ERPパッケージのマルチアカウント基盤をAWS Organizationsで構築 既存のユーザー企業のアカウントを移行しセキュリティとガバナンスを大幅に強化

プラントエンジニアリング大手の東洋エンジニアリングの経理部門を分社化し、2003年に設立されたティーエイアンドシー。同社が提供するERPパッケージ「Cloudia」は、海外の多くの拠点でプロジェクトを展開する東洋エンジニアリングの経理部門の実務経験をもとに開発された多言語・多通貨対応の統合業務システムです。同社の強みについて、コンサルティング事業部 事業部長の木村英一郎氏は次のように話します。

「当社の強みはCloudiaというソフトウェアの提供だけではなく、海外拠点での経理業務や日本側での外貨建て会計処理に関するコンサルティングサービスをセットで提供できる点にあります。Cloudiaは現在、建設業界のお客様に多くご採用いただいています。海外でプロジェクトを立ち上げるお客様のご要望にお応えして、クラウド（AWS）上でシステムを短期構築できるテンプレートをご用意し、2011年のリリース以来これまで、数多くの企業グループの海外拠点にて、40を超える国・地域でご利用いただいています」
こうしてユーザー企業を順調に増やしてきたCloudiaですが、これに伴っていくつかの課題も顕在化していました。コンサルティング事業部 事業部長代行の遠松良二氏は「これまでお客様単位でAWSアカウントを運用してきましたが、この環境ではメンテナンスの際にお客様ごとにアカウントを切り替えながら作業を行う必要があり、日々の運用業務が煩雑化していました」と振り返ります。

AWSアカウントの管理課題の解消に向けて、ティーエイアンドシーではさまざまな情報収集や技術検証を行いましたが、やはり自社のリソースでは限界があることから、サーバーワークスへの支援要請を決定し、AWS Organizationsによるマルチアカウントの統合管理基盤の構築に着手しました。
「内製でのマルチアカウント基盤の構築には大きな時間を要することに加えて、技術的な妥当性にも不安が残ります。サーバーワークスはAWSの最上位パートナーであるAWSプレミアティアサービスパートナーとして長年の実績があり、私たちの要望を確実に叶えていただけると考えました」（遠松氏）
2024年1月にスタートしたプロジェクトでは、要件定義を経て、まずAWS Organizationsを用いた開発環境を構築。同社のメンバーが実際の挙動を確認できる環境を用意しました。その後、AWS Organizationsによるマルチアカウント基盤のアーキテクチャ設計、組織（OU）設計、サービスコントロールポリシー（SCP）による権限設計、監査ログ設計などを進めていきました。
今回のプロジェクトのポイントは、Cloudiaが稼働する既存ユーザーのAWSアカウントを新たなマルチアカウント基盤の配下に統合することでした。AWS OrganizationsのSCPはOU単位で共通ルールが設定できる制御機能ですが、設定を誤ると提供中のサービスに影響を与える恐れがあります。そこで、細心の注意を払いながらチェックの手順を作成し、安全な移行体制を用意しました。
この他にも、エンドユーザーが接続する際のセキュリティ、管理者が接続する際のセキュリティ、AWS Security Hub CSPM、Amazon GuardDuty、Amazon Inspectorといったサービスの実装など、セキュリティ環境も大幅に強化しました。コンサルティング事業部の濱崎武徳氏は次のように話します。

「ユーザー接続時のセキュリティは、サーバーワークスの支援を受けてAWS Systems ManagerのSession Managerを活用し、AWS内ですべての接続が完結するようにしました。ユーザーの権限管理についてもアドバイスをもとに設計し、情報を保護する仕組みを確立しています。また社内の管理者が接続する際のセキュリティでも、管理者の負荷がかからない形でMFA認証後のロールを管理する方法をご提案いただくなど、AWSのベストプラクティスの知見を深めることができました」
既存ユーザーのAWSアカウントのマルチアカウント基盤への移行は、2024年11月から開始。現在、サービスに影響を与えることなく多数のアカウント移行を完了し、安定したサービス提供を続けています。
「お客様はCloudiaをこれまでと変わらず快適に利用できることを求めています。そこで、インフラ領域についてはサーバーワークスと共にサポートを続けていくことを丁寧に説明し、ご理解をいただくことができました」（木村氏）

プロジェクトの成果としては、アカウント統合によるセキュリティとガバナンスの強化と、運用管理者の負荷軽減が挙げられます。
「これまでは個別のアカウントごとにセキュリティを設定していましたが、すべてのアカウントをAWS Organizationsの配下に置くことで共通のルールで管理できるようになりました。また、AWS環境全体のセキュリティを一元管理するAWS Security Hubによって、状況の監視と必要に応じた対応の手間も削減しています」（濱崎氏）
同様に遠松氏も「管理者の工数は全体で3割程度の削減を見込んでいます。それ以上に大きいのは、アカウントの運用手順が共通化されたことです。手作業で作成していた作業証跡の多くは、統合管理されたログなどから誰が作業しても同じレベルの記録が残せるようになり、手順や記録の統一化を図ることができました」と手応えを話します。
サーバーワークスの支援については、適切なアドバイスや内製化に向けた伴走支援によって、短期間でのアカウント統合につながったことを評価しているといいます。
「今回のプロジェクトにおいて、サーバーワークスのコンサルティング支援によって短期間でマルチアカウント基盤を構築し、お客様に安心してCloudiaをご利用いただくための基盤の信頼性を高めることができた点は大きな成果です」（木村氏）

今後については、サーバーワークスのAWS運用最適化サービス（CSM）による技術支援を受けながら、既存ユーザーのアカウント移行を継続していきます。それと同時に、移行完了後のマルチアカウント基盤におけるAWS Security Hubの運用やWAFの有効化などにも取り組み、よりセキュアな環境を整備していく方針です。サーバーワークスに対しては、今後もユーザー企業のニーズにあわせた新たな技術提供に大きな期待を寄せています。
「今回はマルチアカウント基盤の構築でご支援いただきましたが、お客様のニーズやAWSのサービスはこれからも変化していきます。Cloudiaのサービス基盤のブラッシュアップは私たちの継続的なミッションですので、サーバーワークスには引き続きAWSの専門家としての手厚いご支援をお願いしたいと考えています」（遠松氏）