Upgrade to Pro — share decks privately, control downloads, hide ads and more …

今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜

luton.mr
April 17, 2024

今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜

様々なプロダクトが乱立するAWS環境。
命名規則にはじまり、アーキテクチャの基本方針もその時々の最善を尽くして開発を進めてきた。
その結果、スピーカーがジョインした時にはガバナンスが統一されずに無法地帯ができあがっていた。

しかし、インフラエンジニアはスピーカーただ一人。
そんな組織を力強く支えてくれるのが、長年インフラ構築・運用支援をしてくれているITベンダ。

これまで命名規則の整備にはじまり、日々の細かな運用改善を行ってきたが、
次は、AWS環境全体のセキュリティを向上させるべく、ベンダ一体となってワンチームで活動を進めることを決意。

具体的な取り組みと、チームを強くし、メンバーが自律しようと意識が変わるまでのサクセスストーリーをご紹介します。

luton.mr

April 17, 2024
Tweet

More Decks by luton.mr

Other Decks in Technology

Transcript

  1. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 DevOpsDays Tokyo 2024 株式会社NTTスマイルエナジー 迎 諒 株式会社サーバーワークス 松井 紀樹
  2. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 Name: 迎 諒(Ryo MUKAI) Organization: NTTスマイルエナジー 事業開発部 Attribute: ミュージシャン兼インフラエンジニア WHOIS? Name: 松井紀樹(Toshiki Matsui) Organization: 株式会社サーバーワークス カスタマーサクセス部 CS5課課長 Attribute: インフラエンジニア マネージャー
  3. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 会社概要/株式会社NTTスマイルエナジー 社  名 株式会社NTTスマイルエナジー
 設  立 2011年6月1日 所在地 大阪府大阪市中央区北浜2丁目6-18 淀屋橋スクエア4階 代表取締役 社長 武馬 雄一郎 資本金 1億円(NTTアノードエナジー、オムロンソーシアルソリューショ ンズ、NTT西日本) 従業員数 125名 組織
 
