「うちのシステム、セキュリティ大丈夫?」
そのお悩みに、弊社が正直に向き合った話
今回はその取り組みを、できるだけ正直にご紹介します。「対応できていること」だけでなく、「まだできていないこと」もちゃんとお伝えするのが、企業ドクターとしての私たちのスタイルです。
お客様は業務システムの運用保守を弊社に委託しており、その中で社内のセキュリティ部門から「不正アクセス対策のガイドライン」が策定されました。そのガイドラインに対して、現在の対応状況を整理・報告してほしいというご依頼です。
対象となったガイドラインの「不正アクセスの定義」は、大きく以下の6項目でした。
| # | 不正アクセスの定義 |
|---|---|
| ① | 許可されていないIPアドレス・端末からのアクセス |
| ② | 異常なログイン試行(短時間での多数回失敗等) |
| ③ | システム管理者権限の不正利用 |
| ④ | マルウェア感染や外部への不審な通信 |
| ⑤ | 個人情報の流出リスクが生じた場合 |
| ⑥ | その他、通常業務では発生しない挙動 |
近年、サイバー攻撃の手口が高度化・多様化する中で、企業のセキュリティへの意識はこれまで以上に高まっています。弊社でも、運用保守をご支援しているお客様から「社内でガイドラインが整備されたので対応状況を確認したい」「どこが対応できていて、どこが不足しているか整理してほしい」といったご相談が増えています。
こうした背景もあり、今回の取り組みでは「現状を正直に整理する」ことを最初のステップとしました。アプリ側とAWSインフラ側に分けて、各定義への対応状況を丁寧に洗い出しています。
「AWSによる監視・検知は強力に機能しているが、アプリ・WAFによる自動防御・遮断は未実装の箇所が多い」
という状況でした。
・Security Hub経由でのアラート通知フロー
・CloudTrailによる全操作の監査ログ
・Amazon Inspectorによる脆弱性スキャン
・アプリ側の操作ログ90日保持
・ブルートフォース対策(アカウントロック等)
・セキュリティヘッダーの設定
・管理者による強制セッション無効化
・WAFによるレートリミット
現状を整理したら、次は改善提案です。未対応の項目をすべて一度に解決しようとするのではなく、リスクの高いものから優先順位をつけてご提案しました。
セキュリティ対応において大切なのは、「完璧な状態を目指す」ことよりも、「現状を正確に把握し、リスクの高いところから着実に対処する」ことだと感じています。
今回のように、お客様のガイドラインをベースに現状のギャップを整理し、優先順位をつけて改善提案するというアプローチは、セキュリティに限らずシステム運用全般に応用できます。
実はこの提案資料自体、AIアシスタント(Claude)を活用して作成しています。対応状況の整理から提案内容の構成、スライドのデザインまで、Claudeと対話しながら仕上げました。
従来であれば担当者が一から資料を作り込む必要がありましたが、AIを活用することで「考える時間」に集中しながら、資料作成のスピードと品質を同時に高めることができます。セキュリティ対応の支援に限らず、提案活動そのものをAIで効率化する——これも私たちが日々実践している取り組みのひとつです。
