Upgrade to Pro — share decks privately, control downloads, hide ads and more …

実践:Cloud Center of Excellence を中心としたクラウド戦略/The ...

_awache
October 20, 2021

実践:Cloud Center of Excellence を中心としたクラウド戦略/The Practice of Cloud Center of Excellence

CloudNative Days 2021 の登壇資料です。

https://event.cloudnativedays.jp/cndt2021/talks/1291
”急成長を続けるVisionalグループはそれに伴う様々な成長痛を抱えていました。特に数多くのクラウド基盤をどのように安心・安全に、かつスケールする形で利用し続けるかということは、一つの大きな課題でした。
この課題を解消し、さらに成長を続けるため、「Cloud Governance」「Cloud Practice」を会社のクラウド戦略として遂行していくことは必要不可欠です。
本セッションでは、CCoE (Cloud Center of Excellence) を遂行する組織を実践していく中で得たナレッジを、大胆にお話しします。”

_awache

October 20, 2021
Tweet

More Decks by _awache

Other Decks in Technology

Transcript

  1. #CNDT2021 #CNDT2021_B #CCoE 実践: Cloud Center of Excellence を中心としたクラウド戦略 Cloud

    Native Days Tokyo 2021 株式会社ビズリーチ(Visional グループ) 粟田 啓介 1

  2. #CNDT2021 #CNDT2021_B #CCoE 自己紹介 2
 • 粟田 啓介 (あわた けいすけ)

    ◦ 株式会社ビズリーチ (Visional グループ) ▪ CCoE マネージャー • 2018年3月に株式会社ビズリーチにDBAとして入社 • 2019年2月に組織横断でDBに対する課題を解決するため DBRE 組織 を設立 • 2020年2月より、Cloud Center of Excellence を実践するグループのマ ネージャ― ◦ コミュニティ ▪ Jagu'e'r CCoE 研究分科会 ▪ DBREJP @_awache
  3. #CNDT2021 #CNDT2021_B #CCoE 設立   :2020年2月(ビジョナル株式会社設立) 創業   :2009年4月(株式会社ビズリーチ創業) 代表者  :ビジョナル株式会社 代表取締役社長 南

    壮一郎 グループ従業員数:1,401名(2021年2月末時点) 資本金  :164億円(資本準備金含む)※2021年5月18日時点 拠点   :東京、大阪、名古屋、福岡、静岡、広島    グループ概要 3

  4. #CNDT2021 #CNDT2021_B #CCoE 6
 本日のテーマ • なぜ Visional は Cloud

    Center of Excellence を実践しているのか ◦ 急成長を続けている Visional はその成長と同時にクラウドに関する多くの課題も生まれていた ◦ 今の課題を解決し、更なる成長を続けるためには「Cloud Practice」「Cloud Governance」をグループのクラウド戦略として 遂行していくことが必要不可欠であった ◦ CCoE の実践という象徴的なキーワードとは裏腹に実際には地道な活動の積み重ねに寄って成り立っている ◦ 本日はそんな私たちの取り組みと実際に当たった壁について共有する • お話ししないこと ◦ 技術的な話 ◦ 「Cloud Practice」に関わる章は時間の都合で Appendix として入れさせていただきました
  5. #CNDT2021 #CNDT2021_B #CCoE 7
 本日の資料について • 事前に公開しています ◦ それなりの資料のボリュームなので「speakerdeck 実践

    CCoE」 で検索し、手元で見ながら聞いていただけるとありがたい です ◦ 皆様の疑問に少しでもお答えしたいと考えています ▪ 不明点ありましたら「#CNDT2021 #CNDT2021_B」と共に「#CCoE」をハッシュタグに付けていただけると反応しやすい のでご協力お願いいたします
  6. #CNDT2021 #CNDT2021_B #CCoE • フルクラウドでサービス運営 ◦ 管理しているクラウド ▪ AWS アカウント:

    100+ ▪ Google Cloud プロジェクト: 75+ • コストベースでは 95% が AWS で稼働 10
 Visional におけるクラウド活用のフェーズ Visional のクラウド活用状況 • Optimization & Reinvention フェーズ ◦ クラウドはデフォルトの選択肢 ◦ アーキテクチャ、運用、プロセス、組織の形は クラウド活用を前提に改善され続けている AWS アカウント数の実績と今後の予測
  7. #CNDT2021 #CNDT2021_B #CCoE 11
 全ての事業が自律的にクラウドを運用している Visional プロダクト組織の特徴 • 技術の選定 (どのクラウドを使うのか)

    を含めそれぞれの事業部が意思決定を行っている ◦ 事業の自律性を尊重 ◦ ビジネスのアジリティを損なわない • 組織の形も事業によって様々 ◦ SRE が役割として明確に存在する組織もあれば、所属するエンジニアがフルスタックに対応する組織もある 開発組織 A Software Engineers DBREs SREs 開発組織 C Full Stack Engineers 開発組織 B Software Engineers SREs
  8. #CNDT2021 #CNDT2021_B #CCoE • 可用性・非機能要件への意識の低下 ◦ エンジニアのマインドや組織体制・文化 • 開発効率の低下 ◦

