弊社が掲げる新成長戦略「TOP I 2030」は、「世界最高水準の創薬の実現」と「先進的事業モデルの構築」を二つの柱としており、これらを実現するキードライバーの一つがDXです。また、DXに関しては「CHUGAI DIGITAL VISION 2030」として、3つの基本戦略を設定しています。

1.    デジタル基盤の強化
2.    すべてのバリューチェーン効率化
3.    デジタルを活用した革新的な新薬創出

私が所属するデジタル戦略推進部のミッションは、ビジネス×デジタルで新しい価値創造をリードすることです。バリューチェーンに対応する各部門と連携をとりながらデジタル戦略の立案や協業プロジェクトの推進を担当しています。
システム開発についてお話ししますと、弊社では従来はパートナー企業にシステム開発・運用を外注することがほとんどだったのですが、2019年に設立されたデジタル戦略推進部ではアジャイルな内製開発により、クイックにサービスを提供し、価値検証して良いものであれば社内の業務に展開する取り組みを推進しています。社外からもデジタル人財を積極的に採用しており、現在は50名程のチームになりました。

導入前の課題

内製開発をスタートしてしばらくは、エンジニアが数名だったこともあり体系立ったセキュリティ対策を実施できていませんでした。

限られたリソースの中で開発に集中する必要があったので、仕方ない事だと思ってはいましたが、2023年からリスクが高い領域に対しては何らかの施策を導入しなければならないと考え、以下の2つの項目を最優先事項に設定しました。

・CI/CDにビルトインしたセキュリティ検査ツールの導入
・ CSPM領域の製品導入

弊社は患者様の情報を取り扱うシステムを内製開発することがあります。昨今はクラウドの設定ミスで情報漏洩してしまうケースが増えており、リスクが高いという認識を持っていました。患者様のデータを漏洩してしまうことは決してあってはなりません。これは開発手法がウォーターフォールでもアジャイルでも関係ありません。

そんな時、Cloudbaseと出会い機能評価をさせていただきました。結果的に以下の3つのポイントが決め手となり、導入を決めました。

1.    リスク検出の性能が十分あり、ダッシュボード上で各種コンプライアンスの準拠が明示されるため、導入根拠として社内への説明がしやすかった点

2.    重要なリスク情報に絞って提示されるため、エンジニアにとって必要なアクションがわかりやすい点

3.    日本語UIとサポート

活用方法

内製開発を行っている部分にCloudbaseを適用し、DevSecOpsを構築してリスク管理を実施しています。開発が後工程に進むにつれ、セキュリティリスクを修正するコストは大きくなります。この課題を解決するため可能な限り前工程でリスクを検出することで、開発コストの低減が叶いました。

本来行うべき開発に集中するために、DevSecOpsによるリスク管理が我々にとっては非常に重要です。

Cloudbaseを利用しない場合は、クラウドの設定ミスをS3やEC2、各セキュリティグループを目検で確認することになりますが、網羅的な把握は難しくなります。

導入後の効果

Cloudbaseを利用していなかった頃、インフラのセキュリティリスクの検知・評価はエンジニア個人の勘や経験をもとにしたものになりがちでした。

今では誰もが一定の品質で網羅的に検査できるようになり、エンジニアの負荷が軽減しただけでなく、属人性を大きく減らせました。

また、Cloudbaseは「どのように修正すべきか」を日本語でわかりやすく提示してくれます。それらを見ながらエンジニアチームで定期的にディスカッションすることで、単なるリスク低減にとどまらず、セキュリティの観点でどのようにインフラを設計・設定すれば良いかベストプラクティスを学習できています。

そのおかげもあって、これまで私たちが内製開発したシステムではインシデントが発生していません。

また、セキュリティ対応に費やすエンジニアの工数が軽減された結果、本来のアプリ開発、つまりビジネス上の価値を実現する機能実装や改善により集中できるようになったことも、導入効果の一つと考えています。

今後の展望

現在、Cloudbaseに習熟しているのは私を含めまだ少数のエンジニアです。

今後はどのエンジニアでも開発したシステムに対してCloudbaseを導入し、検出結果を理解し、DevSecOpsの運用を自分たちで回せるようにナレッジトランスファーを推進していきます。

そして弊社の内製開発を支える中心的なソリューションの一つに位置付けたいと考えています。

2024/04/26掲載

※インタビュー内容、役職、所属は取材当時のものです。