 我々は、通信・制御技術を用いて、 エネルギーを持続可能でインタラクティブなものへと変革します。 そのことによって、 世界中の人々が、笑顔で安心して暮らせる より良い社会をつくりあげていきます。 企 業 理 念 CORPORATE PHILOSOPHY 取締役会 事業企画部 事業推進部 代表取締役社長 監査役 事業開発部
  4. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 1. チーム力 = Be ふりかえり度 2. AWS Organizationsの導入は決して怖くない 3. なんでも小さくはじめることが大事 今日持ち帰ってほしいこと
  5. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 1. カオスなAWS環境 2. 色んな人を巻き込んだ方針策定 3. 僕らが行ったワンチームになるための工夫 4. 僕らが成し遂げたこと 5. これからのこと 6. まとめ Agenda
  6. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 NSEが抱えていた問題 NSE独自のインフラガイドラインを策定 → 新規システム開発では発生しない状態に ※既存環境はワークロードに影響を与えない範囲で改善活動を頑張る
  7. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 NSEが抱えていた問題 僕の・わたしの 最強セキュリティ!! セキュリティ対しては、その時々の最善を尽くす形 → 明確な基準が無いため、対応の善し悪しが分からない   (とはいえ、ベストプラクティスは分かっているが全部対応するのは無理……)
  8. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 NSEが抱えていた問題 僕の・わたしの 最強セキュリティ!! 目下の不安要素であったため、ここに注力することに セキュリティ対しては、その時々の最善を尽くす形 → 明確な基準が無いため、対応の善し悪しが分からない   (とはいえ、ベストプラクティスは分かっているが全部対応するのは無理……)
  9. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 Best Practice AWSアカウントのガバナンス統一 ▶ AWS Organizations の導入 ベストプラクティスは、ウチには合わない話 NSEの現状 • SWXの請求代行を使っているのである程度初期設定はSWXにお任せ • アカウントの増減の頻度は、かなり低い • セキュリティ系の初期設定はCDKを使っているので冪等性は担保している 別に運用負荷は下がらないんじゃ? というか、本番環境に導入するのはそもそも怖い こんなカオスな環境に適用して大丈夫?
  10. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 Best Practice AWSアカウントのガバナンス統一 ▶ AWS Organizations の導入 ベストプラクティスは、ウチには合わない話 NSEの現状 • SWXの請求代行を使っているのである程度初期設定はSWXにお任せ • アカウントの増減の頻度は、かなり低い • セキュリティ系の初期設定はCDKを使っているので冪等性は担保している 別に運用負荷は下がらないんじゃ? というか、本番環境に導入するのはそもそも怖い こんなカオスな環境に適用して大丈夫? 色んな人を巻き込んで、不安や疑問を解消することに
  11. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 郷に入れば郷に従え!AWSさんに聞いてみた。 → 現状の悩みと疑問についてざっくばらんに議論 色んな人?
  12. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 ・AWS Organizationsは追加料金なしで導入が可能 ・有効化だけではワークロードへの影響も無い ・Organizationsの機能を使わなければ ユーザ体験も変わらない ・小さく始めて試してみる、が大切 SAさんからの助言
  13. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 Organizationsを小さくはじめる • AWSアカウントを分離する基準を決める • OU(Organization Unit)の分離する基準を決める • SCP(サービスコントロールポリシー)は(まだ)使わない • IAM Identity Centerは(まだ)使わない →組織・顧客に影響しないチーム内で出来るところから始める
  14. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 AWSアカウントを分離する基準を決める • ワークロードと管理用で アカウントを分けよう • 機能毎のアカウント分離 ◦ IAM・ログイン ◦ ログアーカイブ ◦ セキュリティ
  15. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 AWSアカウントを分離する基準を決める • ワークロードと管理用で アカウントを分けよう • 機能毎のアカウント分離 ◦ IAM・ログイン ◦ ログアーカイブ ◦ セキュリティ あとからリソースをお引越しをするのは大変 →組織・サービスロードマップやアクターを意識して手戻りがないように
  16. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 OU(Organization Unit)の分離する基準を決める OU単位で ・サービスやアクションのポリシーを定義 ・複数リージョン・アカウントへのデプロイ
  17. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 ・ベストプラクティス OU(Organization Unit)の分離する基準を決める 会社によって取りうるAWS組織は無限にある。Best Practiceに従わない部分も許容 基準を明確化し、統制を取ることが大切
  18. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 OU(Organization Unit)の分離する基準を決める OUの上位階層を 後から挿入は出来ないので注意が必要
  19. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 ・AWS Security Hub  客観的な第三者的な視点によるAWS環境のセキュリティを評価  →適切なセキュリティ基準が出来る  全てを準拠するのではなく、NSEで運用可能なルールに限定して管理  →アプリに影響ない部分から小さく始める ・Amazon GuardDuty  悪意のあるアクティビティや異常な動作をモニタリング • セキュリティ上の問題を検知して通知出来る • ポチッと有効化するだけ、すぐに始められる 各アカウントの情報をセキュリティアカウントへ集約
  20. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 • 「僕の・私の最強のセキュリティ設定」からの脱却 → AWS標準のセキュリティ基準で評価できていることの安心感 • 重点課題を定量的に認識しやすい • 少しの変化に全アカウントすぐに対応可能 → Security Hubのルール変更は、更新頻度が割と高い Organizationsを導入してよかったこと アカウントA 合格: 168 失敗: 22 スコア: 88% アカウントB 合格: 152 失敗: 38 スコア: 80% アカウントC 合格: 150 失敗: 40 スコア: 78% アカウントD 合格: 182 失敗: 8 スコア: 96% 重点課題!
  21. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 ・組織全体への各種設定デプロイが簡単  →Organizations統合により、管理アカウントから一元管理が可能 ・情報収集の手間が削減され、フィルター・通知内容のカスタマイズ  に注力出来るように  →運用が最適化される ・頻繁にOrganizations関連のアップデートがある  →新しい技術楽しい Organizationsを導入してよかったこと
  22. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 • 関連サービスで思ったより費用がかかった ◦ AWS Config ◦ AWS CloudTrail ◦ AWS Security Hub ◦ Amazon GuardDuty 特にCloudTrailは2つ目以降の証跡に発生する管理イベントの料金体系 が異なる点に注意!既存の設定が不要なら削除しましょう →請求にPaidEventsRecordedのイベントタイプがあれば  複数証跡が発生しています Organizationsを導入してよくなかったこと