    運用負荷の増大 ◦ 開発に時間を割くことができる相対的な割合 ◦ 効率・効果的な新しいサービスへの対応柔軟性の低下 • 組織の肥大化によるエンジニア間のコミュニケーションの不足 ◦ 隣の組織が何をやっているのかわからない 12
 成長を続けていった中で抱えた課題 (~2018年)
  9. #CNDT2021 #CNDT2021_B #CCoE 2018年 プラットフォーム基盤推進室 設立 13
 現在の CCoE の前身となる事業横断組織

    • 当時の目的は非機能要件に対する社内のエンジニアの価値を向上させること ◦ コンテナ利用推進 ◦ 品質基準の作成とその可視化 ◦ サービスの技術的負債の解消 ◦ 共通基盤の整備 ◦ ベンダーコラボレーションハブ ◦ 社内グループ間コミュニケーションハブ ◦ テクニカルサポート など
  10. #CNDT2021 #CNDT2021_B #CCoE • 可用性・非機能要件への意識の低下 ◦ エンジニアのマインドや組織体制・文化 • 対応方針 ◦

    プロダクト品質チェックリストを作成、全てのプロダクトでチェックを実施 ◦ AWS Trusted Advisor を活用し、全てのアカウントの推奨設定を一元管理する Dashboard の開発・提供 14
 成長を続けていった中で抱えた課題 (~2018年)
  11. #CNDT2021 #CNDT2021_B #CCoE • クラウドに特化したものではなく ISO25010 を基準として作成 ◦ チェックシートによるマニュアル監査 ◦

    半年に一度、またはサービスローンチ前にチェックを実施 15
 プロダクトの品質を可視化 (2018年12月) プロダクト品質チェックリストを作成、全てのプロダクトでチェックを実施
  12. #CNDT2021 #CNDT2021_B #CCoE • AWS Trusted Advisor とは ◦ AWS

    の「Security」「Fault Tolerance」「Performance」「Cost Optimizing」「Service Limits」の 5 つの観点からAWS の設定状 況を調査し、推奨設定やリスクが高い項目を検知する仕組み • 当時70程度あった AWS アカウント全てに適用し、それを一括でまとめ、特定の条件(セキュリティ要件か つ Error の場合) で Slack 通知、全体の現状を可視化するダッシュボードを提供 17
 クラウド活用レベルをあげるための施策 (2019年2月) AWS Trusted Advisor Dashboard の開発
  13. #CNDT2021 #CNDT2021_B #CCoE • 開発効率の低下 ◦ 運用負荷の増大 ◦ 開発に時間を割くことができる相対的な割合 ◦

    効率・効果的な新しいサービスへの対応柔軟性の低下 • 対応方針 ◦ コンテナ利用の強力な推進による開発効率の向上 19
 成長を続けていった中で抱えた課題 (~2018年)
  14. #CNDT2021 #CNDT2021_B #CCoE • CloudNative なフルマネージドサービスを利用可能にする ◦ 運用効率の向上・運用負荷の軽減 • 活動内容

    ◦ クラウドベンダーを巻き込んだコンテナ勉強会・ハンズオン開催 ◦ コンテナ化計画のプロジェクト管理・進捗や課題管理 ◦ 新規事業に入ってコンテナ化の技術支援 ◦ コンテナ環境の IaC 化によるリファレンス展開 ◦ 各事業のコンテナ化に関するナレッジ集約・展開 ◦ 事業間でのコンテナ化に関するナレッジの集約・展開 20
 コンテナ利用の強力な推進による開発効率の向上 (2018年9月〜) 全社コンテナ化推進プロジェクト
  15. #CNDT2021 #CNDT2021_B #CCoE • 全社コンテナ化推進プロジェクト ◦ 生産性を上げるためとはいえそこにかける工数は大きい ▪ 最初の導入事業では対応工数が半年、工数として 12-18人月、インフラコストは瞬間的に

    1.5倍になった ◦ この投資をして得られる結果の判断をするには個別の事業だけでは難しい ▪ コンテナ化をトップダウンで主導 ▪ 結果として 2021年5月時点でほとんどのアプリケーションのサービスが CaaS に移行完了 • グループとしてのクラウド戦略をリードすることが重要であり必要である 21
 クラウドの新機能を判断するには中長期的視点が必要 短期的視点だけでは新機能の利用判断ができないことが多い
  16. #CNDT2021 #CNDT2021_B #CCoE • コンテナはデフォルトの選択肢 ◦ 2年以上かかったが、ほとんどのサービスが移行を完了 ◦ 現在新しく立てるサービスのデフォルトはコンテナ、もしくはサーバレス ◦

    アーキテクチャ刷新と同時に技術的負債の解消の実施 ◦ 疎結合なアーキテクチャ (マイクロサービス化) 22
 コンテナ化プロジェクトの現在 サービスの CloudNative 化が現在進行形で進んでいる
  17. #CNDT2021 #CNDT2021_B #CCoE • 組織の肥大化によるエンジニア間のコミュニケーションの不足 ◦ 隣の組織が何をやっているのかわからない • 対応方針 ◦

