AWS Organizations導入の事例
AWS Organizationsを導入し、ガバナンス・セキュリティ向上と管理工数削減を実現しました。

- 社内システム事例
2021.01.26 掲載
AWS Organizatios導入の経緯、評価、導入効果について、横河電機株式会社デジタル戦略本部グローバルインフラ・セキュリティセンターインフラマネジメント部クラウド推進課 課長 二木 隆夫氏、村松 謙氏に詳しく伺いました。

横河電機株式会社様
日本を代表する工業計器・プロセス制御メーカー。YOKOGAWAグループ会社とともに、計測、制御、情報の技術を軸に最先端の製品やソリューションを提供し、産業界はもとより、豊かな人間社会の実現に貢献しています。創立1915年(大正4年)、売上高4,044億円、従業員数約18,000名(いずれも2019年度の連結の数字)。
- ※この事例に記述した数字・事実はすべて、事例取材当時に発表されていた事実に基づきます。数字の一部は概数、およその数で記述しています。
目次
導入の概要
横河電機ではAWS Organizationsを活用することで、同社のポリシーに基づいたセキュリティのガードレールを構築し、セキュリティを担保しつつAWSユーザーに自由度の高い権限を与えることができるようになりました。ユーザーの設定ミスなどを迅速に検知して改善してからAWS環境の利用ができるようにするサイクルを自動化し、安全性を担保しながらより柔軟にAWS環境を利用することが可能となったのです。
導入の経緯
横河電機株式会社は計測、制御、情報の技術を軸としさまざまな製品、サービスをグローバル展開しています。ビジネスを迅速にグローバルに展開するため、横河電機ではクラウドの利用を推進しています。既にさまざまなITシステムのプラットフォームに、各種AWSのサービスが活用されています。
AWSのサービスを自由に組み合わせて使えば、便利で使い勝手の良いクラウド環境が手に入ります。しかし、自由度のある権限をユーザーに渡してしまうと、アクセス制御の設定ミスなどで情報漏洩の懸念もあります。ユーザーの自由度を高めてしまうと、万が一情報漏洩につながるような事故が発生しても、運用管理側がすぐに対処できない可能性があります。
これまでは、安全性確保のためにユーザーがAWSのサービスを自由に組み合わせて使えないよう制限してきました。情報システム部門であらかじめ必要なセキュリティ設定を施してから、AWS環境を払い出すようにしてきたのです。以前はAWSアカウントの運用はほぼ1つで問題なく運用できていましたが、ビジネス用途やPoCの増加に伴いAWSアカウントの数が増え、1年間で約30を超える新たなAWSアカウントが払い出されていました。そのため、2019年頃からはアカウント払い出しに伴う環境設定やセキュリティ要件の調査、各種アカウントの監査が大きな負担となっていました。
横河電機のセキュリティ方針は、安全側に大きく振ったものでした。個別のAWSアカウント毎に、許可する権限内容のホワイトリストを用意し、利用できることを最低限に絞る制限を行ってきたのです。制限を超える範囲のAWSのサービスを使いたいときは管理者に相談して個別に対応してもらう必要があるのですが、対応完了までにはかなりの時間がかかります。
そうした不便さを解消するため、これまでと同様な安全性を担保しつつ、ユーザーがよりAWSを自由に使えるようにしたいと考えました。この時活用できると考えたのが、AWSリソースの増加やスケーリングに合わせ環境を一元的に管理し統制できるAWS Organizationsだったのです。
AWS Organizationsを選んだ理由
2019年からAWS Organizations利用の検討を開始し、以前からAWS環境の導入、運用をサポートしていたサーバーワークスにも相談しました。横河電機のAWS利用状況を把握しているサーバーワークスと協議した結果、今後のAWS利用の拡大を考慮すれば、AWS Organizationsは有用であり、安全性を担保したままユーザーの自由度を上げられると判断し導入を決めました。
導入検討段階で懸念となったのが、AWS Organizationsを使うことでAWSアカウントの払い出しにどれくらい影響が出るかでした。この影響度合いについては、サーバーワークスに調査を依頼し、調査結果を踏まえ、AWS Organizationsを使った場合の運用管理の設計、AWS環境全体の管理方針の見直しを実施しました。横河電機のセキュリティポリシーに則ってこういった使い方をしたいという要望を仕様書にし、サーバーワークスに提示しました。
セキュリティポリシーの内容は、横河電機でポリシー化されている内容や、これまでの運用経験を踏まえたアンチパターンをベースに検討しました。また、AWSから提供されているガードレールリファレンスも参考にして取り入れました。
導入時いちばん時間をかけたのはユーザーの整備でした。数百人規模のユーザーの棚卸しを実施し、認証用アカウントを別途作成してログイン方法の変更も行いました。ただ、導入作業は大きなトラブルもなく粛々と進み、当初の予定通り2ヶ月間ほどの期間でAWS Organizationsの本番運用に至っています。
導入後の効果

