今日から始める会社横断ワンチームのつくりかた〜僕らが進むセキュリティ向上への道〜

今日から始める会社横断ワンチームのつくりかた〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024  © NTT SMILE ENERGY.
All rights reserved   今日から始める会社横断ワンチームのつくりかた〜僕らが進むセキュリティ向上への道〜 DevOpsDays Tokyo 2024 株式会社NTTスマイルエナジー迎諒株式会社サーバーワークス松井紀樹

All rights reserved   Name: 迎諒(Ryo MUKAI) Organization: NTTスマイルエナジー事業開発部 Attribute: ミュージシャン兼インフラエンジニア WHOIS? Name: 松井紀樹(Toshiki Matsui) Organization: 株式会社サーバーワークスカスタマーサクセス部 CS5課課長 Attribute: インフラエンジニア　マネージャー

All rights reserved   会社概要/株式会社NTTスマイルエナジー社　　名株式会社NTTスマイルエナジー  設　　立 2011年6月1日所在地大阪府大阪市中央区北浜2丁目6-18　淀屋橋スクエア4階代表取締役社長武馬雄一郎資本金 1億円（NTTアノードエナジー、オムロンソーシアルソリューションズ、NTT西日本）従業員数 125名組織    我々は、通信・制御技術を用いて、エネルギーを持続可能でインタラクティブなものへと変革します。そのことによって、世界中の人々が、笑顔で安心して暮らせるより良い社会をつくりあげていきます。企業理念 CORPORATE PHILOSOPHY 取締役会事業企画部事業推進部代表取締役社長監査役事業開発部

All rights reserved   Best Practice AWSアカウントのガバナンス統一 ▶ AWS Organizations の導入ベストプラクティスは、ウチには合わない話 NSEの現状 • SWXの請求代行を使っているのである程度初期設定はSWXにお任せ • アカウントの増減の頻度は、かなり低い • セキュリティ系の初期設定はCDKを使っているので冪等性は担保している別に運用負荷は下がらないんじゃ？というか、本番環境に導入するのはそもそも怖いこんなカオスな環境に適用して大丈夫？

All rights reserved   Best Practice AWSアカウントのガバナンス統一 ▶ AWS Organizations の導入ベストプラクティスは、ウチには合わない話 NSEの現状 • SWXの請求代行を使っているのである程度初期設定はSWXにお任せ • アカウントの増減の頻度は、かなり低い • セキュリティ系の初期設定はCDKを使っているので冪等性は担保している別に運用負荷は下がらないんじゃ？というか、本番環境に導入するのはそもそも怖いこんなカオスな環境に適用して大丈夫？色んな人を巻き込んで、不安や疑問を解消することに

All rights reserved   ・AWS Security Hub 　客観的な第三者的な視点によるAWS環境のセキュリティを評価　→適切なセキュリティ基準が出来る　全てを準拠するのではなく、NSEで運用可能なルールに限定して管理　→アプリに影響ない部分から小さく始める・Amazon GuardDuty 　悪意のあるアクティビティや異常な動作をモニタリング • セキュリティ上の問題を検知して通知出来る • ポチッと有効化するだけ、すぐに始められる各アカウントの情報をセキュリティアカウントへ集約

All rights reserved   • 「僕の・私の最強のセキュリティ設定」からの脱却 → AWS標準のセキュリティ基準で評価できていることの安心感 • 重点課題を定量的に認識しやすい • 少しの変化に全アカウントすぐに対応可能 → Security Hubのルール変更は、更新頻度が割と高い Organizationsを導入してよかったことアカウントA 合格: 168 失敗: 22 スコア: 88% アカウントB 合格: 152 失敗: 38 スコア: 80% アカウントC 合格: 150 失敗: 40 スコア: 78% アカウントD 合格: 182 失敗: 8 スコア: 96% 重点課題！

All rights reserved   • 関連サービスで思ったより費用がかかった ◦ AWS Config ◦ AWS CloudTrail ◦ AWS Security Hub ◦ Amazon GuardDuty 特にCloudTrailは2つ目以降の証跡に発生する管理イベントの料金体系が異なる点に注意！既存の設定が不要なら削除しましょう →請求にPaidEventsRecordedのイベントタイプがあれば　複数証跡が発生しています Organizationsを導入してよくなかったこと

All rights reserved   ふりかえり • 全員が黄色の付箋を使う → 誰が書いたかで印象が変わることがある • プライベートなことも書いてOK → 特にgoodは一番付箋が多い人が勝ち！　頭をフル回転させることに意味がある • 全員が黄色の付箋を使う → 誰が書いたかで印象が変わることがある • プライベートなことも書いてOK → 特にgoodは一番付箋が多い人が勝ち！　頭をフル回転させることに意味がある

All rights reserved   • このチームの取組を自社に展開 → 半年やってみて、やっぱり良かった • メンバー総意の感想「腹を割って話せた」 → コミュニケーションのハードルが下がる　普段の打ち合わせもスムーズに • 「Be ふりかえり」を達成 • メンバーの自律的な意識変化 → 周りを頼る、カイゼンを当たり前に • ふりかえり楽しいふりかえりサーバーワークス社内でやってみた記録はこちら

All rights reserved   Googleが取り入れているドキュメントフォーマット https://www.industrialempathy.com/posts/design-docs-at-google/ • ゴール • ゴールとしないこと • 検討した代替案 • 何を:What • 何のために:Why • どのように:How Design Docの導入設計書を見ただけでは分からないさまざまな要素について検討した思考の過程(=ノウハウ)を残す →認識の齟齬を埋めてくれる重要な役割を担う

All rights reserved   • Organizations + Security Hubの導入 ◦ 全アカウントで共通の基準で監視できている安心感 ◦ 優先的に対応しなければいけない箇所が明確になった • セキュリティ基準の変化に対する追従 ◦ Stack Setの活用で、全アカウントに対する変更も1クリックで完了セキュリティ対策小さくはじめたことにより、本番環境にも安心して導入 Organizationsはやっぱり便利！ベストプラクティスたる所以がよく分かった

All rights reserved   • 毎月かならずふりかえりを行う習慣 = 「Be ふりかえり度」100% ◦ 楽しく、腹を割って話すことでコミュニケーションハードルを下げる ◦ オンラインのみでも十分チーム力は上がる！ • 全員が共通のゴールに向かって進む ◦ ふりかえりとの組み合わせで、個人が自発的にPDCA ◦ 全員でそのアイデアを共有し、チーム力を上げるチーム力の向上「Be ふりかえり」によってカイゼンすることがあたりまえの状態に変化そうすれば、会社間の関係を意識せず勝手にワンチームになる

今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜

今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜

More Decks by luton.mr

Other Decks in Technology

Featured

Transcript

今日から始める会社横断ワンチームのつくりかた〜僕らが進むセキュリティ向上への道〜

今日から始める会社横断ワンチームのつくりかた〜僕らが進むセキュリティ向上への道〜