    社内外のクラウドに関するコミュニケーションハブとしての動きを実施 ◦ AWS Support Case を一元管理できる Platform の開発 23
 成長を続けていった中で抱えた課題 (~2018年)
  18. #CNDT2021 #CNDT2021_B #CCoE • 近い場所での体験を知ることで課題解決の方法やモチベーションを高めることができる ◦ 社内であればハードルが低く、成功体験や失敗体験を聞くことができるはずだが出来ていない ◦ 社内ですらどんな課題を持っていて、どんな技術スタックを持っているかなどを知る術がない ◦

    自分たちの課題解決をソフトウェアで頑張ってしまったり、同じ様な課題に対して別々のソリューションでアプローチした りすることで効率が悪いケースがある 24
 組織間の関係性が希薄 他部署の事例や技術を知り、互いに共有し合う関係の構築の必要性 C D
 B E H A G F 組織間 連携が希薄
  19. #CNDT2021 #CNDT2021_B #CCoE 25
 社内外のクラウドに関するコミュニケーションハブ Cloud Center of Excellence 組織

    A 組織C 組織B 経営 セキュリティ グループ全体として取り 組む施策の主導と技術 サポート MTG や Slack 等各グルー プ間の共有の場の提供 クラウドベンダーによ る勉強会の実施 事業の課題解決のため の OfficeHour の実施 グループ間技術共有 新規事業創設サポート 事業の困りごとキャッチ アップ インターナルフローの実 施と、そのサポート 経営からの相談と経営 へのレポーティング 各事業の技術スタックと その状態のキャッチアッ プ
  20. #CNDT2021 #CNDT2021_B #CCoE • 起票される SupportCase を一元管理 ◦ 事業の困りごとの把握 ◦

    課題の発見 ◦ ナレッジの共有 26
 他の事業で起こっていることを認識するための施策(2019年8月) 全ての AWS Support Case の利活用状況を可視化 一覧画面 詳細画面 Slack 通知
  21. #CNDT2021 #CNDT2021_B #CCoE 最初から CCoE を目的としていたわけではない 27
 グループ発足当初の目的は Visional グループの非機能要件を向上させること

    • チームメンバーのスペシャリティがクラウドで、そこに合わせた非機能要件改善施策を実施 • 自分たちに期待されている (と思って) 出していたアウトプットが結果的に CCoE となった ◦ AWS Trusted Advisor Dashboard も現在の CCoE テックリードが課題を効率的に発見するために業務の合間に開発 ▪ 最初から大きなことを目指していく必要はない ▪ まずは自分にできることから始め徐々に活動範囲を広げていった結果今に至る
  22. #CNDT2021 #CNDT2021_B #CCoE 28
 これらを積み重ねていくうちに活動主体がクラウドへとシフト 2018 2019 2020 2021 プロダクトの

    非機能要件改善を 目的として組織形成 • チェックシートによるプロダクト評価の実施 • クラウドガードレール開発開始 • 活動の主体がクラウドになる • クラウドガードレールによる 継続的統制を実現 • クラウドインフラグループに組織変更 CCoE として再始動 • ガバナンス/Practice を主軸として グループのクラウド戦略を推進
  23. #CNDT2021 #CNDT2021_B #CCoE 31
 Visional CCoE の Vision クラウドにて高いアジリティと スピードを備えた状態

    クラウドの最適なプラクティスが提供 された状態 クラウドガバナンスが満たされた状態 クラウドのコストが最適化された状態 Vision達成に向けた施策 Visionを目指すための戦略・戦術 ・クラウドにて高いアジリティとスピードを備えた状態 ・クラウドのコストが最適化された状態 ・クラウドガバナンスが満たされた状態 ・クラウドの最適なプラクティスが提供された状態 Business
  24. #CNDT2021 #CNDT2021_B #CCoE 32
 Visional CCoE の Vision クラウドにて高いアジリティと スピードを備えた状態

    クラウドの最適なプラクティスが提供 された状態 クラウドガバナンスが満たされた状態 クラウドのコストが最適化された状態 Vision達成に向けた施策 Visionを目指すための戦略・戦術 ・クラウドにて高いアジリティとスピードを備えた状態 ・クラウドのコストが最適化された状態 ・クラウドガバナンスが満たされた状態 ・クラウドの最適なプラクティスが提供された状態 CloudNativeを実現する Business
  25. #CNDT2021 #CNDT2021_B #CCoE 33
 • Don't Leave Issues ◦ 課題と向き合い続ける

    • Make it Visible ◦ 現状を正しく把握し、課題発見と健全な成長を促す • No Ops, More Code ◦ エンジニアが開発と事業成長に注力できる環境を提供する Value
  26. #CNDT2021 #CNDT2021_B #CCoE 34
 Visional のクラウド戦略を推進し、その戦略を事業に適用するための組織や役割 Visional の考える CCoE •

