Save 37% off PRO during our Black Friday Sale! »

実践:Cloud Center of Excellence を中心としたクラウド戦略/The Practice of Cloud Center of Excellence

9513a9cc8ee9b5f2a8b4a5a914da8411?s=47 _awache
October 20, 2021

実践:Cloud Center of Excellence を中心としたクラウド戦略/The Practice of Cloud Center of Excellence

CloudNative Days 2021 の登壇資料です。

https://event.cloudnativedays.jp/cndt2021/talks/1291
”急成長を続けるVisionalグループはそれに伴う様々な成長痛を抱えていました。特に数多くのクラウド基盤をどのように安心・安全に、かつスケールする形で利用し続けるかということは、一つの大きな課題でした。
この課題を解消し、さらに成長を続けるため、「Cloud Governance」「Cloud Practice」を会社のクラウド戦略として遂行していくことは必要不可欠です。
本セッションでは、CCoE (Cloud Center of Excellence) を遂行する組織を実践していく中で得たナレッジを、大胆にお話しします。”

9513a9cc8ee9b5f2a8b4a5a914da8411?s=128

_awache

October 20, 2021
Tweet

Transcript

  1. #CNDT2021 #CNDT2021_B #CCoE 実践: Cloud Center of Excellence を中心としたクラウド戦略 Cloud

    Native Days Tokyo 2021 株式会社ビズリーチ(Visional グループ) 粟田 啓介 1

  2. #CNDT2021 #CNDT2021_B #CCoE 自己紹介 2
 • 粟田 啓介 (あわた けいすけ)

    ◦ 株式会社ビズリーチ (Visional グループ) ▪ CCoE マネージャー • 2018年3月に株式会社ビズリーチにDBAとして入社 • 2019年2月に組織横断でDBに対する課題を解決するため DBRE 組織 を設立 • 2020年2月より、Cloud Center of Excellence を実践するグループのマ ネージャ― ◦ コミュニティ ▪ Jagu'e'r CCoE 研究分科会 ▪ DBREJP @_awache
  3. #CNDT2021 #CNDT2021_B #CCoE 設立   :2020年2月(ビジョナル株式会社設立) 創業   :2009年4月(株式会社ビズリーチ創業) 代表者  :ビジョナル株式会社 代表取締役社長 南

    壮一郎 グループ従業員数:1,401名(2021年2月末時点) 資本金  :164億円(資本準備金含む)※2021年5月18日時点 拠点   :東京、大阪、名古屋、福岡、静岡、広島    グループ概要 3

  4. #CNDT2021 #CNDT2021_B #CCoE グループミッション 4


  5. #CNDT2021 #CNDT2021_B #CCoE グループ運営サービス インキュベーション(新規事業領域) 採用プラットフォーム 人財活用プラットフォーム 人材マネジメント(HR Tech)エコシステム 事業承継M&A

    物流Tech Sales Tech サイバーセキュリティ 5

  6. #CNDT2021 #CNDT2021_B #CCoE 6
 本日のテーマ • なぜ Visional は Cloud

    Center of Excellence を実践しているのか ◦ 急成長を続けている Visional はその成長と同時にクラウドに関する多くの課題も生まれていた ◦ 今の課題を解決し、更なる成長を続けるためには「Cloud Practice」「Cloud Governance」をグループのクラウド戦略として 遂行していくことが必要不可欠であった ◦ CCoE の実践という象徴的なキーワードとは裏腹に実際には地道な活動の積み重ねに寄って成り立っている ◦ 本日はそんな私たちの取り組みと実際に当たった壁について共有する • お話ししないこと ◦ 技術的な話 ◦ 「Cloud Practice」に関わる章は時間の都合で Appendix として入れさせていただきました
  7. #CNDT2021 #CNDT2021_B #CCoE 7
 本日の資料について • 事前に公開しています ◦ それなりの資料のボリュームなので「speakerdeck 実践

    CCoE」 で検索し、手元で見ながら聞いていただけるとありがたい です ◦ 皆様の疑問に少しでもお答えしたいと考えています ▪ 不明点ありましたら「#CNDT2021 #CNDT2021_B」と共に「#CCoE」をハッシュタグに付けていただけると反応しやすい のでご協力お願いいたします
  8. #CNDT2021 #CNDT2021_B #CCoE Visional の成長と私たちが CCoE となるまで 8


  9. #CNDT2021 #CNDT2021_B #CCoE Visional サービスの歴史 9
 創業期から、HR Tech領域に限らず次々と新規事業を立ち上げ続けている

  10. #CNDT2021 #CNDT2021_B #CCoE • フルクラウドでサービス運営 ◦ 管理しているクラウド ▪ AWS アカウント:

    100+ ▪ Google Cloud プロジェクト: 75+ • コストベースでは 95% が AWS で稼働 10
 Visional におけるクラウド活用のフェーズ Visional のクラウド活用状況 • Optimization & Reinvention フェーズ ◦ クラウドはデフォルトの選択肢 ◦ アーキテクチャ、運用、プロセス、組織の形は クラウド活用を前提に改善され続けている AWS アカウント数の実績と今後の予測
  11. #CNDT2021 #CNDT2021_B #CCoE 11
 全ての事業が自律的にクラウドを運用している Visional プロダクト組織の特徴 • 技術の選定 (どのクラウドを使うのか)

    を含めそれぞれの事業部が意思決定を行っている ◦ 事業の自律性を尊重 ◦ ビジネスのアジリティを損なわない • 組織の形も事業によって様々 ◦ SRE が役割として明確に存在する組織もあれば、所属するエンジニアがフルスタックに対応する組織もある 開発組織 A Software Engineers DBREs SREs 開発組織 C Full Stack Engineers 開発組織 B Software Engineers SREs
  12. #CNDT2021 #CNDT2021_B #CCoE • 可用性・非機能要件への意識の低下 ◦ エンジニアのマインドや組織体制・文化 • 開発効率の低下 ◦

