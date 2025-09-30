薬局「アイン薬局」コスメティックストア「AINZ&TULPE（アインズ&トルペ）」、インテリアショップ「Francfranc（フランフラン）」などを全国で約1600店舗展開する株式会社アインホールディングス（以下、アイングループ）が、クラウドセキュリティを強化した。同社ではAWSを活用して、「いつでもアイン薬局アプリ」やPOS・MDシステム、統合データベースなどを構築、運用しているが、事業拡大とともにシステムやサービスが複雑化し、より高度で包括的なセキュリティ管理体制の構築が求められるようになった。そんななか採用したのが、パブリッククラウド環境フルマネージドセキュリティサービス「CloudFastener（クラウドファスナー）」だ。24時間365日のシステム監視や、脅威アラートへの対応、設定不備の発見、クラウド環境の脅威分析など、クラウドセキュリティ運用全体を包括的にカバーし、重要情報の保護とさらなる事業成長を支えるセキュリティの要として活用している。

薬局やコスメティックストア、インテリアショップなどを全国で約1600店舗展開、AWSをフル活用

北海道札幌市で1969年に創業し、薬局「アイン薬局」を中心としたファーマシー事業と、コスメティックストア「アインズ＆トルペ」、インテリアショップ「Francfranc」を中心としたリテール事業を展開するアイングループ。店舗数は2025年4月時点で調剤薬局が1,290店舗、コスメティックストアが95店舗、インテリアショップが165店舗に達し、売上高は4,568億円、従業員数1万8,300人に上る、25年連続増収の成長企業だ。

アイングループが事業の成長とともに注力してきたのがクラウド活用だ。2022年から社内システムをAWSに移行する取り組みを本格化させ、これまでに「いつでもアイン薬局アプリ」、POSやMDを中心とした基幹業務システム、可視化や分析のための統合データベース基盤などのクラウド化を進めてきた。

アイングループのシステム基盤の構成とクラウド移行の戦略について、デジタル推進本部の李 玉嬌 氏はこう話す。

アインホールディングス デジタル推進本部 情報システム部 マネジャー

李 玉嬌 氏

「オンプレミスやクラウドで運用しているさまざまな社内システムを原則としてAWSクラウドに1本化する方針です。当初はクラウド利用やインフラ構築のガイドラインの策定、Amazon EC2やAmazon RDSといった基本サービスの利用からスタートし、徐々にサーバーレスやマネージドサービスへの移行を進めてきました。2024年時点でシステム数は15以上、利用しているAWSサービスの数は40を超えていて、ほとんどすべてのシステムをクラウドに移行しました。インフラ基盤のうちAWS担当は当初私1人でしたが、現在は15名でAWSサポートチームを構成しています。インフラ構築のほか、社内向けサポート、社内向けコンサルティング、他クラウドからの移行支援などを行っています」(李 氏)

いま注力しているのは、アイン公式アプリの拡充と顧客満足度の向上、統合データベースによるデータドリブン経営の推進、AI生成の活用による業務効率化などだという。

「生成AIについては、AWSが提供するGenUというAIアプリケーションサンプルをベースに、私たちが閉域化開発したシステムを活用して、社員のアイデア出しや議事録作成に利用できるサービスを提供していきます。このように事業が成長し、社員やサービスが増えるなか、AWSサービスの利用も拡大している状況です」(李 氏)

AWSの利用が拡大するなか、セキュリティ管理が大きな課題に

AWSの利用が増えるにともない、課題になってきたのがセキュリティ管理だ。薬局として処方箋などの医療情報を取り扱うため、非常に高いセキュリティレベルが求められる。

「私は前職のメーカーで生産技術を担当していて、AWSもクラウドセキュリティも初めて接する技術でした。AWSが提供する管理系サービスやマネージドサービスを活用してセキュリティを担保してきましたが、2022年頃からAWSの利用が拡大していくなかで、セキュリティの専門的な知識が必要だと痛感するようになりました。とくに医療情報は、個人情報のなかでも最上位のランクに位置しています。医療情報を適切に扱い、事故を確実に防ぐためにはインフラ管理と異なる専門的な知識やノウハウが不可欠でした」(李 氏)

近年のセキュリティ事故は、アプリの脆弱性を突くようなサイバー攻撃だけでなく、インフラの設定不備や管理不足から生じる情報漏えいなども多い。また、管理対象が増えるにつれ、管理する人員やスキル、かけられる工数も課題になっている。

「セキュリティ事故につながりかねない情報については、異常を検知してアラートが届く仕組みを作っていました。アラートの内容は多種多様で、毎回内容が異なります。その都度、アプリチームやパッケージベンダーに改修を依頼したり、影響を確認して経営層や社外のステークホルダーに適切に報告したりする必要があります。これまではAWSチームが持ち回りでそうした業務を担当していましたが、アラート対応だけで1日に1人最低2時間はかかるなど、大きな負担になっていました。緊急アラートへの対応は24時間体制が必要なため、メンバー全員が既存のセキュリティ管理に課題を感じていたのです。」(李 氏)

