2023年9月1日、トヨタ自動車とAmazon Web Services (以下、AWS)は合同イベント「Toyota × AWS Cloud Day」を開催しました。その中のセッションのひとつが、先進データサイエンス統括部DS基盤開発室所属の古賀野が行った「TOROプラットフォームを基盤としたRFID資産管理システムの構築」です。セッションの様子をご紹介します。
RFID資産管理システムの構築により、年間45%の棚卸業務の工数を削減
PCや工具などの社内資産を管理する上で大切なのは、棚卸業務です。社内に定められた数量があり、価値ある状態かを定期的に調べます。
しかし、数が多い上に手作業で行うため、時間がかかっていたのがこれまでの実態。そこでRFIDによる業務効率化を推進したのが、古賀野です。本講演は、その実施の背景やRFIDとは何か、という説明からスタートしました。
「そもそもRFID(Radio Frequency Identification)とは、電波を使い無線でデータを読み取ることで、モノの識別や管理ができるシステムのこと。スマートフォンに取り付けたRFIDリーダで、資産に貼り付けたRFIDタグの電波を読み取れば、社内の管理場所にその資産があるのかないのかを確認できます。
トヨタでも全社で定期的に棚卸を実施しますが、時間も人も多く必要とします。というのも、社外に貸し出す資産が多かったり、それを紙面やエクセルで管理していたために集計作業にも工数がかかったり……。
そこで、RFIDリーダによって資産の有無をシステムで確認できる仕組みにし、棚卸やそもそもの貸出と管理の工数自体を効率化できないかと考えました。RFIDを使えば資産の移動や貸出の記録も一元管理できる上、人為的なミスも発生しにくい。システムで大幅に効率化できると思ったのです」
こうしてRFID資産管理システムを構築。QRスキャンとRFIDスキャンの2つの管理方法を取り入れました。
「QRスキャンは現物についているコードをカメラで読み取るため、実物を目視確認したという記録になります。一方、RFIDスキャンは遮蔽物越しでも電波でタグを確認できるため、一つひとつを目視する必要がありません。資産が管理場所に存在しているか否かが記録となります。
このシステムによって、従来の紙やエクセルで管理をしていたころは、年間30時間かかっていた棚卸の作業が、17時間で済むようになりました。年間45%の工数を低減できたので、ユーザー部署の方は喜んでくれています」
TOROプラットフォーム移設時にセキュリティを高めるため、AWSアカウントを2つに
およそ半分もの工数削減に寄与するRFIDのシステム。TOROプラットフォームに移設しての実装でした。
そもそもTOROプラットフォーム(TOyota Reliable Observatory/Orchestration Platform)とは、CCoE(Cloud Center of Excellence)が提供するプラットフォームの総称のこと。
トヨタの開発者が安心して使えるクラウド利用環境を整えるため、2022年4月から本格的な開発が始まっています。トヨタでは部署ごとにAWSの開発用ネットワークを持っており、RFID資産管理システムもそこで作られました。
「もともとIPアドレス制限でトヨタのネットワークからであれば、開発用ネットワークにアクセスできる環境でした。ただ、懸念としていたのが、社給スマートフォンならば、アカウントさえ作ればトヨタのネットワーク以外からもアクセスできる状態だったこと。また、IPアドレス制限も試行ユーザーのみに限定している状態でした」
セキュリティを高めるため、AWSのアカウントを2つに分けることに。1つめは、本体機能でデータベースやWebページのサーバーを持ったアカウント。2つめは、Lambda(※1)でメッセージを受け取ったことをデータベース側に反映する仕組みだけを持つアカウントです。
※1 サーバーを管理せずにコードを実行できるコンピューティングサービスのこと
「2つに分けたことで、トヨタのインターネットを用いた場合、それ以外のインターネットを用いた場合で、アクセスの手順が分けられるようになり、セキュリティを高めることができました。
まず、トヨタのネットワークでアクセスした場合は、本体機能を持つ1つめのアカウントに直接入ることができます。一方で、トヨタ以外のネットワークからアクセスした場合、2つめのアカウントを経由して、1つめの本機能を持つアカウントにアクセスすることになります。
2つめのアカウントは外部公開ネットワークとなるため、セキュリティ自体を高く設定。その上、2つめのアカウントから1つめのアカウントにアクセスする際の通信は、IAMロールというAWSの機能も用いています。一時的に許可されたサービスや人しかアクセスできないため、セキュリティは高い状態と言えるでしょう」
古賀野が、こうした仕組みにしたのは、データベースやWebサーバーが入っている本体機能を持つアカウントに、公開インターネットから直接入ることのできる状態は安全性の面で課題があると考えたから。
また、インターネット公開する2つめのアカウントについては、WAF(Web Application Firewall)を実装し、Webサイトへのサイバー攻撃を緩和する仕組みにしたと言います。
WAFの設定に注目し、安全性をさらに強化
セキュリティ対策のために導入したWAFも、設定により安全性を強化しています。