    運用負荷の増大 ◦ 開発に時間を割くことができる相対的な割合 ◦ 効率・効果的な新しいサービスへの対応柔軟性の低下 • 組織の肥大化によるエンジニア間のコミュニケーションの不足 ◦ 隣の組織が何をやっているのかわからない 12
 成長を続けていった中で抱えた課題 (~2018年)
  13. #CNDT2021 #CNDT2021_B #CCoE 2018年 プラットフォーム基盤推進室 設立 13
 現在の CCoE の前身となる事業横断組織

    • 当時の目的は非機能要件に対する社内のエンジニアの価値を向上させること ◦ コンテナ利用推進 ◦ 品質基準の作成とその可視化 ◦ サービスの技術的負債の解消 ◦ 共通基盤の整備 ◦ ベンダーコラボレーションハブ ◦ 社内グループ間コミュニケーションハブ ◦ テクニカルサポート など
  14. #CNDT2021 #CNDT2021_B #CCoE • 可用性・非機能要件への意識の低下 ◦ エンジニアのマインドや組織体制・文化 • 対応方針 ◦

    プロダクト品質チェックリストを作成、全てのプロダクトでチェックを実施 ◦ AWS Trusted Advisor を活用し、全てのアカウントの推奨設定を一元管理する Dashboard の開発・提供 14
 成長を続けていった中で抱えた課題 (~2018年)
  15. #CNDT2021 #CNDT2021_B #CCoE • クラウドに特化したものではなく ISO25010 を基準として作成 ◦ チェックシートによるマニュアル監査 ◦

    半年に一度、またはサービスローンチ前にチェックを実施 15
 プロダクトの品質を可視化 (2018年12月) プロダクト品質チェックリストを作成、全てのプロダクトでチェックを実施
  16. #CNDT2021 #CNDT2021_B #CCoE • 経営層への非機能要件に対する価値・理解度向上 • プロダクトの課題だけでなく、組織として課題を抱えている部門を発見 • 状況を把握し次のアクションを検討可能な状態になった 16


    可視化をしたことでの効果 課題の発見
  17. #CNDT2021 #CNDT2021_B #CCoE • AWS Trusted Advisor とは ◦ AWS

    の「Security」「Fault Tolerance」「Performance」「Cost Optimizing」「Service Limits」の 5 つの観点からAWS の設定状 況を調査し、推奨設定やリスクが高い項目を検知する仕組み • 当時70程度あった AWS アカウント全てに適用し、それを一括でまとめ、特定の条件(セキュリティ要件か つ Error の場合) で Slack 通知、全体の現状を可視化するダッシュボードを提供 17
 クラウド活用レベルをあげるための施策 (2019年2月) AWS Trusted Advisor Dashboard の開発
  18. #CNDT2021 #CNDT2021_B #CCoE 18
 実際のダッシュボードや通知 一覧画面 Slack 通知

  19. #CNDT2021 #CNDT2021_B #CCoE • 開発効率の低下 ◦ 運用負荷の増大 ◦ 開発に時間を割くことができる相対的な割合 ◦

    効率・効果的な新しいサービスへの対応柔軟性の低下 • 対応方針 ◦ コンテナ利用の強力な推進による開発効率の向上 19
 成長を続けていった中で抱えた課題 (~2018年)
  20. #CNDT2021 #CNDT2021_B #CCoE • CloudNative なフルマネージドサービスを利用可能にする ◦ 運用効率の向上・運用負荷の軽減 • 活動内容

    ◦ クラウドベンダーを巻き込んだコンテナ勉強会・ハンズオン開催 ◦ コンテナ化計画のプロジェクト管理・進捗や課題管理 ◦ 新規事業に入ってコンテナ化の技術支援 ◦ コンテナ環境の IaC 化によるリファレンス展開 ◦ 各事業のコンテナ化に関するナレッジ集約・展開 ◦ 事業間でのコンテナ化に関するナレッジの集約・展開 20
 コンテナ利用の強力な推進による開発効率の向上 (2018年9月〜) 全社コンテナ化推進プロジェクト
  21. #CNDT2021 #CNDT2021_B #CCoE • 全社コンテナ化推進プロジェクト ◦ 生産性を上げるためとはいえそこにかける工数は大きい ▪ 最初の導入事業では対応工数が半年、工数として 12-18人月、インフラコストは瞬間的に

    1.5倍になった ◦ この投資をして得られる結果の判断をするには個別の事業だけでは難しい ▪ コンテナ化をトップダウンで主導 ▪ 結果として 2021年5月時点でほとんどのアプリケーションのサービスが CaaS に移行完了 • グループとしてのクラウド戦略をリードすることが重要であり必要である 21
 クラウドの新機能を判断するには中長期的視点が必要 短期的視点だけでは新機能の利用判断ができないことが多い
  22. #CNDT2021 #CNDT2021_B #CCoE • コンテナはデフォルトの選択肢 ◦ 2年以上かかったが、ほとんどのサービスが移行を完了 ◦ 現在新しく立てるサービスのデフォルトはコンテナ、もしくはサーバレス ◦

    アーキテクチャ刷新と同時に技術的負債の解消の実施 ◦ 疎結合なアーキテクチャ (マイクロサービス化) 22
 コンテナ化プロジェクトの現在 サービスの CloudNative 化が現在進行形で進んでいる
  23. #CNDT2021 #CNDT2021_B #CCoE • 組織の肥大化によるエンジニア間のコミュニケーションの不足 ◦ 隣の組織が何をやっているのかわからない • 対応方針 ◦