    特にエンタープライズ企業において、クラウドによってより推進されるテクノロジーの運用を進化させるた め、ベストプラクティスやフレームワーク、ガバナンスを作成・伝導・制度化するための専門の人材を集め たチーム ※ クラウド推進組織を起点とした クラウド導入の進め方 参照 : Google Cloud Japan が CCoE(Cloud Center of Excellence)研究分科会を発足
  27. #CNDT2021 #CNDT2021_B #CCoE 35
 Cloud Business Office と Cloud Platform

    Engineering Visional CCoE の 構成 • Cloud Business Office ◦ 事業や他のステークホルダー(経営、セキュリティ、財務、法務、人事等) からの要求と、CCoE が提供する Platform や Visional としてのクラウド戦略を連携させる役割 • Cloud Platform Engineering ◦ ガバナンスに準拠しながらクラウドの効果的な利活用を加速させるために、コード化された標準や環境を提供する役割 Cloud Center of Excellence Cloud Business Office Cloud Platform Engineering 2名 5名
  28. #CNDT2021 #CNDT2021_B #CCoE • 自分たちのアウトプットがビジネスに反映されることによって価値提供されている ◦ 自分たちの提供する Platform が CloudNative

    であるのは当たり前 ◦ グループという単位で CloudNative と言える状態にすることを目指して活動する必要がある 36
 私たちの目指す CloudNative Visional CCoE は横断組織、つまり... クラウドにて高いアジリティと スピードを備えた状態 クラウドの最適なプラクティスが提供 された状態 クラウドガバナンスが満たされた状態 クラウドのコストが最適化された状態 Vision達成に向けた施策 Visionを目指すための戦略・戦術 Business
  29. #CNDT2021 #CNDT2021_B #CCoE Visional CCoE の役割 各ステークホルダーとのハブとなり様々な連携を行う 37
 CCoE クラウド

    ベンダー 事業部 経営 その他間接部門 (セキュリティ、経理、法務、 人事, etc.) セキュリティ、ガバナンス プラクティス、ポリシー クラウドプラットフォーム 連携 相談 問合せ 提供 技術支援 情報提供 相談 フィードバック 連携 フィードバック クラウド関連 レポーティング ※クラウド利用者 • 役割 ◦ クラウド戦略計画・推進 ◦ クラウドガバナンスの適用 ◦ クラウド組織管理 ◦ ナレッジ管理 ◦ クラウドプラットフォーム開発運用 ◦ 技術支援 ◦ トレーニング など
  30. #CNDT2021 #CNDT2021_B #CCoE Visional クラウド戦略を推進するための構成要素 39
 グループの課題をクラウド視点で解決し、競争優位性の獲得を加速させる CloudNative クラウドの利点を徹底的に活用し競争優位性を獲得 Governance

    事業の自律性を尊重し、安全で効率的なクラウド活用をセルフサービスで実現 失敗率を下げる 持続可能性を上げる Practice クラウド活用を高速に改善してイノベーションを起こす企業風土の構築 ゼロ ↑ マイナス プラス ↑ ゼロ ヒト ・ 組織 への アプローチ クラウド への アプローチ Visional の持続可能性を上げ、失敗率を下げることを推進し続ける
  31. #CNDT2021 #CNDT2021_B #CCoE Visional クラウド戦略ロードマップ 2020
 2021
 2022
 2023
 2024


    時間
 CloudNativeを軸としたクラウド戦略 2025
 継続的なPracticeを通じたクラウド戦略 Governanceを軸としたクラウド戦略 競争優位性
 CCoE組織設立 Governance 適用 健全に事業運営がなされていることが 証明できている状態を目指す CloudNative 化推進フェーズ Cloud を効果的に活用し、攻めの事業戦略を推進 できる状態を目指す CloudNative への進化 競争優位性を獲得し、企業価値を最大化する為の クラウド戦略を実行できている状態を目指す 40

  32. #CNDT2021 #CNDT2021_B #CCoE Agility と Governance を両立するためのクラウド戦略 42
 事業の自律性を尊重し、安全で効率的なクラウド戦略をセルフサービスで実現する Governance

    事業の自律性を尊重し、安全で効率的なクラウド活用をセルフサービスで実現 失敗率を下げる Practice クラウド活用を高速に改善してイノベーションを起こす企業風土の構築 ゼロ ↑ マイナス ヒト ・ 組織 への アプローチ クラウド への アプローチ CloudNative クラウドの利点を徹底的に活用し競争優位性を獲得 持続可能性を上げる プラス ↑ ゼロ
  33. #CNDT2021 #CNDT2021_B #CCoE 43
 急成長を続ける Visional では数多くの AWS アカウントを運用する中で、クラウドのセキュリティや信頼性に関 わる設定不備や考慮不足など、不適切な管理が行われてしまったことによってセキュリティインシデントや

    サービス障害につながる事象が発生してしまっていた • 主な要因 ◦ 各部署のエンジニアの増加・多様化によるクラウドスキルのばらつき ◦ 部署やサービスのフェーズによって非機能要件に対して求めるレベルや優先度が異なる ◦ ヒトによる手作業のため、作業ミスや考慮漏れを防ぎきれない ◦ 社内のクラウド利用に関するポリシーの整備が不十分 クラウド利活用に対する課題
  34. #CNDT2021 #CNDT2021_B #CCoE 44
 2018年末 グループ全体でサービス開発・運用におけるポリシーを定め、チェックリストで評価して改善する取 り組みを開始 • チェックリストだけで全てのサービスを正確かつ適切にチェックするのは困難 ◦

