏）

クラウドのセキュリティガバナンス強化を目的に始動したプロジェクトでは、クラ ウドの設定状況やセキュリティリスクを効率的にチェックできるCSPM（Cloud Security Posture Management）ソリューションに注目。複数の候補を挙げ、ソ リューションの導入に向けた比較検討を行うことにした。

「ソリューションの導入を検討するにあたって最初に取り組んだのが、『実現した い要件』をまとめることでした。そのうえで、当社が利用しているAmazon Web Services（AWS）、Microsoft Azure、Google Cloud Platformなどのパブ リッククラウドの設定が適正かどうかをチェックできること、適正でない設定を検知・自 動修正する機能を備えていること、マルチクラウド環境にまたがったアプリケーション も一元的に管理できることを重視してソリューションの選定を進めました」（森川氏）

その結果、ソフトバンクが採用を決めたのが、パロアルトネットワークスのクラウドネ イティブアプリケーション保護プラットフォーム(CNAPP)「Cortex Cloud」だった。

「私たちが実現したい要件は120項目以上もありましたが、それらの必要な要件を 満たしているソリューションは、Cortex Cloudだけでした。とくに適正でない設定を 検知・修正する機能についてはCortex Cloudが当時最も柔軟に対応することがで き、これが採用の決め手になりました」（森川氏）

ソフトバンクがCortex CloudのPoC（概念実証）を実施したのは2022年9～10 月。ここでCortex Cloudを導入することに決定し、11月から翌2023年6月まで設 計・開発・テストを入念に行った。

「ソフトバンクのセキュリティ基準は非常に厳しく、ソリューション選定にあたって は設定の自由度が確保されている必要がありました。その点、Cortex Cloudでは RQL（Resource Query Language：Cortex Cloud独自のクエリー言語）を 使って詳細な条件の設定を作成できるので、厳しいセキュリティ基準にも柔軟に対 応できました。ただし、一部の設定はCortex Cloudだけで自動修正をすることが難 しく、その部分はパロアルトネットワークスの技術サポートの力を借りながら、内製で Cortex Cloudと連携し該当の設定を自動修正するアプリケーションを開発しまし た」（ソフトバンク テクノロジーユニット共通プラットフォーム開発本部 ITクラウド開 発統括部 ITクラウドCoE部 ITクラウドCoE課 椎葉健氏）

ソフトバンクがCortex Cloudの運用を開始したのは、2023年7月のこと。現 在までに同社が利用するすべてのパブリッククラウド環境に導入し、自社データセ ンターで稼働する一部のオンプレミスシステムにも適用範囲を広げているという。

「Cortex Cloudの運用を開始するにあたり、分かりやすい操作マニュアルを作成 してクラウドを利用するビジネス部門に配布しました。マニュアルに従って設定す れば、当社のセキュリティ基準に則ったガバナンスが効いた状態でクラウドを安全 に利用することができます。導入現場からの問い合わせについてはビデオ会議を 使って丁寧に応対しましたが、クラウドを利用するビジネス部門が導入に協力的 だったこともあり、スムーズに運用を開始することができました」（ソフトバンク テ クノロジーユニット共通プラットフォーム開発本部 ITクラウド開発統括部 ITクラ ウドCoE部 ITクラウドCoE課 豊田恭市氏）

Cortex Cloudの運用開始から1年以上が経過し、ソフトバンクではさまざま な導入効果を実感しているという。

「私たちIT部門にとって最も大きな効果は、人手で行っていたリスク評価の時 間を大幅に短縮できたことです。導入前は5～6名のメンバーが手分けをして各 クラウドの状況を手動で確認していましたが、対象のクラウドによっては設定の確 認からリスク評価のレポート作成までに1～2週間もかかることがありましたが、現 在はそれらの作業はすべてCortex Cloudに任せています。定量的な効果を測 定してみたところ、リスク評価にかかっていた時間は従来に比較して97.1％も削 減できています」（ソフトバンク テクノロジーユニット共通プラットフォーム開発本 部 ITクラウド開発統括部 ITクラウドCoE部 ITクラウドCoE課 斎藤真二氏）

「ほぼすべてのクラウド環境の設定をCortex Cloudでチェックするようになっ てから、新しいビジネスやサービスを安全・迅速・柔軟に立ち上げられるようになり、 ガバナンスとアジリティの両立が実現できたことを実感しています」（森川氏）

今回のCortex Cloudの導入は、ソフトバンク社内で利用されているクラウドのみ が対象となっているが、さらなる適用範囲拡大の構想もあるという。

「ソフトバンクでは今後もさらにクラウド利用が増加していくことが見込まれます が、今後も新しく追加されたクラウド環境にはCortex Cloudを適用しガバナンスを 効かせていきます。」（森川氏）

さらにその先には、ソフトバンクが蓄積したCortex Cloud導入・運用のノウハウや 知見を活かし、顧客へのソリューションサービス提供につなげていくことも思い描い ている。

「Cortex Cloudはまだまだ新しいソリューションであり、パロアルトネットワーク スに対しては当社からも機能改善・改修の要望を数多く上げています。それらの要望 にいち早く対応していただくことにより、当社のみならずクラウド環境のガバナンス 向上に取り組む多くの企業にとってより役立つソリューションになるものと期待して います」（椎葉氏）

包括的なCNAPPソリューションとして導入されることの多いCortex Cloudだ が、Cortex Cloudに搭載されたCSPM機能はクラウドのリスク対策としても十分 に活躍する。ソフトバンクの事例を参考に、自社のクラウド利用の安全性を高める取り 組みを進めてみてはいかがだろうか。

左から

• テクノロジーユニット共通プラットフォーム開発本部 ITクラウド開発統括部 ITクラウドCoE部 ITクラウドCoE課　椎葉 健 氏
• テクノロジーユニット共通プラットフォーム開発本部 ITクラウド開発統括部 ITクラウドCoE部 ITクラウドCoE課 課長　森川 潤 氏
• テクノロジーユニット共通プラットフォーム開発本部 ITクラウド開発統括部 ITクラウドCoE部 ITクラウドCoE課　豊田 恭市 氏
• テクノロジーユニット共通プラットフォーム開発本部 ITクラウド開発統括部 ITクラウドCoE部 ITクラウドCoE課　斎藤 真二 氏