    社内外のクラウドに関するコミュニケーションハブとしての動きを実施 ◦ AWS Support Case を一元管理できる Platform の開発 23
 成長を続けていった中で抱えた課題 (~2018年)
  24. #CNDT2021 #CNDT2021_B #CCoE • 近い場所での体験を知ることで課題解決の方法やモチベーションを高めることができる ◦ 社内であればハードルが低く、成功体験や失敗体験を聞くことができるはずだが出来ていない ◦ 社内ですらどんな課題を持っていて、どんな技術スタックを持っているかなどを知る術がない ◦

    自分たちの課題解決をソフトウェアで頑張ってしまったり、同じ様な課題に対して別々のソリューションでアプローチした りすることで効率が悪いケースがある 24
 組織間の関係性が希薄 他部署の事例や技術を知り、互いに共有し合う関係の構築の必要性 C D
 B E H A G F 組織間 連携が希薄
  25. #CNDT2021 #CNDT2021_B #CCoE 25
 社内外のクラウドに関するコミュニケーションハブ Cloud Center of Excellence 組織

    A 組織C 組織B 経営 セキュリティ グループ全体として取り 組む施策の主導と技術 サポート MTG や Slack 等各グルー プ間の共有の場の提供 クラウドベンダーによ る勉強会の実施 事業の課題解決のため の OfficeHour の実施 グループ間技術共有 新規事業創設サポート 事業の困りごとキャッチ アップ インターナルフローの実 施と、そのサポート 経営からの相談と経営 へのレポーティング 各事業の技術スタックと その状態のキャッチアッ プ
  26. #CNDT2021 #CNDT2021_B #CCoE • 起票される SupportCase を一元管理 ◦ 事業の困りごとの把握 ◦

    課題の発見 ◦ ナレッジの共有 26
 他の事業で起こっていることを認識するための施策(2019年8月) 全ての AWS Support Case の利活用状況を可視化 一覧画面 詳細画面 Slack 通知
  27. #CNDT2021 #CNDT2021_B #CCoE 最初から CCoE を目的としていたわけではない 27
 グループ発足当初の目的は Visional グループの非機能要件を向上させること

    • チームメンバーのスペシャリティがクラウドで、そこに合わせた非機能要件改善施策を実施 • 自分たちに期待されている (と思って) 出していたアウトプットが結果的に CCoE となった ◦ AWS Trusted Advisor Dashboard も現在の CCoE テックリードが課題を効率的に発見するために業務の合間に開発 ▪ 最初から大きなことを目指していく必要はない ▪ まずは自分にできることから始め徐々に活動範囲を広げていった結果今に至る
  28. #CNDT2021 #CNDT2021_B #CCoE 28
 これらを積み重ねていくうちに活動主体がクラウドへとシフト 2018 2019 2020 2021 プロダクトの

    非機能要件改善を 目的として組織形成 • チェックシートによるプロダクト評価の実施 • クラウドガードレール開発開始 • 活動の主体がクラウドになる • クラウドガードレールによる 継続的統制を実現 • クラウドインフラグループに組織変更 CCoE として再始動 • ガバナンス/Practice を主軸として グループのクラウド戦略を推進
  29. #CNDT2021 #CNDT2021_B #CCoE 29
 Visional の Cloud Center of Excellence

  30. #CNDT2021 #CNDT2021_B #CCoE Mission 30
 CCoE として Visional の持続可能性を上げ、 失敗率を下げることを推進し続ける

  31. #CNDT2021 #CNDT2021_B #CCoE 31
 Visional CCoE の Vision クラウドにて高いアジリティと スピードを備えた状態

    クラウドの最適なプラクティスが提供 された状態 クラウドガバナンスが満たされた状態 クラウドのコストが最適化された状態 Vision達成に向けた施策 Visionを目指すための戦略・戦術 ・クラウドにて高いアジリティとスピードを備えた状態 ・クラウドのコストが最適化された状態 ・クラウドガバナンスが満たされた状態 ・クラウドの最適なプラクティスが提供された状態 Business
  32. #CNDT2021 #CNDT2021_B #CCoE 32
 Visional CCoE の Vision クラウドにて高いアジリティと スピードを備えた状態

    クラウドの最適なプラクティスが提供 された状態 クラウドガバナンスが満たされた状態 クラウドのコストが最適化された状態 Vision達成に向けた施策 Visionを目指すための戦略・戦術 ・クラウドにて高いアジリティとスピードを備えた状態 ・クラウドのコストが最適化された状態 ・クラウドガバナンスが満たされた状態 ・クラウドの最適なプラクティスが提供された状態 CloudNativeを実現する Business
  33. #CNDT2021 #CNDT2021_B #CCoE 33
 • Don't Leave Issues ◦ 課題と向き合い続ける

    • Make it Visible ◦ 現状を正しく把握し、課題発見と健全な成長を促す • No Ops, More Code ◦ エンジニアが開発と事業成長に注力できる環境を提供する Value
  34. #CNDT2021 #CNDT2021_B #CCoE 34
 Visional のクラウド戦略を推進し、その戦略を事業に適用するための組織や役割 Visional の考える CCoE •

    特にエンタープライズ企業において、クラウドによってより推進されるテクノロジーの運用を進化させるた め、ベストプラクティスやフレームワーク、ガバナンスを作成・伝導・制度化するための専門の人材を集め たチーム ※ クラウド推進組織を起点とした クラウド導入の進め方 参照 : Google Cloud Japan が CCoE(Cloud Center of Excellence)研究分科会を発足
  35. #CNDT2021 #CNDT2021_B #CCoE 35
 Cloud Business Office と Cloud Platform