そんなとき出会ったものがサイバーセキュリティクラウド（以下、CSC）のパブリッククラウド環境フルマネージドセキュリティサービス「CloudFastener」だった。きっかけは、2024年6月に開催された「AWS Summit Japan」への参加だったという。

20以上のAWSアカウントをCloudFastenerへ移行、管理のあり方が激変

AWS Summitでは、CSCが「AWS環境のセキュリティ対策をもっと簡単に！工数を削減しながらセキュリティを強化する術」と題したセッションとブース展示を行なっていた。

「いま抱えている課題を解決してくれるものと期待してセッションに参加しましたが、非常に感動しました。イベントにはチームメンバーも参加していて、驚いたことにその場にいた全員がCSCのセッションを聴講し、私と同じくらい興奮していました。そのくらいセキュリティはチーム全体の共通課題だったのです」(李 氏)

すぐにCloudFastenerの早期導入を会社に提案し、AWS Summitの2週間後には導入が正式決定された。CloudFastenerを利用すると、AWS環境における包括的なセキュリティ管理と運用が実現できる。具体的には、クラウド資産の洗い出し、セキュリティリスクの可視化、OSやソフトウェアの脆弱性や設定ミスの確認、クラウド環境の脅威を収集・分析などのサービスが提供される。

「システム監視は24時間365日行われ、セキュリティの専門家がリスクのトリアージやセキュリティアラートの処置と対処までを行ってくれます。当社では、医療情報については原則として国内リージョンを使用すると決めています。情報管理についても厳密なポリシーで運用する決まりです。CloudFastenerはセキュリティ専門家によるフルマネージドサービスで提供する利便性はもちろん、そうした厳しい基準をクリアしていることも採用のポイントでした。既存システムのアカウントをそのまま利用するサービスのため、エージェントの導入やシステム改修も一切なく簡単に導入することができました」(李 氏)

導入は2024年11月からスタートし、システムごとに異なる20以上のAWSアカウント(アイン公式アプリで4アカウント、統合データベースで3アカウントなど)をCloudFastener管理へと移行した。

「非常に助かっているのは、当初想定していなかった業務までカバーしてくれていることです。たとえばアラート対応では、アプリに改修が必要になったり、AWSやソフトウェアベンダーに報告する必要になったときに、私たちに代わって連絡や折衝まで行ってくれたりしています。導入前後におけるセキュリティ管理は激変したといえるでしょう」(李 氏)

CloudFastenerのサポートを受けながら、全社的なセキュリティガバナンスを強化

実際の導入効果としては、まずセキュリティ管理の工数削減がある。1日1人2時間かかっていた作業は不要になり、セキュリティリスクの解析や報告にかかる時間も節約できるようになった。24時間体制で緊急アラートに備える心理的な負担もなくなった。

李 氏は、「単に業務を効率化しただけでなく、専門家によるしっかりした分析と対応により、セキュリティが大幅に強化されたことがポイントです。」と振り返る一方、「CloudFastenerのセキュリティエンジニアが明確に根拠を示して説明してくれるので、アプリチームやパッケージベンダーとのコミュニケーションが非常にスムーズになりました」と対応品質の向上を評価する。

また、工数削減による本来業務に集中できるようになった効果も大きいという。

「インフラチームとして、アプリチームやパッケージベンダーと本来話したいのは、開発する機能やサービスに対してどのようなインフラを提供するかといった議論です。開発者の利便性向上やアジャイルの推進、マイクロサービスへの移行などさまざまなテーマがありますが、セキュリティ領域をCloudFastenerが担ってくれるため、インフラチームとしてそうした本来の取り組みがしやすくなりました」(李 氏)

さらに李 氏は、「CloudFastenerのサポートを受けることで、長らく実現できずにいたセキュリティ体制の強化に取り組むことが可能になりました。また、セキュリティ体制を企業全体で強化するためには、各種ガイドラインやフレームワークに沿った全社的なガバナンスを整えていくこと重要です。CloudFastenerは、NIST(米国立標準技術研究所)のサイバーセキュリティフレームワーク(CSF V2.0)にも対応しており、そうした全社ガバナンスの構築と徹底にも役立っています」と、企業としてのセキュリティ体制の強化にも貢献していると手ごたえを口にする。

フレームワークに則した本導入の強化ポイント

サポート体制としては、CloudFastenerのテクニカルアカウントマネジャー(TAM)と週1回の定例ミーティングやチャットツールによる常時サポートを受け、要望や課題を整理しながら、現状の課題解決や将来的なサービス改善を進めていくというものだ。現在は、CloudFastenerのセキュリティ専門家から知識やナレッジを学びながら、社内での人材育成やスキルの向上にも務めているという。李 氏は、導入からここまでを振り返り次のように成果を語る。

「新サービス立ち上げのときなど、セキュリティ要件を整えるケースも増えています。運用だけでなく、サービスの構築時からセキュリティを組み込み、お客さまに安心してサービスを使っていただく体制を築くことができています」(李 氏)