    担当部署のセルフチェックで実施するため、評価対象・基準の揺れが発生 ◦ 人手によるチェックのため、誤りや見落としが存在 ◦ 各部署にてチェックを行うことで、多くの工数が必要 ◦ 動的に変更されるシステムの特定時点をチェックするため、問題検出の見逃しや遅延が発生 当初はマニュアルでチェックを実施 社内ユーザー • 半年周期、及び新規サービスの場合はローンチ前に評価を実施 • システムの脆弱性診断や OSS の脆弱性スキャンを内包
  35. #CNDT2021 #CNDT2021_B #CCoE 45
 Cloud Governance を効率的に適用するためのキーワード クラウドガードレール • クラウドガードレールとは

    ◦ 可能な限り自由を確保しつつ、望ましくない領域のみ制限、または発見するソリューション ▪ 「ゲート」によるブロッカーとなる制御から、「ガードレール」として禁止操作を制限して危険な設定を検出することでア ジリティを維持してガバナンスコントロールを実現する • 一般的なクラウドガードレールの種類 ガードレール 役割 概要 予防的ガードレール 制限 対象の操作を出来ない様にする 発見的ガードレール 検知 望ましくない操作を行なった、された場合、それを発見、検知する 訂正的ガードレール 修正 望ましくない設定がなされた場合に自動で修正する
  36. #CNDT2021 #CNDT2021_B #CCoE Agility か Governance か、どちらか一方を選ぶのはない クラウドを活用して Agility と

    Governance を両立する 46
 CCoE としてのスタンス 事業の Agility と Governance のバランスをとった戦略遂行 Agility Governance リスクの高い箇所など、特定の範囲のみルールを適 用して管理 • “制限” はリスクの高い箇所に限り適用する • “検知” は徹底的に取得する • “修正” は事業部側で判断 ◦ ただし、その状態は正しく把握する クラウド利用の自由度を完全には損なわない • How で縛らない • 価値で縛る
  37. #CNDT2021 #CNDT2021_B #CCoE 47
 クラウドに対して制限をかけることでリスクの発生前に予防する 予防的ガードレールのための Platform の提供 社内エンジニア 禁止されたオペレーション

    • Visional CCoE はクラウド管理上、明確に禁止された一定の操作を制限しリスク回避を実現 ◦ Organization からの脱退禁止 ◦ ガードレールとしての動作を保証するため、必要なサービスの無効化・変更の禁止 ◦ ガードレールとしての機能を提供できないリージョンの利用の禁止
  38. #CNDT2021 #CNDT2021_B #CCoE 48
 事業やサービスに対してリスクの発生後に、その発生を検知する 発見的ガードレールのための Platform の提供 社内エンジニア 操作

    • セキュリティ脅威検知 • 不適切な設定の検知 検知 社内エンジニア セキュリティチーム 悪意を持つヒトやシステム 通知 Visional CCoE は検知のための Platform の提供だけでなく対応プロセスまで含めて関与 対応
  39. #CNDT2021 #CNDT2021_B #CCoE 49
 Visional CCoE が開発、提供しているガードレール No カテゴリ 概要

    概説 活用しているクラウドサービス 1 予防的ガードレール 禁止ポリシーの設定 組織全体で禁止するポリシーを設定し、ユーザーに制限をかける • AWS: Service Control Policy • Google Cloud: 組織のポリシー 2 発見的ガードレール セキュリティ脅威検知 内外からの不適切なアクティビティに対する検知 • AWS: GuardDuty • Google Cloud: (*) ◦ Event Threat Detection, Container Threat Detection など 3 発見的ガードレール 不適切な設定の検知 リスクの高い不適切な構成設定をされた場合に検知 • AWS: AWS Config • Google Cloud: (*) ◦ Security Health Analytics など 4 発見的ガードレール 証跡集約 クラウドの監査ログを統一し、一箇所に集約した上でログの完全性を保証 有事の際に調査可能な状態を実現 • AWS: CloudTrail • Google Cloud: Cloud Audit Logging 5 発見的ガードレール ベストプラクティス評価 ベンダーの推奨するベストプラクティスを検知 • AWS: AWS Trusted Advisor • Google Cloud: Recommender (*) 6 発見的ガードレール IaaS/CaaS OSS 脆弱性評価 IaaS/CaaS で利用している OSS の評価を行い、脆弱性を検知 • AWS: AWS Inspector / Elastic Container Registry (ECR) * 現在開発、運用設計中のステータス
  40. #CNDT2021 #CNDT2021_B #CCoE 50
 現状はセキュリティの要素に寄ったクラウドガードレールの提供 クラウドガードレールによる効果 • ガードレールを横断的な Platform として構築したことによる最大のメリット