    Engineering Visional CCoE の 構成 • Cloud Business Office ◦ 事業や他のステークホルダー(経営、セキュリティ、財務、法務、人事等) からの要求と、CCoE が提供する Platform や Visional としてのクラウド戦略を連携させる役割 • Cloud Platform Engineering ◦ ガバナンスに準拠しながらクラウドの効果的な利活用を加速させるために、コード化された標準や環境を提供する役割 Cloud Center of Excellence Cloud Business Office Cloud Platform Engineering 2名 5名
  36. #CNDT2021 #CNDT2021_B #CCoE • 自分たちのアウトプットがビジネスに反映されることによって価値提供されている ◦ 自分たちの提供する Platform が CloudNative

    であるのは当たり前 ◦ グループという単位で CloudNative と言える状態にすることを目指して活動する必要がある 36
 私たちの目指す CloudNative Visional CCoE は横断組織、つまり... クラウドにて高いアジリティと スピードを備えた状態 クラウドの最適なプラクティスが提供 された状態 クラウドガバナンスが満たされた状態 クラウドのコストが最適化された状態 Vision達成に向けた施策 Visionを目指すための戦略・戦術 Business
  37. #CNDT2021 #CNDT2021_B #CCoE Visional CCoE の役割 各ステークホルダーとのハブとなり様々な連携を行う 37
 CCoE クラウド

    ベンダー 事業部 経営 その他間接部門 (セキュリティ、経理、法務、 人事, etc.) セキュリティ、ガバナンス プラクティス、ポリシー クラウドプラットフォーム 連携 相談 問合せ 提供 技術支援 情報提供 相談 フィードバック 連携 フィードバック クラウド関連 レポーティング ※クラウド利用者 • 役割 ◦ クラウド戦略計画・推進 ◦ クラウドガバナンスの適用 ◦ クラウド組織管理 ◦ ナレッジ管理 ◦ クラウドプラットフォーム開発運用 ◦ 技術支援 ◦ トレーニング など
  38. #CNDT2021 #CNDT2021_B #CCoE 38
 Visional CCoE のクラウド戦略

  39. #CNDT2021 #CNDT2021_B #CCoE Visional クラウド戦略を推進するための構成要素 39
 グループの課題をクラウド視点で解決し、競争優位性の獲得を加速させる CloudNative クラウドの利点を徹底的に活用し競争優位性を獲得 Governance

    事業の自律性を尊重し、安全で効率的なクラウド活用をセルフサービスで実現 失敗率を下げる 持続可能性を上げる Practice クラウド活用を高速に改善してイノベーションを起こす企業風土の構築 ゼロ ↑ マイナス プラス ↑ ゼロ ヒト ・ 組織 への アプローチ クラウド への アプローチ Visional の持続可能性を上げ、失敗率を下げることを推進し続ける
  40. #CNDT2021 #CNDT2021_B #CCoE Visional クラウド戦略ロードマップ 2020
 2021
 2022
 2023
 2024


    時間
 CloudNativeを軸としたクラウド戦略 2025
 継続的なPracticeを通じたクラウド戦略 Governanceを軸としたクラウド戦略 競争優位性
 CCoE組織設立 Governance 適用 健全に事業運営がなされていることが 証明できている状態を目指す CloudNative 化推進フェーズ Cloud を効果的に活用し、攻めの事業戦略を推進 できる状態を目指す CloudNative への進化 競争優位性を獲得し、企業価値を最大化する為の クラウド戦略を実行できている状態を目指す 40

  41. #CNDT2021 #CNDT2021_B #CCoE 41
 Visional CCoE の Cloud Governance への取り組み

  42. #CNDT2021 #CNDT2021_B #CCoE Agility と Governance を両立するためのクラウド戦略 42
 事業の自律性を尊重し、安全で効率的なクラウド戦略をセルフサービスで実現する Governance

    事業の自律性を尊重し、安全で効率的なクラウド活用をセルフサービスで実現 失敗率を下げる Practice クラウド活用を高速に改善してイノベーションを起こす企業風土の構築 ゼロ ↑ マイナス ヒト ・ 組織 への アプローチ クラウド への アプローチ CloudNative クラウドの利点を徹底的に活用し競争優位性を獲得 持続可能性を上げる プラス ↑ ゼロ
  43. #CNDT2021 #CNDT2021_B #CCoE 43
 急成長を続ける Visional では数多くの AWS アカウントを運用する中で、クラウドのセキュリティや信頼性に関 わる設定不備や考慮不足など、不適切な管理が行われてしまったことによってセキュリティインシデントや

    サービス障害につながる事象が発生してしまっていた • 主な要因 ◦ 各部署のエンジニアの増加・多様化によるクラウドスキルのばらつき ◦ 部署やサービスのフェーズによって非機能要件に対して求めるレベルや優先度が異なる ◦ ヒトによる手作業のため、作業ミスや考慮漏れを防ぎきれない ◦ 社内のクラウド利用に関するポリシーの整備が不十分 クラウド利活用に対する課題
  44. #CNDT2021 #CNDT2021_B #CCoE 44
 2018年末 グループ全体でサービス開発・運用におけるポリシーを定め、チェックリストで評価して改善する取 り組みを開始 • チェックリストだけで全てのサービスを正確かつ適切にチェックするのは困難 ◦

    担当部署のセルフチェックで実施するため、評価対象・基準の揺れが発生 ◦ 人手によるチェックのため、誤りや見落としが存在 ◦ 各部署にてチェックを行うことで、多くの工数が必要 ◦ 動的に変更されるシステムの特定時点をチェックするため、問題検出の見逃しや遅延が発生 当初はマニュアルでチェックを実施 社内ユーザー • 半年周期、及び新規サービスの場合はローンチ前に評価を実施 • システムの脆弱性診断や OSS の脆弱性スキャンを内包
  45. #CNDT2021 #CNDT2021_B #CCoE 45
 Cloud Governance を効率的に適用するためのキーワード クラウドガードレール • クラウドガードレールとは

