キオクシアはどう答えた？ 経営層の「クラウドは安全か」に備える常時監視の実像：脱・属人化で実現するマルチクラウド管理

マルチクラウドへの移行に際しては、設定ミスによる情報漏えいリスクに注意が必要だ。初期構築時のルールが形骸化し、運用が属人化する中で、キオクシアが実現した客観的なデータに基づく常時監視の仕組みとは。

[CaseHub.News，TechTargetジャパン]

　「クラウドサービスに移行すれば、オンプレミスシステムの運用から解放されて楽になる」という期待は、システムが本番稼働した瞬間に裏切られる場合がある。ブラックボックス化しやすいクラウドサービス運用において、近年特に課題になっているのが、「Amazon Web Services」（AWS）や「Microsoft Azure」といったクラウドサービスを複数併用する「マルチクラウド」化に起因する、運用の複雑化だ。ベンダーごとに異なるセキュリティの作法や設定項目を横断して管理することは、IT部門にとって想像以上の重荷になる。

　特に問題になるのが、担当者の異動や日々の運用の中で生じる「設定ミス」だ。相次いで報じられるクラウドサービスからの情報漏えい事故は、決して対岸の火事ではない。たった1つのポート開放ミスが、企業の存続を揺るがすインシデントに直結しかねないからだ。

　キオクシア（旧東芝メモリ）も、東芝からの分社化に伴ってAWSやMicrosoft Azureなどのクラウドインフラを既存システムから切り離し、自前で運用する体制に移行した際、これらの課題に直面した。クラウドインフラの構築時におけるセキュリティ要件の定義やチェック体制は進めていたものの、本番稼働後の設定や運用状態を継続的かつ客観的に評価する仕組みがなかったのだ。

　特定の担当者の経験や暗黙知に依存した運用では、経営層からの「クラウドを使って本当に大丈夫なのか」という根源的な問いに対して、確証を持って答えることはできない。キオクシアはいかにしてこの課題を乗り越え、少数精鋭でマルチクラウドを常時監視できる強固なガバナンス体制を築き上げたのか。

“監視の死角”をどう解消したか

併せて読みたいお薦め記事

クラウドサービス管理の効率化

• 面倒なクラウド管理はAIを使うとどう「楽」で「安全」になるのか
• クラウド標準監視ツールでは負荷が増える？　IT部門を本当に楽にする方法は

　キオクシアは、マルチクラウド環境の継続的な設定監査とガバナンス強化を目的に、クラウドセキュリティ態勢管理（CSPM）ツール「Cloudbase」を採用した。2026年6月1日、同ツールを提供するCloudbase社が発表した。2024年9月に本格運用を開始しており、少人数で常時監視を継続できる体制を構築している。監視結果に基づく定量／定性データを示すことで、経営層や社内に対してクラウドインフラの安全性を客観的に説明しやすくする狙いがある。

　キオクシアは2017年4月に東芝のメモリ事業を分社化して設立されたフラッシュメモリ・SSDの製造大手だ。分社化に伴い、AWSやMicrosoft Azureなどのクラウドインフラを既存インフラから切り離し、自社で運用する体制に移行する必要が生じた。構築初期でのセキュリティ設計は進めていたものの、本番稼働後の設定や運用状態を継続的かつ客観的に評価する仕組みがなく、ルールやガイドラインの順守状況を把握し続けられるかどうかが課題となっていた。クラウドサービスの設定ミスに起因する情報セキュリティ事故が多発していたことも、クラウドインフラを常時監視する必要性を意識するきっかけになった。

　ツールの選定に当たっては、複数の製品を比較検討した。その中で、管理画面から検出内容、対処方法までを日本語で確認できる点を評価した。検出内容は日本語だが解決策は英語で表示される製品もある中、Cloudbaseでは一連の情報を日本語で参照でき、翻訳作業の負担が少ない点が実運用上の決め手となった。複数のクラウドサービスを横断して一元的に管理できるマルチクラウド管理機能は、AWSやMicrosoft Azureなど複数のクラウドサービスを利用しているキオクシアの状況に適合していた。

　運用プロセスの面では、ツール導入を機にセキュリティ部門とIT推進部門の役割分担と連携方法を明確化した。従来は両部門間での情報共有が属人的になりがちだったが、同じダッシュボードやレポートを共有することで、セキュリティ部門がリスクの優先度や対応方針を判断し、IT推進部門が具体的な設定変更や是正対応を実施する流れを整理した。専用線や閉域網を多用する自社のネットワーク構成に合わせて監査ポリシーを精査し、実態として問題とは言えないアラートをノイズとして減らすことで、対処が必要なアラートに集中できるようにしている。

　導入から約1年が経過した段階では、集中的な是正対応の結果として、検出されるリスクの件数は当初から減少している。継続的な監査結果を指標として示せるようになったことで、「常時監視が実施されていること」を経営層に対して定量的に説明しやすくなった。これまで特定の担当者の経験や暗黙知に依存していた部分についても、ツールから提示される具体的な指摘内容や推奨設定をもとに作業手順を標準化できるようになり、担当者の交代時にも引き継ぎが容易になった。

　今後は、検出した設定不備やリスクに対して、より自動的に対処する仕組みの導入に関心を高めている。現在は主にIaaS（Infrastructure as a Service）の設定監査を中心としているが、SaaS（Software as a Service）も含めて監視対象を広げていく計画だ。

　キオクシア　サイバーセキュリティセンター　グループ長の戸川慎也氏は、「オンプレミスインフラを前提としたシステム運用が長く続いてきた同社において、クラウドサービスの利用が拡大した際に経営層から安全性に関する問いが多く寄せられた」と振り返る。Cloudbaseの導入後は、自部門の説明だけではなく、ツールによる評価結果を示すことで常時監視の状況を客観的に説明できるようになったという。「特権アカウントの設定不備なども具体的な指摘として挙がるため、対処すべきリスクを明確にしやすくなり、『どこから手を付けるべきか』が分かりやすくなった」と述べる。

（※）この記事は本多和幸氏と谷川耕一氏によるIT事例メディア「CaseHUB.News」に掲載された「キオクシア、マルチクラウドの常時監視体制を整備」（2026年6月2日）を、TechTargetジャパン編集部で一部編集し、転載したものです。