導入後はAWS Organizationsの全体管理の中で権限を管理できるようになりました。
AWSの環境全体としては、AWS Organizationsで横河電機のポリシーやこれまでの運用経験で培ったノウハウ、AWSから提示されているベストプラクティスに沿ったセキュリティのガードレールを作ることができました。ユーザーにはある程度自由な権限を与え、ガードレールから逸脱しないような制御を実現できています。導入後は、ユーザーに管理者権限を渡せるようにもなりました。
AWS利用状況の監視も、想定通りに実現されています。セキュリティ上問題となりそうな設定などを検知し、それを改善して安全に利用できるようにする。改善した環境で運用を再開し、再び監視する。このサイクルが機能するようになり、設定ミスやAWS環境でやってはならないことを、AWS Organizationsから一元管理できるようになったのです。そしてこれまでAWS環境を新たに払い出す際行っていた、1時間ほどかかるセキュリティ設定のための作業は一切必要なくなりました。
サーバーワークスへの評価
サーバーワークスは、AWS Organizations導入プロジェクトを進める上で、さまざまなことを相談できる信頼できる存在でした。AWS Organizationsは利用経験のないサービスであり、分からないことも多かったのですが、サーバーワークスがチーム体制でサポートしてくれたため、安心して進めることができました。
サーバーワークスにはさまざまな領域のスペシャリストがいます。AWSインフラの専門家で長く横河電機の環境を見てくれているエンジニアからは、既存環境を加味した提案をしてもらえます。またAWS Organizationsについて熟知しているエンジニアは、質問に対していつも素早く回答してくれます。
さらにアプリケーション周りや他のサービスとのインテグレーションに強いエンジニアもいます。ネットワークに精通したエンジニアが我々のネットワークスペシャリストとやり取りしている様子を目の当たりにして、サーバーワークスなら安心して任せられると改めて感じました。
AWSのことはもちろん、AWSと他製品やサービスとのインテグレーションについてもアドバイスをしてくれる点も評価しています。そしてフロントで直接対応してくれる人はもちろん、バックにもスペシャリストがいて、チーム体制によるしっかりとした対応が期待できます。
今後の展開/サーバーワークスへのリクエスト
横河電機では、クラウド利用のさらなる拡大が予測されます。今回はAWS Organizationsを中心としたガバナンス・セキュリティ機能を導入し、横河のAWS環境にセキュリティのガードレールを実現しました。これにより、ビジネスを阻害しないよう、開発チームと協力して高いセキュリティレベルを実現したサービスの提供に向けて取り組んでいけていることを実感しています。
他にもAWS Single Sign-Onを使用した認証機能の統合やセキュリティ検知・修復の効率化など、ガバナンス・セキュリティの観点で様々な改善を進めていきたいと考えています。そのためサーバーワークスには、今後も引き続きのサポートを期待しています。
AWS導入・活用に関するご相談はサーバーワークスへ
関連する導入事例
-
Amazon QuickSightで新たなBI環境を構築し、データドリブン経営を強化ダッシュボード上で可視化されたデータによるマネジメント層の高度な意思決定が実現
「データドリブン経営を強化していく上で、既存のBIツールにはないAmazon QuickSightの使い勝手の良さは魅力的でした。利用時間に応じた従量課金に対応していることも評価ポイントになりました」
2023.11.28 掲載
-
PCI DSSに準拠したBNPL(※)決済サービスのシステムをAWS環境で構築、サーバーワークスの支援を受けて、スピード感を持ったプロジェクト推進を実現
PCI DSSのノウハウを有するサーバーワークスのAWS構築・移行支援サービスを採用して、B to C向けスマホ活用型後払い決済サービスのシステムをAWS環境で新規構築。システムの設計から構築、実装までを含めたトータルでの支援を受けたことで、準拠のための監査もスムーズにクリアしています。
2023.10.11 掲載
-
気象データ解析用システムの基盤としてAWSを初導入、柔軟な計算パワーと大容量ストレージを獲得し、構築作業の一部を自社で担うことで約1か月での環境構築を実現
サーバーワークスのAWS構築・移行支援サービスを採用して、自社初のAWS環境を構築し、顧客ニーズに応えるために必要となる柔軟な計算パワーと大容量ストレージを獲得。またセルフオーダーオプションを採用して構築作業の一部を自社で担うことで、約1か月でのカットオーバーを実現しました。本番環境の稼働開始後にはAWS運用代行・監視サービスも利用して、AWS環境の安心・安全な運用を担保しています。
2023.05.24 掲載
-
研究開発用システムの基盤としてAWSを初採用、ITパートナーとしてサーバーワークスを選定し、2つの実験用システムのPoCを実施、実験数は3分の1にまで激減
サーバーワークスのアドバイザリー契約とAWS構築・移行支援サービスを採用して、初めて導入するAWSを基盤に2つの実験用システムのPoCを実施。コンテナ向けサーバーレスコンピューティングサービスのAWS Fargateなどを活用してスピード感のあるPoCを実現、実験数は実に3分の1にまで激減しています。
2023.05.10 掲載
-
情報セキュリティ対策強化のために3つの AWS サービスを追加導入、アラート発生時の迅速な原因究明と対策検討を実現し、万一の緊急事態発生時にも2~3時間で復旧可能な体制を確立
サーバーワークスの AWS 構築・移行支援サービスを採用して、グループ全体のITインフラとなっている AWS 環境に、脅威の検知/レポート/フィルタリングを支援する AWS サービスを追加導入。原因究明と対策検討の時間を大幅に短縮し、対応・運用に当たる人的コストも劇的に低減しています。
2023.02.01 掲載
-
メインフレーム上の基幹システムをAWSに移行し、柔軟性に優れた事業基盤を再構築インフラを含めたTCOも3分の2に削減
「基幹システムのクラウド移行によって、ピーク時に合わせて柔軟にリソースを拡張できるようになり、保守担当者の負荷は大幅に軽減しました。今後もサーバーワークスとのパートナーシップを通じて、AWSへの投資価値を高めていく考えです」
2022.12.21 掲載