    ◦ 可能な限り自由を確保しつつ、望ましくない領域のみ制限、または発見するソリューション ▪ 「ゲート」によるブロッカーとなる制御から、「ガードレール」として禁止操作を制限して危険な設定を検出することでア ジリティを維持してガバナンスコントロールを実現する • 一般的なクラウドガードレールの種類 ガードレール 役割 概要 予防的ガードレール 制限 対象の操作を出来ない様にする 発見的ガードレール 検知 望ましくない操作を行なった、された場合、それを発見、検知する 訂正的ガードレール 修正 望ましくない設定がなされた場合に自動で修正する
  46. #CNDT2021 #CNDT2021_B #CCoE Agility か Governance か、どちらか一方を選ぶのはない クラウドを活用して Agility と

    Governance を両立する 46
 CCoE としてのスタンス 事業の Agility と Governance のバランスをとった戦略遂行 Agility Governance リスクの高い箇所など、特定の範囲のみルールを適 用して管理 • “制限” はリスクの高い箇所に限り適用する • “検知” は徹底的に取得する • “修正” は事業部側で判断 ◦ ただし、その状態は正しく把握する クラウド利用の自由度を完全には損なわない • How で縛らない • 価値で縛る
  47. #CNDT2021 #CNDT2021_B #CCoE 47
 クラウドに対して制限をかけることでリスクの発生前に予防する 予防的ガードレールのための Platform の提供 社内エンジニア 禁止されたオペレーション

    • Visional CCoE はクラウド管理上、明確に禁止された一定の操作を制限しリスク回避を実現 ◦ Organization からの脱退禁止 ◦ ガードレールとしての動作を保証するため、必要なサービスの無効化・変更の禁止 ◦ ガードレールとしての機能を提供できないリージョンの利用の禁止
  48. #CNDT2021 #CNDT2021_B #CCoE 48
 事業やサービスに対してリスクの発生後に、その発生を検知する 発見的ガードレールのための Platform の提供 社内エンジニア 操作

    • セキュリティ脅威検知 • 不適切な設定の検知 検知 社内エンジニア セキュリティチーム 悪意を持つヒトやシステム 通知 Visional CCoE は検知のための Platform の提供だけでなく対応プロセスまで含めて関与 対応
  49. #CNDT2021 #CNDT2021_B #CCoE 49
 Visional CCoE が開発、提供しているガードレール No カテゴリ 概要

    概説 活用しているクラウドサービス 1 予防的ガードレール 禁止ポリシーの設定 組織全体で禁止するポリシーを設定し、ユーザーに制限をかける • AWS: Service Control Policy • Google Cloud: 組織のポリシー 2 発見的ガードレール セキュリティ脅威検知 内外からの不適切なアクティビティに対する検知 • AWS: GuardDuty • Google Cloud: (*) ◦ Event Threat Detection, Container Threat Detection など 3 発見的ガードレール 不適切な設定の検知 リスクの高い不適切な構成設定をされた場合に検知 • AWS: AWS Config • Google Cloud: (*) ◦ Security Health Analytics など 4 発見的ガードレール 証跡集約 クラウドの監査ログを統一し、一箇所に集約した上でログの完全性を保証 有事の際に調査可能な状態を実現 • AWS: CloudTrail • Google Cloud: Cloud Audit Logging 5 発見的ガードレール ベストプラクティス評価 ベンダーの推奨するベストプラクティスを検知 • AWS: AWS Trusted Advisor • Google Cloud: Recommender (*) 6 発見的ガードレール IaaS/CaaS OSS 脆弱性評価 IaaS/CaaS で利用している OSS の評価を行い、脆弱性を検知 • AWS: AWS Inspector / Elastic Container Registry (ECR) * 現在開発、運用設計中のステータス
  50. #CNDT2021 #CNDT2021_B #CCoE 50
 現状はセキュリティの要素に寄ったクラウドガードレールの提供 クラウドガードレールによる効果 • ガードレールを横断的な Platform として構築したことによる最大のメリット

    ◦ アップデートされ続けるリスクに追従し、それを今後増え続ける事業を含めて全ての事業に予防的・発見的ガードレー ルとして適用することが可能になった • ガードレールだけで全てがチェックできるわけではない ◦ 現在はチェックシートと併用して活用 参照: 情報セキュリティ10大脅威 2021
  51. #CNDT2021 #CNDT2021_B #CCoE • 経営に対して事業が健全に運営されていることを証明するための要素 ◦ クラウドがどのように利活用されているかということを細かく見たいわけではない ▪ セキュリティが全方位的に守られていて欲しい ▪

    機能開発に向き合っている時間が長い状態でいて欲しい ▪ コストが最適に使われていることを証明して欲しい ▪ サービスの稼働率が高い状態を維持して欲しい こういった思いを形にするためにクラウドという観点で手助けをしていく ◦ これらの活動によって経営による積極的で適切な投資判断を可能にし、事業の改善が進むことでビジネスに価値が反 映される状態を作り出す 51
 今後のクラウドガードレールの展望 セキュリティ要件の拡張と信頼性・コスト・パフォーマンス領域への進出
  52. #CNDT2021 #CNDT2021_B #CCoE 52
 コンプライアンス遵守としての AWS Config 活用事例 実際のアクティビティ事例紹介

  53. #CNDT2021 #CNDT2021_B #CCoE 53
 • AWS リソースの設定を記録・評価する AWS サービス ◦

    AWS Config では、リソースの設定が継続的に記録され、指定したルールに基づいてリソースの設定を評価 ◦ 修復アクションを設定すればリソースの自動修復(訂正的ガードレール)も可能 ▪ Visional ではまだ訂正的ガードレールは行なっていない AWS Config AWS Config AWS Config Rules Record Evaluation
  54. #CNDT2021 #CNDT2021_B #CCoE 54
 チェックの自動化と継続的モニタリング・コンプライアンス準拠 AWS Config を活用して目指した世界観 • DMAIC

