サイバーエージェントにおけるクラウドセキュリティエンジニアの仕事

Transcript

1. サイバーエージェントにおける クラウドセキュリティエンジニアの仕事 株式会社 サイバーエージェント 花塚 亮祐

2. 1.クラウドセキュリティの領域 2.弊社のクラウドセキュリティチーム 3.まとめ

3. 自己紹介 花塚 亮祐 Hanatsuka Ryosuke 所属 システムセキュリティ推進グループ クラウドセキュリティチーム リーダー 経歴

   • 2022/03 サイバーエージェント入社 ~ 現在 CSPM や脅威検知の仕組みの開発・運用に従事 • 2023/10 クラウドセキュリティチーム 発足 • 2024/04 クラウドセキュリティチーム リーダー

4. クラウドセキュリティの領域

5. 弊社のパブリッククラウド利用状況 複数のOrganizations アカウント数 : 750以上 複数のOrganizations プロジェクト数 : 1,000以上 生成AI関連で利用拡大中

6. What is cloud security?

7. What is cloud security? クラウド環境内のアプリケーションやデータ、その他リソースを 保護するためのセキュリティポリシーやベストプラクティス、 テクノロジー全体を指す https://cloud.google.com/learn/what-is-cloud-security https://www.gartner.com/en/information-technology/glossary/cloud-security

8. 責任共有モデルで考えるクラウドセキュリティ クラウドサービスプロバイダー(CSP)とその利用者は責任を共有する 利用者目線の クラウドセキュリティは、 クラウド内のセキュリティと 考えるのが自然 CSP側が責任を一部 担ってくれる https://aws.amazon.com/jp/compliance/shared-responsibility-model/

9. とはいえ、「クラウドセキュリティ」の領域は広い セキュリティガバナンス セキュリティ アシュアランス Identity and Access Management 脅威検知 脆弱性管理

   インフラストラクチャの 保護 データ保護 アプリケーション セキュリティ インシデント対応 AWS「Cloud Adaption Framework」セキュリティパースペクティブ 9項目 https://docs.aws.amazon.com/ja_jp/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html

10. とはいえ、「クラウドセキュリティ」の領域は広い Google Cloud の「Well-Architected Framework」でも同様に広い… https://cloud.google.com/architecture/framework/security#focus_areas_of_cloud_security

11. 世の中の クラウドセキュリティエンジニア は何をするのか?

12. 世の中のクラウドセキュリティエンジニア 求人情報から辿ってみると • 国内「クラウドセキュリティエンジニア」の募集はほとんどない • 海外「Cloud Security Engineer」「Security Engineer -

    Cloud Security」の 募集はおよそ2,000件 ある程度の募集があり、一定のキャリアが確立されているように思える （※2025/5/6時点のLinkedInでの検索結果）

13. 世の中のクラウドセキュリティエンジニア https://blog.marcolancini.it/2022/blog-cyber-security-career-pathways https://engineer.cloudsecbooks.com/ Security Career Pathways 書籍

14. クラウドセキュリティエンジニアの職務パターン 対象 パターンA 業務 • アーキテクチャレビュー • 脅威モデリング • CI/CDのセキュア化

    プロダクト パターンB • ガイドラインの策定 • 継続的な教育 • ガードレールの実装 • 横断的な脅威検知 クラウド環境全体 クラウドセキュリティは領域が広く、組織規模やチームの立ち位置によって職務が変わる

15. どこから始めるか・何に集中するか迷ったら 迷った時、参考になるリファレンス • AWS Cloud Adoption Framework (AWS CAF) •

    AWS Security Maturity Model • Google Cloud Well-Architected Framework しかし実際、他社がこれらを元に何をやっているか？

16. 弊社のクラウドセキュリティチーム

17. クラウドセキュリティチームの歴史 2023年10月 発足 クラウドセキュリティの横断組織 CSPMで検知されたアラート対応 2024年3月 転換期 各プロダクトチームと連携し、 設定不備の大幅な解消に成功 チームの体制変更

    改めて目的を定義し、新チーム体制へ 現在 https://www.cyberagent.co.jp/sustainability/security/info_security/

18. クラウドセキュリティチームの歴史 2023年10月 発足 クラウドセキュリティの横断組織 CSPMで検知されたアラート対応 2024年3月 転換期 各プロダクトチームと連携し、 設定不備の大幅な解消に成功 チームの体制変更

    改めて目的を定義し、新チーム体制へ 現在 https://www.cyberagent.co.jp/sustainability/security/info_security/ 初期の取り組みとしてはよかったが… 一時的な対応ではなく、 設定不備のない状態を持続したい！

19. 予防的な取り組みにシフト 継続的にリスクが軽減される状態を目指す リアクティブな対応 予防的な取り組み 問題が起きにくい 仕組みを整備 CSPM等で検知され る母数減 結果的にかかる 対応コスト減

    時間が経過すれば 元に戻ってしまう… 膨大な検知数への 対応に限界…

20. 現在のミッション 「積極的にチャレンジできる安全なクラウド環境を実現する」 • セキュリティリテラシーに依存せずに、クラウドを安全に利用できるしくみを構 築し、ビジネスを加速させることを目指している • ベースラインを引き上げるだけではカバーしきれない個々のリスクやセキュリ ティ対策の過不足については、他チームへ移譲・協力して対応している

21. 具体的な取り組み例 • クラウドセキュリティガイドラインの作成と普及活動 • 組織横断での脅威検知

22. クラウドセキュリティガイドライン セキュリティリスクを最小限に抑えること、 そして開発者が迷わずにセキュアなクラウド環境を 構築するための手助けをすることが目的

23. ニアリアルタイムに開発者に通知 組織横断での脅威検知 組織横断でクラウドレイヤの脅威を検知 Amazon GuardDuty, AWS CloudTrail, Security Command Center

    を活用 Slack上で対応が 完結するように設計 生成AIでサマリー表示

24. まとめ

25. まとめ • 大規模なクラウド環境を相手に日々奮闘中 ◦ 組織の規模や文化を考慮した運用を作っていく • クラウドセキュリティの領域はとても広い ◦ 本日は弊社の一例を紹介させていただきました ◦

    自分たちのクラウドセキュリティをどう見据えているのか ぜひ懇親会でお話しさせてください

26. We’re Hiring ! 【システムセキュリティ推進グループ】 クラウドセキュリティエンジニア 【株式会社AbemaTV】 クラウドセキュリティエンジニア

27. ありがとうございました

28. Appendix • 大規模なクラウド環境における脅威検知の取り組み ◦ https://developers.cyberagent.co.jp/blog/archives/4 1119/ • 750+ AWS アカウントのクラウドセキュリティ:脅威検知におけ

    るスケーラブルな仕組みと運用(AWS Summit 2024) ◦ https://pages.awscloud.com/rs/112-TZM-766/image s/CUS-34_AWS-Summit-2024_CyberAgent.pdf