  23. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 • 共通理解: 我々はチームである • チームのゴールは「解散」 • ビジネスライクな言葉禁止!  ◯◯様、お世話になっております  承知いたしました etc… • 失敗は次への学びである  全員が最善を尽くした結果である マインドセット 詳しくはQiitaへ…
  24. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 ふりかえり • グラウンドルールを設定 → 常に見える位置に記載 • ふりかえりは必ず「前向きな場」 → チームの成長に繋げる   個人攻撃や責任追及は絶対にNG • 毎月必ず90分間、時間を確保する → チームにとって一番大事な時間
  25. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 ふりかえり • 全員が黄色の付箋を使う → 誰が書いたかで印象が変わることがある • プライベートなことも書いてOK → 特にgoodは一番付箋が多い人が勝ち!   頭をフル回転させることに意味がある • 全員が黄色の付箋を使う → 誰が書いたかで印象が変わることがある • プライベートなことも書いてOK → 特にgoodは一番付箋が多い人が勝ち!   頭をフル回転させることに意味がある
  26. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 ふりかえり • ToDoは必ず2〜3個 → それ以上は1ヶ月で達成できない   小さな改善を繰り返すことが大事 • 前月のToDoができたかを確認する
  27. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 • このチームの取組を自社に展開 → 半年やってみて、やっぱり良かった • メンバー総意の感想「腹を割って話せた」 → コミュニケーションのハードルが下がる   普段の打ち合わせもスムーズに • 「Be ふりかえり」を達成 • メンバーの自律的な意識変化 → 周りを頼る、カイゼンを当たり前に • ふりかえり楽しい ふりかえり サーバーワークス社内でやってみた記録はこちら
  28. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 会社を横断したふりかえりが成功した理由 • ユーザー側からふりかえりを主導してもらった →改善したいという熱意は外注出来ない • お互いの立場に立って考えられるマインドを作った →2社合同での案件共有会の実施。互いを知ろうとする仕掛けが大切 • お互いに上司を入れない会にした →腹を割って話すための前提条件 ふりかえり
  29. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 Backlogチケット運用の改善 • チケット起票のテンプレート化 ◦ 優先度 ◦ 影響範囲 ◦ 完了条件 →ひと目でチケットの中身が分かり 手止まりが少ない
  30. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 Backlogチケット運用の改善 • チケットは3営業日くらいで終わる程度のタスクに落とし込む  → 3営業日以上かかるタスクは    「具体的な作業レベルの想像が出来ていない」    という仮説に基づいた日数設定
  31. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 Backlogチケット運用の改善 面倒だと人間はルールを守らなくなる →すぐ呼び出せるよう仕組み化(=テンプレート化)が大事
  32. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 ・バーンダウンチャートの見栄えが大きく改善した  → タスクが順調に進んでいっている実感あり 大きな認識ズレも発生していない Backlogチケット運用の改善
  33. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 DRBFMの導入 DRBFM = Design Review Based on Failure Mode 変更・変化に対する心配点を抽出するデザインレビュー手法
  34. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 DRBFMの導入 「意図せず」変化してしまう 場所が無いかに気付くための キーワード集 → 過去トラ集の側面も 何がどう変わる? それによって起こる心配点は? お客様にどんな影響が? その対策、もしくは検出方法は?
  35. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 DRBFMの導入 設計・検討段階で未然にトラブルを防止するために活用 もともとは製造業のフレームワークだが、業種関係なく使える! メンバーの設計品質向上の意識付けにも効果あり
  36. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 Googleが取り入れているドキュメントフォーマット https://www.industrialempathy.com/posts/design-docs-at-google/ • ゴール • ゴールとしないこと • 検討した代替案 • 何を:What • 何のために:Why • どのように:How Design Docの導入
  37. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 Googleが取り入れているドキュメントフォーマット https://www.industrialempathy.com/posts/design-docs-at-google/ • ゴール • ゴールとしないこと • 検討した代替案 • 何を:What • 何のために:Why • どのように:How Design Docの導入 設計書を見ただけでは分からない さまざまな要素について検討した思考の過程(=ノウハウ)を残す →認識の齟齬を埋めてくれる重要な役割を担う
  38. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 ・ドキュメンテーションが後回しになっていて情報の連携が 後手に回っていた →途中経過を記録しながらドキュメントを作っていくので チーム全体の意思疎通・連携がスムーズになった Design Docの導入 手戻りや、タスク進行中のQAも減少! 手を動かす前によく考える習慣がつき、手戻りも減少!
  39. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 • Organizations + Security Hubの導入 ◦ 全アカウントで共通の基準で監視できている安心感 ◦ 優先的に対応しなければいけない箇所が明確になった • セキュリティ基準の変化に対する追従 ◦ Stack Setの活用で、全アカウントに対する変更も1クリックで完了 セキュリティ対策 小さくはじめたことにより、本番環境にも安心して導入 Organizationsはやっぱり便利! ベストプラクティスたる所以がよく分かった
  40. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 • 毎月かならずふりかえりを行う習慣 = 「Be ふりかえり度」100% ◦ 楽しく、腹を割って話すことでコミュニケーションハードルを下げる ◦ オンラインのみでも十分チーム力は上がる! • 全員が共通のゴールに向かって進む ◦ ふりかえりとの組み合わせで、個人が自発的にPDCA ◦ 全員でそのアイデアを共有し、チーム力を上げる チーム力の向上 「Be ふりかえり」によって カイゼンすることがあたりまえの状態に変化 そうすれば、会社間の関係を意識せず勝手にワンチームになる
  41. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 • ふりかえりがチームにとって 一番大事な時間 • 「Be ふりかえり」度は 常にMAXを維持する 僕らのチームのこれから • セキュリティ機能の充実 基準に合わせて後から大きく • 対応出来る組織の拡大 誰がどう対応する?を明確化 (たとえ人が変わっても) ワンチームを継続し続けます! ワンチームでAWS環境を これからも改善していきます!
  42. 今日から始める会社横断ワンチームのつくりかた 〜僕らが進むセキュリティ向上への道〜 / DevOpsDays Tokyo 2024
 © NTT SMILE ENERGY.

    All rights reserved 
 1. チーム力 = Be ふりかえり度 2. AWS Organizationsの導入は決して怖くない 3. なんでも小さくはじめることが大事 今日持ち帰ってほしいこと