    の考え方を実践 ◦ 定義(Define): 計測・評価の範囲や内容を定義 ◦ 計測・評価(Measure): 計測・評価を実施して結果を収集 ◦ 分析(Analyze): 原因の分析・レポーティング ◦ 改善(Improve): 不具合の改善・改善計画の作成 ◦ 定着(Controle): 成果を確認し、定着を目指す • CCoE と経営・各事業が連動して実現 定義 Define 計測・評価 Measure 分析 Analyze 改善 Improve 定着 Control CCoE 事業部 (参考)シックスシグマ DMAIC     ISO 13053-1 Quantitative methods in process improvement — Six Sigma — Part 1: DMAIC methodology
  55. #CNDT2021 #CNDT2021_B #CCoE • 事業のアジリティとガバナンスを考慮して対象範囲を決定 ◦ 非準拠項目に直接的に対応するのは AWS アカウントを管理している各事業部 ◦

    厳しすぎるルールは事業の Agility と Governance のバランスを失ってしまう事につながる 55
 定義(Define): 計測・評価の範囲や内容を定義 グループ全社共通のセキュリティ・信頼性に関わる対応必須ルールを選定
  56. #CNDT2021 #CNDT2021_B #CCoE • コンプライアンス非準拠になったタイミングで通知 ◦ 非準拠通知 ▪ 担当者とセキュリティ部門向けに非準拠結果を通知 •

    ルール・アカウント・リージョン・対象リソース ◦ 解決通知 ▪ 非準拠通知メッセージを解決済みとして更新 • 非準拠から準拠、または対象外へ遷移したタイミング ▪ AWS アカウント運用者の対応が正しかったことを証明 ▪ 非準拠状態を残し続けることの違和感を作り、積極的 対応を促進する 56
 計測・評価(Measure): 計測・評価を実施して結果を収集 問題をリアルタイムに検知して適切な対応アクションを行う
  57. #CNDT2021 #CNDT2021_B #CCoE 57
 ルール毎に対応の緊急度が異なるため、適切な緊急度で対応する ルール重要度の設定 • Critical: 即時対応を実施 ◦

    セキュリティ事故に直結する可能性があるもの ◦ クリティカルな異常に気付けない状態になっているもの ▪ GuardDuty が無効化されている、等 ◦ AWS Root アカウントに関連するもの • High: 2〜3営業日対応を実施 ◦ サービスの信頼性やセキュリティに関係する事故が発生する可能性があるもの ◦ ログ出力設定でアカウントや VPC 全体に関わるもの • Medium: 計画的対応を実施 ◦ 多層防御の一部レイヤーで発生しており、セキュリティ事故に直結しないもの ◦ セキュリティリスクを含むが影響が限定的なもの ◦ ログ出力設定で局部にのみ関わるもの
  58. #CNDT2021 #CNDT2021_B #CCoE • 時系列の推移傾向の確認 • アカウント別やルール別、リージョン別など様々な観点での情報分析 • 独自の重要度をダッシュボードにて統合 58


    分析(Analyze): 結果を収集・調査・分析 組織全体の可視性を高め、調査・分析を可能にする
  59. #CNDT2021 #CNDT2021_B #CCoE • リリース当初は70%台の準拠率 (1000+の非準拠を検出) ◦ もともと Policy の存在しなかったところに導入したため一定の非準拠が発生することは覚悟していた

    ◦ 可視化された後の分析・改善フェーズへの移行は泥臭く様々な施策を適用 59
 可視化をした時点では多数の非準拠が存在 本格運用開始は 2020 年 08 月
  60. #CNDT2021 #CNDT2021_B #CCoE 60
 準拠状況の月次定期レポート 分析(Analyze): 原因の分析・レポーティング 改善率を上に持ってきて称賛 全体のトップランキングを表示 上と合わせて客観的にどの立ち位置にい

    るのかを確認し、危機意識を醸成 CCoE からの一言コメント * このレポートは 2021-03 のものです 現在は改善も進み数値も変動しています 放置したら何が発生するのか、を説明す ることで能動的な対応の文化形成
  61. #CNDT2021 #CNDT2021_B #CCoE • 現場のエンジニアに価値を理解してもらうため全体共有会を実施 ◦ 会社としてのメッセージングを含めて、価値と対応そのものに理解してもらうことに重点を置く ▪ CCoE だけでなく、セキュリティ室と合同で実施

    • 個別に非準拠結果の Review 会を実施 ◦ 対応方針がわからない、や知見の共有を CCoE と一緒に実施 ◦ 時間を決めて一気に改善を進めることができる 61
 改善(Improve): 不具合の改善・改善計画の作成 社内勉強会を実施し、スムーズな対応を促す
  62. #CNDT2021 #CNDT2021_B #CCoE 62
 改善(Improve): 不具合の改善・改善計画の作成 対応するエンジニアの理解を深め、対応負荷を軽減するため適用ルールのリストを公開

  63. #CNDT2021 #CNDT2021_B #CCoE • コンプライアンス準拠率は 99% 台後半で推移 ◦ 事業のエンジニア、経営と連携し、Visional グループ全体のクラウド活用レベルの底上げに繋がっている

    63
 定着(Controle): 成果を確認し、定着を目指す AWS Config 運用の現在
  64. #CNDT2021 #CNDT2021_B #CCoE 64
 CloudNativeの実現は自分たちだけでは辿り着けない 信頼関係を構築しながら自然と対応が可能となる状態を事業とともに目指す ↓ ネガティブ ポジティブ ↑