    ◦ アップデートされ続けるリスクに追従し、それを今後増え続ける事業を含めて全ての事業に予防的・発見的ガードレー ルとして適用することが可能になった • ガードレールだけで全てがチェックできるわけではない ◦ 現在はチェックシートと併用して活用 参照: 情報セキュリティ10大脅威 2021
  41. #CNDT2021 #CNDT2021_B #CCoE • 経営に対して事業が健全に運営されていることを証明するための要素 ◦ クラウドがどのように利活用されているかということを細かく見たいわけではない ▪ セキュリティが全方位的に守られていて欲しい ▪

    機能開発に向き合っている時間が長い状態でいて欲しい ▪ コストが最適に使われていることを証明して欲しい ▪ サービスの稼働率が高い状態を維持して欲しい こういった思いを形にするためにクラウドという観点で手助けをしていく ◦ これらの活動によって経営による積極的で適切な投資判断を可能にし、事業の改善が進むことでビジネスに価値が反 映される状態を作り出す 51
 今後のクラウドガードレールの展望 セキュリティ要件の拡張と信頼性・コスト・パフォーマンス領域への進出
  42. #CNDT2021 #CNDT2021_B #CCoE 53
 • AWS リソースの設定を記録・評価する AWS サービス ◦

    AWS Config では、リソースの設定が継続的に記録され、指定したルールに基づいてリソースの設定を評価 ◦ 修復アクションを設定すればリソースの自動修復(訂正的ガードレール)も可能 ▪ Visional ではまだ訂正的ガードレールは行なっていない AWS Config AWS Config AWS Config Rules Record Evaluation
  43. #CNDT2021 #CNDT2021_B #CCoE 54
 チェックの自動化と継続的モニタリング・コンプライアンス準拠 AWS Config を活用して目指した世界観 • DMAIC

    の考え方を実践 ◦ 定義(Define): 計測・評価の範囲や内容を定義 ◦ 計測・評価(Measure): 計測・評価を実施して結果を収集 ◦ 分析(Analyze): 原因の分析・レポーティング ◦ 改善(Improve): 不具合の改善・改善計画の作成 ◦ 定着(Controle): 成果を確認し、定着を目指す • CCoE と経営・各事業が連動して実現 定義 Define 計測・評価 Measure 分析 Analyze 改善 Improve 定着 Control CCoE 事業部 (参考)シックスシグマ DMAIC     ISO 13053-1 Quantitative methods in process improvement — Six Sigma — Part 1: DMAIC methodology
  44. #CNDT2021 #CNDT2021_B #CCoE • 事業のアジリティとガバナンスを考慮して対象範囲を決定 ◦ 非準拠項目に直接的に対応するのは AWS アカウントを管理している各事業部 ◦

    厳しすぎるルールは事業の Agility と Governance のバランスを失ってしまう事につながる 55
 定義(Define): 計測・評価の範囲や内容を定義 グループ全社共通のセキュリティ・信頼性に関わる対応必須ルールを選定
  45. #CNDT2021 #CNDT2021_B #CCoE • コンプライアンス非準拠になったタイミングで通知 ◦ 非準拠通知 ▪ 担当者とセキュリティ部門向けに非準拠結果を通知 •

    ルール・アカウント・リージョン・対象リソース ◦ 解決通知 ▪ 非準拠通知メッセージを解決済みとして更新 • 非準拠から準拠、または対象外へ遷移したタイミング ▪ AWS アカウント運用者の対応が正しかったことを証明 ▪ 非準拠状態を残し続けることの違和感を作り、積極的 対応を促進する 56
 計測・評価(Measure): 計測・評価を実施して結果を収集 問題をリアルタイムに検知して適切な対応アクションを行う
  46. #CNDT2021 #CNDT2021_B #CCoE 57
 ルール毎に対応の緊急度が異なるため、適切な緊急度で対応する ルール重要度の設定 • Critical: 即時対応を実施 ◦

    セキュリティ事故に直結する可能性があるもの ◦ クリティカルな異常に気付けない状態になっているもの ▪ GuardDuty が無効化されている、等 ◦ AWS Root アカウントに関連するもの • High: 2〜3営業日対応を実施 ◦ サービスの信頼性やセキュリティに関係する事故が発生する可能性があるもの ◦ ログ出力設定でアカウントや VPC 全体に関わるもの • Medium: 計画的対応を実施 ◦ 多層防御の一部レイヤーで発生しており、セキュリティ事故に直結しないもの ◦ セキュリティリスクを含むが影響が限定的なもの ◦ ログ出力設定で局部にのみ関わるもの
  47. #CNDT2021 #CNDT2021_B #CCoE • リリース当初は70%台の準拠率 (1000+の非準拠を検出) ◦ もともと Policy の存在しなかったところに導入したため一定の非準拠が発生することは覚悟していた

    ◦ 可視化された後の分析・改善フェーズへの移行は泥臭く様々な施策を適用 59
 可視化をした時点では多数の非準拠が存在 本格運用開始は 2020 年 08 月
  48. #CNDT2021 #CNDT2021_B #CCoE 60
 準拠状況の月次定期レポート 分析(Analyze): 原因の分析・レポーティング 改善率を上に持ってきて称賛 全体のトップランキングを表示 上と合わせて客観的にどの立ち位置にい