「該当ドメインに対応するSSL証明書を取得した後は、WAFにインストールしてもらいます。アクセス許可するIPアドレスをWAFのものに制限するリソースポリシーに設定することで、公開されているネットワークへの不正なアクセスを防止しました。
API GatewayまではSSLですべて暗号化されているので、安全に使えます。AWS Certificate ManagerからSSL証明書を生成できるため、API Gatewayのドメインに対してSSL証明書を登録しています。あとはRoute53でルートを制御することで、WAFのみアクセスできるようになりました」
本体側とインターネットに公開する側のAWSアカウントを分けることで、セキュリティは強化されました。しかし、それゆえに苦労したこともあったと古賀野は振り返ります。
「インターネット公開しているアカウントから、本体機能を持つアカウントへアクセスする際にリクエストが受け付けられたかどうかをレスポンスする必要があります。しかし、最初は異なる設定になっていて、なかなかうまくいかず半日ほど費やすことに。
そこで、本体側のアクセス権限設定時にインターネット公開側のAWSアカウントからのInvokeを許可して、公開側でGetメソッドの返り値をセットすることで解決できました」
全社ルールに対応するため、TOROプラットフォームに助けられつつ進めたセキュリティチェック
その他のセキュリティ対策として、クラウド構築時のセキュリティガイドラインの遵守が挙げられます。トヨタでは全社のルールで、「クラウド構築セキュリティガイドライン」と「公開Webサイトセキュリティ対策基準/ガイドライン」の2つへ対応しなければならないと定められています。
RFID資産管理システムで対応した結果、セキュリティチェックは74件と124件の約200件となりました。
「トヨタのルールに対応するためには、チェック対象外のものやAWSの検査では簡単にできる部分も、全部チェックする必要がありました。
その際、TOROプラットフォームを利用することで、AWS S3(※2)のパブリック公開や各種ロゴの集約と保存、アラートの監視などを対応済みにできます。別途会社ごとに接続しなくてもよくなったので、かなり助かりましたね」
※2 Amazon Simple Storage Serviceの略称で、ストレージサービスのこと
AWSでは、利用時に推奨されているセキュリティ設定があります。これらは内容を確認した上で、必要に応じて利用するかどうかを判断すべきだと古賀野は考えています。
「まず、AWSのセキュリティ診断を実施するソフトウェアがありました。しかし、これらはTOROプラットフォームのCSPM(※3)で実施しているものと同じだと判断したため、継続使用はしないと決めています。
次は、アンチウイルス・ソフトウェアです。こちらはEC2へインストールして使うことになりますが、デフォルトではswap領域(※4)がないので設定しなければなりません。
その他のセキュリティ対策として、Ransom Response(※5)などセキュリティインシデントへの対応準備をする必要がありました。AWSで出ているのが10件あり、それに沿った形でCCoEの方が参考資料を作ってくれました。参考資料にあったのは7件だったので、残り3件はAWSから出ているものを見ながら対策をしていった形です」
※3 Cloud Security Posture Managementの略称で、クラウドインフラストラクチャのセキュリティリスク低減を目的とするソリューション
※4 メインメモリの容量の延長としてプログラムやデータを記録することができる仮想的なメモリ領域のこと
※5 ランサムウェアを想定して、事前に対応や対策を備えること
システムをより良くするため、自動化やさらなるセキュリティ向上をめざす
RFID資産管理システムは、資産管理にかかる工数の削減という大きな成果をもたらしました。しかし、システムをより良いものにしていくための改善計画はすでに策定されています。
「現在考えているのは、CI/CDの導入による自動化です。コードを改変した際、コードビルドやコードデプロイ、レグレッションテストなどを自動化できればいいと考えています。
また、ユーザー要望の取得やQAのタスク化も自動化したいポイントです。Atlassian Jiraなどのプロジェクト管理ツールを活用し、適宜自動化を進めていきたいと思います」
RFID資産管理システムの構築に携わった古賀野は、AWSやTOROプラットフォームがあったからこそ、システムの実装がスムーズに行えたと考えています。
「AWSの活用により、効率的にシステムを実装できました。マネージドサービスがあると、本当に助かります。また、TOROプラットフォームのセキュリティ構成により、セキュリティ設定とシステム監視を容易に実現できました。CCoEサービスデスクがあり、各種サポートをタイムリーに受けられるのも魅力です。
TOROプラットフォームとCSPMの各種機能によって、自動または半自動でセキュリティプラクティスを実装できました。10以上の部署で展開しており、使いやすい設定やサービスが提供されているので、短期間で容易にやりたいことができると感じています。
今後はさらなるセキュリティ向上をめざすとともに、効率的にアジャイル開発や構成管理ができる仕組みを構築していきたいと考えています」
AWSやTOROプラットフォームをうまく活用し、社内業務の効率化に加え、セキュリティ面の向上にも貢献してきた古賀野。今後もその技術力を用いて、業務の改善に取り組んでいくはずです。
※ 記載内容は2023年9月時点のものです