    事業 CCoE 他律・依存 自律・共存 自立・自力 自然 何かしらの指標を示して一定の強制力を持って 実行していかざるを得ない状態 他律から得たコトを自力で向かい合って解 決し続けていける状態 自立・自力をいかに効率的に伸ばしていくか、プロ ダクトと一緒に並走できる状態 コトに対して何もしなくても自然と できている状態 信頼関係 目的が達成された状態 ↑ ↓ 目指す過程 規 範 的 ア プ ロ ー チ 助 言 的 ア プ ロ ー チ
  65. #CNDT2021 #CNDT2021_B #CCoE 65
 経営層への状況報告 経営層と意思疎通をとることでスムーズに解決することが多い • 自分たちの活動を後押ししてくれる経営層の存在の有無でアウトプットできることが変わる ◦ 全てのステークホルダーが協力的であるとは限らない

    ▪ CCoE の活動を経営を巻き込んで実施することで、会社としてコミットする事項として設定する ▪ 経営からのメッセージは CCoE の活動を円滑に進めるための大きな原動力となる ◦ 事業にしかわからない状況は数多く存在する ▪ 横断組織から提案している内容を全てに優先してやる必要はない ▪ 価値を理解してもらい、正しく優先度をつけて先導してもらう必要がある
  66. #CNDT2021 #CNDT2021_B #CCoE まとめ 66


  67. #CNDT2021 #CNDT2021_B #CCoE • 最初から CCoE を目指していたわけではなく、自分たちのアウトプットが結果的に CCoE になった •

    今後も更なる Visional の継続的な成長を支えるための軸 ◦ クラウド活用を高速に改善してイノベーションを起こす企業風土を構築するための「Cloud Practice」 ◦ 事業の自律性を尊重し、安全で効率的なクラウド活用をセルフサービスで実現するための「Cloud Governance」 ◦ Visional として CloudNative を実現するための土台作りをしている • CCoE だけではクラウド戦略を推進することはできない ◦ 事業や経営、そして他のステークホルダーと協力していくことが重要 67
 Visional の実践する Cloud Center of Excellence Visional のクラウド戦略を推進し、その戦略を事業に適用すること
  68. #CNDT2021 #CNDT2021_B #CCoE • AWS Summit Online Japan 2020 ◦

    ⽤規模な組織変遷と100以上のAWSアカウントの横断的セキュリティガードレール運⽤について • Visional Engineering Blog ◦ 100を超えるAWSアカウント運用におけるガードレール構築事例 • 書籍 (2021年11月11日 発売予定) ◦ DXを成功に導くクラウド活用推進ガイド CCoEベストプラクティス • Google Cloud Security Summit (2021年11月30日予定) ◦ Visional における CCoE 組織とセキュリティ ガードレール整備の取り組み 68
 より技術的なことを知りたい Visional Engineering Blog や CCoE メンバーによる登壇なども参考にしてください
  69. #CNDT2021 #CNDT2021_B #CCoE 69
 We are 私たちは「新しい可能性を、次々と。」をグループミッションに、 産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開していま す。 本気で実現したい未来へ、共に歩む仲間を募集しています。

    hiring. https://www.visional.inc/ja/careers.html 募集職種の詳細はこちら(採用サイト)
  70. #CNDT2021 #CNDT2021_B #CCoE Thank you. 70


  71. #CNDT2021 #CNDT2021_B #CCoE Appendix 71


  72. #CNDT2021 #CNDT2021_B #CCoE 72
 Visional CCoE の Cloud Practice への取り組み

  73. #CNDT2021 #CNDT2021_B #CCoE Cloud Practice は企業活動の地盤となる 73
 クラウド活用を高速に改善してイノベーションを起こす企業風土を構築する CloudNative クラウドの利点を徹底的に活用し競争優位性を獲得

    Governance 事業の自律性を尊重し、安全で効率的なクラウド活用をセルフサービスで実現 失敗率を下げる 持続可能性を上げる Practice クラウド活用を高速に改善してイノベーションを起こす企業風土の構築 ゼロ ↑ マイナス プラス ↑ ゼロ ヒト ・ 組織 への アプローチ クラウド への アプローチ
  74. #CNDT2021 #CNDT2021_B #CCoE 74
 Cloud Practice の成長を阻害する問題 1. クラウド活用の格差 ◦

    各事業がクラウドに関する情報を知る機会/環境が十分ではない ◦ 効率的にクラウド技術を習得する機会を十分に活用できていない 2. クラウドの進化への追従 ◦ クラウドの進化が年々加速しておりキャッチアップすることが難しいボリュームになっている ◦ 事業がクラウドの新機能を採用する判断をすることが困難
  75. #CNDT2021 #CNDT2021_B #CCoE 75
 Cloud Practice の成長を阻害する問題 1. クラウド活用の格差 ◦

    各事業がクラウドに関する情報を知る機会/環境が十分ではない ◦ 効率的にクラウド技術を習得する機会を十分に活用できていない 2. クラウドの進化への追従 ◦ クラウドの進化が年々加速しておりキャッチアップすることが難しいボリュームになっている ◦ 事業がクラウドの新機能を採用する判断をすることが困難
  76. #CNDT2021 #CNDT2021_B #CCoE • Visional 特有の利用方法や他事業のことが分からず、相談するにも時間がかかる ◦ スピードだけでなく本質的な作業をするための時間が削られモチベーションの低下にもつながってしまう 76
 組織の肥大化と共に情報が各事項によって分散しており、適切な相談先が分からない

    クラウドに関する情報の分散 他プロダクト 今の取り組み リポジトリ アーキテクチャ ドキュメント 他事業の エンジニアスキル ? ? ? セキュリティ
  77. #CNDT2021 #CNDT2021_B #CCoE 77
 クラウド技術の習得機会の活用 技術習得の場はあるがそこに関わるまでの心理的ハードルが高い 機会 ハードル 対象 AWS