    るのかを確認し、危機意識を醸成 CCoE からの一言コメント * このレポートは 2021-03 のものです 現在は改善も進み数値も変動しています 放置したら何が発生するのか、を説明す ることで能動的な対応の文化形成
  49. #CNDT2021 #CNDT2021_B #CCoE • 現場のエンジニアに価値を理解してもらうため全体共有会を実施 ◦ 会社としてのメッセージングを含めて、価値と対応そのものに理解してもらうことに重点を置く ▪ CCoE だけでなく、セキュリティ室と合同で実施

    • 個別に非準拠結果の Review 会を実施 ◦ 対応方針がわからない、や知見の共有を CCoE と一緒に実施 ◦ 時間を決めて一気に改善を進めることができる 61
 改善(Improve): 不具合の改善・改善計画の作成 社内勉強会を実施し、スムーズな対応を促す
  50. #CNDT2021 #CNDT2021_B #CCoE 64
 CloudNativeの実現は自分たちだけでは辿り着けない 信頼関係を構築しながら自然と対応が可能となる状態を事業とともに目指す ↓ ネガティブ ポジティブ ↑

    事業 CCoE 他律・依存 自律・共存 自立・自力 自然 何かしらの指標を示して一定の強制力を持って 実行していかざるを得ない状態 他律から得たコトを自力で向かい合って解 決し続けていける状態 自立・自力をいかに効率的に伸ばしていくか、プロ ダクトと一緒に並走できる状態 コトに対して何もしなくても自然と できている状態 信頼関係 目的が達成された状態 ↑ ↓ 目指す過程 規 範 的 ア プ ロ ー チ 助 言 的 ア プ ロ ー チ
  51. #CNDT2021 #CNDT2021_B #CCoE 65
 経営層への状況報告 経営層と意思疎通をとることでスムーズに解決することが多い • 自分たちの活動を後押ししてくれる経営層の存在の有無でアウトプットできることが変わる ◦ 全てのステークホルダーが協力的であるとは限らない

    ▪ CCoE の活動を経営を巻き込んで実施することで、会社としてコミットする事項として設定する ▪ 経営からのメッセージは CCoE の活動を円滑に進めるための大きな原動力となる ◦ 事業にしかわからない状況は数多く存在する ▪ 横断組織から提案している内容を全てに優先してやる必要はない ▪ 価値を理解してもらい、正しく優先度をつけて先導してもらう必要がある
  52. #CNDT2021 #CNDT2021_B #CCoE • 最初から CCoE を目指していたわけではなく、自分たちのアウトプットが結果的に CCoE になった •

    今後も更なる Visional の継続的な成長を支えるための軸 ◦ クラウド活用を高速に改善してイノベーションを起こす企業風土を構築するための「Cloud Practice」 ◦ 事業の自律性を尊重し、安全で効率的なクラウド活用をセルフサービスで実現するための「Cloud Governance」 ◦ Visional として CloudNative を実現するための土台作りをしている • CCoE だけではクラウド戦略を推進することはできない ◦ 事業や経営、そして他のステークホルダーと協力していくことが重要 67
 Visional の実践する Cloud Center of Excellence Visional のクラウド戦略を推進し、その戦略を事業に適用すること
  53. #CNDT2021 #CNDT2021_B #CCoE • AWS Summit Online Japan 2020 ◦

    ⽤規模な組織変遷と100以上のAWSアカウントの横断的セキュリティガードレール運⽤について • Visional Engineering Blog ◦ 100を超えるAWSアカウント運用におけるガードレール構築事例 • 書籍 (2021年11月11日 発売予定) ◦ DXを成功に導くクラウド活用推進ガイド CCoEベストプラクティス • Google Cloud Security Summit (2021年11月30日予定) ◦ Visional における CCoE 組織とセキュリティ ガードレール整備の取り組み 68
 より技術的なことを知りたい Visional Engineering Blog や CCoE メンバーによる登壇なども参考にしてください
  54. #CNDT2021 #CNDT2021_B #CCoE Cloud Practice は企業活動の地盤となる 73
 クラウド活用を高速に改善してイノベーションを起こす企業風土を構築する CloudNative クラウドの利点を徹底的に活用し競争優位性を獲得

    Governance 事業の自律性を尊重し、安全で効率的なクラウド活用をセルフサービスで実現 失敗率を下げる 持続可能性を上げる Practice クラウド活用を高速に改善してイノベーションを起こす企業風土の構築 ゼロ ↑ マイナス プラス ↑ ゼロ ヒト ・ 組織 への アプローチ クラウド への アプローチ
  55. #CNDT2021 #CNDT2021_B #CCoE 74
 Cloud Practice の成長を阻害する問題 1. クラウド活用の格差 ◦

    各事業がクラウドに関する情報を知る機会/環境が十分ではない ◦ 効率的にクラウド技術を習得する機会を十分に活用できていない 2. クラウドの進化への追従 ◦ クラウドの進化が年々加速しておりキャッチアップすることが難しいボリュームになっている ◦ 事業がクラウドの新機能を採用する判断をすることが困難
  56. #CNDT2021 #CNDT2021_B #CCoE 75
 Cloud Practice の成長を阻害する問題 1. クラウド活用の格差 ◦