    Office Hour 月一回の定例となるためタイミングを逃すと最大 1ヶ月程度のラグが発生してしまう VIsional に所属するエンジニア組織に関わる人であれば誰でも参加可能 組織横断 Slack チャンネル チャンネルに多数の人が入っているため個別の 事情を投稿しづらい VIsional に所属するエンジニア組織に関わる人であれば誰でも参加可能 AWS SupportCase 自分たちの課題を Case として投げることに対す る心理的ハードル 障害に関しては比較的投げやすい AWS アカウント管理者 社内勉強会 不定期に開催されるため開催されている時に知 りたい情報が得られるかどうかの判別がつかな い VIsional に所属するエンジニア組織に関わる人であれば誰でも参加可能
  78. #CNDT2021 #CNDT2021_B #CCoE 78
 Cloud Practice の成長を阻害する問題 1. クラウド活用の格差 ◦

    各事業がクラウドに関する情報を知る機会/環境が十分ではない ◦ 効率的にクラウド技術を習得する機会を十分に活用できていない 2. クラウドの進化への追従 ◦ クラウドの進化が年々加速しておりキャッチアップすることが難しいボリュームになっている ◦ 事業がクラウドの新機能を採用する判断をすることが困難
  79. #CNDT2021 #CNDT2021_B #CCoE • AWS では 2020年で 2,757 件のアップデート、Google Cloud

    でもほぼ毎日複数の更新がある 79
 加速するクラウドの進化に追従できない 効率よく技術をキャッチアップする仕組みが必要不可欠 参照: 「企業システムの大半はクラウドに移行する」――ブレないAWSの新戦略 5つの注目ポイント 参照: Google Cloud: Google Cloud release notes
  80. #CNDT2021 #CNDT2021_B #CCoE • 全社コンテナ化推進プロジェクト ◦ 生産性を上げるためとはいえそこにかける工数は大きい ▪ 最初の導入事業では対応工数が半年、工数として 12-18人月、インフラコストは瞬間的に

    1.5倍になった ◦ この投資をして得られる結果の判断をするには個別の事業だけでは難しい ▪ コンテナ化をトップダウンで主導 ▪ 結果として 2021年5月時点でほとんどのアプリケーションのサービスが CaaS に移行完了 • グループとしてのクラウド戦略をリードすることが重要であり必要である 80
 クラウドの新機能を判断するには中長期的視点が必要 短期的視点だけでは新機能の利用判断ができないことが多い
  81. #CNDT2021 #CNDT2021_B #CCoE 81
 これまでの活動 CCoE はクラウドに関するコミュニケーションハブとしての役割を担っていた コミュニケーションハブ としての役割 組織

    A 組織C 組織B 経営 セキュリティ
  82. #CNDT2021 #CNDT2021_B #CCoE 82
 これからの活動の軸 Brokerage (コミュニケーションハブ) だけでなく Community 活動の強化の実施

    参照 : Execute Your Cloud Strategy With a Cloud Center of Excellence
  83. #CNDT2021 #CNDT2021_B #CCoE 83
 これからの活動の軸 Brokerage (コミュニケーションハブ) だけでなく Community 活動の強化の実施

    参照 : Execute Your Cloud Strategy With a Cloud Center of Excellence
  84. #CNDT2021 #CNDT2021_B #CCoE • 共通の課題・関心などをもつメンバーが集まり、学習とアウトプットを継続的に行うこと ◦ 共同活動 ◦ ディスカッション ◦

    問題解決の機会 ◦ 情報共有 ◦ 関係構築 84
 Community of Practice Community of Practice とは 参照 : WHAT IS A COMMUNITY OF PRACTICE?
  85. #CNDT2021 #CNDT2021_B #CCoE 85
 今後 CloudNativeを進めるための Cloud Practice 自然発生的に様々なコミュニティが形成され様々なアイデアが色々なところから生まれる状態 課題

    興味 XXX 技術
  86. #CNDT2021 #CNDT2021_B #CCoE 86
 私たちが踏んだ最も大きな地雷

  87. #CNDT2021 #CNDT2021_B #CCoE 87
 後付けの Vision 設定 最初から CCoE を目指していたわけではなかったため、Vision

    設定が後付けとなってしまった 戦略・戦術 VISION 理想
  88. #CNDT2021 #CNDT2021_B #CCoE 88
 自分たちは何をする部署なのか 目の前のことはわかるが中長期的に目指している場所にいけているか見失ってしまった 戦略・戦術 VISION 現実

  89. #CNDT2021 #CNDT2021_B #CCoE 89
 目の前の課題を潰していくことはできた この状況でもやれたことは多数あった 戦略・戦術 VISION 現実 一定以上のレベルは雲が

    かかっていて見えない (Visionも見えない) ガードレールの設置 (予防的/発見的統制) 警備員設置 (チェックシート) ロープウェイの設置 (共通設定の適用)
  90. #CNDT2021 #CNDT2021_B #CCoE 90
 およそ 1年かけて Vision を設定 クラウドにて高いアジリティと スピードを備えた状態

    クラウドの最適なプラクティスが提供 された状態 クラウドガバナンスが満たされた状態 クラウドのコストが最適化された状態 Vision達成に向けた施策 Visionを目指すための戦略・戦術 ・クラウドにて高いアジリティとスピードを備えた状態 ・クラウドのコストが最適化された状態 ・クラウドガバナンスが満たされた状態 ・クラウドの最適なプラクティスが提供された状態 Business
  91. #CNDT2021 #CNDT2021_B #CCoE 91
 決定した Visional CCoE の Vision クラウドにて高いアジリティと

    スピードを備えた状態 クラウドの最適なプラクティスが提供 された状態 クラウドガバナンスが満たされた状態 クラウドのコストが最適化された状態 Vision達成に向けた施策 Visionを目指すための戦略・戦術 ・クラウドにて高いアジリティとスピードを備えた状態 ・クラウドのコストが最適化された状態 ・クラウドガバナンスが満たされた状態 ・クラウドの最適なプラクティスが提供された状態 CloudNativeを実現する Business