    各事業がクラウドに関する情報を知る機会/環境が十分ではない ◦ 効率的にクラウド技術を習得する機会を十分に活用できていない 2. クラウドの進化への追従 ◦ クラウドの進化が年々加速しておりキャッチアップすることが難しいボリュームになっている ◦ 事業がクラウドの新機能を採用する判断をすることが困難
  57. #CNDT2021 #CNDT2021_B #CCoE 77
 クラウド技術の習得機会の活用 技術習得の場はあるがそこに関わるまでの心理的ハードルが高い 機会 ハードル 対象 AWS

    Office Hour 月一回の定例となるためタイミングを逃すと最大 1ヶ月程度のラグが発生してしまう VIsional に所属するエンジニア組織に関わる人であれば誰でも参加可能 組織横断 Slack チャンネル チャンネルに多数の人が入っているため個別の 事情を投稿しづらい VIsional に所属するエンジニア組織に関わる人であれば誰でも参加可能 AWS SupportCase 自分たちの課題を Case として投げることに対す る心理的ハードル 障害に関しては比較的投げやすい AWS アカウント管理者 社内勉強会 不定期に開催されるため開催されている時に知 りたい情報が得られるかどうかの判別がつかな い VIsional に所属するエンジニア組織に関わる人であれば誰でも参加可能
  58. #CNDT2021 #CNDT2021_B #CCoE 78
 Cloud Practice の成長を阻害する問題 1. クラウド活用の格差 ◦

    各事業がクラウドに関する情報を知る機会/環境が十分ではない ◦ 効率的にクラウド技術を習得する機会を十分に活用できていない 2. クラウドの進化への追従 ◦ クラウドの進化が年々加速しておりキャッチアップすることが難しいボリュームになっている ◦ 事業がクラウドの新機能を採用する判断をすることが困難
  59. #CNDT2021 #CNDT2021_B #CCoE • AWS では 2020年で 2,757 件のアップデート、Google Cloud

    でもほぼ毎日複数の更新がある 79
 加速するクラウドの進化に追従できない 効率よく技術をキャッチアップする仕組みが必要不可欠 参照: 「企業システムの大半はクラウドに移行する」――ブレないAWSの新戦略 5つの注目ポイント 参照: Google Cloud: Google Cloud release notes
  60. #CNDT2021 #CNDT2021_B #CCoE • 全社コンテナ化推進プロジェクト ◦ 生産性を上げるためとはいえそこにかける工数は大きい ▪ 最初の導入事業では対応工数が半年、工数として 12-18人月、インフラコストは瞬間的に

    1.5倍になった ◦ この投資をして得られる結果の判断をするには個別の事業だけでは難しい ▪ コンテナ化をトップダウンで主導 ▪ 結果として 2021年5月時点でほとんどのアプリケーションのサービスが CaaS に移行完了 • グループとしてのクラウド戦略をリードすることが重要であり必要である 80
 クラウドの新機能を判断するには中長期的視点が必要 短期的視点だけでは新機能の利用判断ができないことが多い
  61. #CNDT2021 #CNDT2021_B #CCoE • 共通の課題・関心などをもつメンバーが集まり、学習とアウトプットを継続的に行うこと ◦ 共同活動 ◦ ディスカッション ◦

    問題解決の機会 ◦ 情報共有 ◦ 関係構築 84
 Community of Practice Community of Practice とは 参照 : WHAT IS A COMMUNITY OF PRACTICE?
  62. #CNDT2021 #CNDT2021_B #CCoE 89
 目の前の課題を潰していくことはできた この状況でもやれたことは多数あった 戦略・戦術 VISION 現実 一定以上のレベルは雲が

    かかっていて見えない (Visionも見えない) ガードレールの設置 (予防的/発見的統制) 警備員設置 (チェックシート) ロープウェイの設置 (共通設定の適用)
  63. #CNDT2021 #CNDT2021_B #CCoE 90
 およそ 1年かけて Vision を設定 クラウドにて高いアジリティと スピードを備えた状態

    クラウドの最適なプラクティスが提供 された状態 クラウドガバナンスが満たされた状態 クラウドのコストが最適化された状態 Vision達成に向けた施策 Visionを目指すための戦略・戦術 ・クラウドにて高いアジリティとスピードを備えた状態 ・クラウドのコストが最適化された状態 ・クラウドガバナンスが満たされた状態 ・クラウドの最適なプラクティスが提供された状態 Business
  64. #CNDT2021 #CNDT2021_B #CCoE 91
 決定した Visional CCoE の Vision クラウドにて高いアジリティと

    スピードを備えた状態 クラウドの最適なプラクティスが提供 された状態 クラウドガバナンスが満たされた状態 クラウドのコストが最適化された状態 Vision達成に向けた施策 Visionを目指すための戦略・戦術 ・クラウドにて高いアジリティとスピードを備えた状態 ・クラウドのコストが最適化された状態 ・クラウドガバナンスが満たされた状態 ・クラウドの最適なプラクティスが提供された状態 CloudNativeを実現する Business