Google Cloudへ大半を移行した SmartHRにおける活用事例紹介

Transcript

1. CONFIDENTIAL Google Cloudへ大半を移行した SmartHRにおける活用事例紹介 2023.10.11 Wed. 藤村 宗彦 SmartHR 情報セキュリティグループ（マネージャー）

2. CONFIDENTIAL 自己紹介 2018 年に SmartHR 入社後、従業員連携プロダクトを 開発する傍ら、EM 、インフラストラクチャーの管理、社 内統制といった様々な管理・統制整備対応に従事。 SmartHR

   の GoogleCloud 移行プロジェクトでリードを 務めた。 現在は、社内の情シスとセキュリティを統括。 藤村 宗彦 株式会社SmartHR 情報セキュリティ グループマネージャー

3. CONFIDENTIAL 今日話をすることは、移行達成のその後について https://cloud.google.com/customers/smarthr https://cloudonair.withgoogle.com/events/google-cloud -day-digital-22?talk=d3-appdev-06

4. CONFIDENTIAL ・弊社のサービスについて ・サービス運用上の取り組み ・データ分析基盤について ・セキュリティの取り組み ・今後の展望について アジェンダ

5. CONFIDENTIAL 弊社のサービスについて

6. CONFIDENTIAL SmartHRは人事・労務業務の効率化を通じて 生産性の向上・働きたい職場環境を創出を目的とした クラウド型ソフトウェアです。 人事・労務業務の業務効率化 人事データの一元化 人事データの活用

7. CONFIDENTIAL 主な機能 集まる 蓄まる 活用できる

8. CONFIDENTIAL SmartHR
 SmartHR基本機能
 オプション機能
 REST API
 GraphQL
 文書配付
 年末調整
 分析レポート


   従業員サーベイ
 カスタム社員名簿
 組織図
 人事評価
 届出書類
 配置シミュレーション 
 従業員情報連携
 通勤経路検索
 アプリストア
 プラットフォーム事業
 機能とチーム構成

9. CONFIDENTIAL Static Content Cloud Storage Cloud Load Balancing Back End

   App App Engine Front End App Cloud Run Dynamic Content Cloud SQL Amazon Route53 Cache Store Memorystore Static Content Cloud Storage Cloud Load Balancing Back End App App Engine Front End App Cloud Run Dynamic Content Cloud SQL Cache Store Memorystore オプション機能/プラットフォーム事業 SmartHR基本機能 Rails React TypeScript Node.js Next.js Rails React TypeScript jQuery SmartHRのアーキテクチャ構成

10. CONFIDENTIAL サービス運用上の取り組み

11. CONFIDENTIAL Projectの管理構成 Company Product development staging production SmartHR 基本機能 オプション機

    能 オプション機 能 プラットフォーム事業 最小限の原則を実現するため機能ごとに分離 プラットフォーム事業 Organization Folders Projects

12. CONFIDENTIAL ・ログが集約されず、別システムの関連したログが追えない ・システム間連携による高負荷状態が視認しづらい ・内部統制もあり最小限の原則に則った結果、直接本番見る必要 は無いがサービス運用上必要な方々が確認できない Projectが分離していることの課題

13. CONFIDENTIAL システム全体の状況を 本番データが存在しないProject で横断して見れるようにすればよ い

14. CONFIDENTIAL Static Content Cloud Storage Cloud Load Balancing Back End

    App App Engine Front End App Cloud Run Dynamic Content Cloud SQL Cache Store Memorystore オプション機能/プラットフォーム事業 SmartHR基本機能 共通集約Projectを含めた構成 Logging Monitoring Static Content Cloud Storage Cloud Load Balancing Back End App App Engine Front End App Cloud Run Dynamic Content Cloud SQL Cache Store Memorystore Logging Monitoring Logging Monitoring 共通集約Project

15. CONFIDENTIAL ・フォルダレベルの集約ログシンク ・アーカイブと閲覧の両方を設定 ・内容を絞った上で1ヶ月保持期間 ・Cloud TraceのIDによる横断検索 ・構造化ログ出力ライブラリを用意 ・LogAnalyticsによるログ分析 Cloud Loggingで実施したこと

    Log Archive Cloud Storage SmartHR基本機能 Logging Logging Logging 共通集約Project オプション機能/ プラットフォーム事業

16. CONFIDENTIAL Monitoringで実施したこと ・マルチプロジェクトビューの設定 ・Project横断のメトリクス ・外形監視・アラート通知 ・ダッシュボード

17. CONFIDENTIAL うまく分離しつつも横断して見れる 仕組みが構築できた

18. CONFIDENTIAL データ周りの取り組み

19. CONFIDENTIAL Google Cloud移行前後のデータプラットフォーム SmartHR
 CloudSQL
 Zuora
 Salesforce
 Marketo
 データ格納PJ BigQuery

    ETLツール
 アナリスト


20. CONFIDENTIAL ・古くからあったBigQueryのため設定の不備 ・ETLツール側の問題によるデータロード不具合 ・ETLツール依存によるデータの精度と履歴問題 ・生データがドキュメント無しで設定 ・属人化したデータアクセス ・データマネジメントの不在 データプラットフォームの課題

21. CONFIDENTIAL BigQueryの設定不備解消も兼ね データプラットフォームを再設計

22. CONFIDENTIAL 構成要素の定義を実施 データソース
 データパイプライン
 データマネージメント
 データストレージ
 データアナリティクス
 データサイエンス


23. CONFIDENTIAL データプラットフォームの構成 SmartHR
 CloudSQL
 Zuora
 Salesforce
 Marketo
 データウェアハウスPJ BigQuery アナリスト


    データレイクPJ データマートPJ BigQuery BigQuery Cloud Composer Cloud Storage

24. CONFIDENTIAL ・データレイク、データウェアハウスによるデータストレージの運用 ・Cloud Composerによるデータパイプライン・ワークフローの整備 ・Python等、構成を理解できれば誰でもデータの整備可能な運用状況 ・生データは適切にマスクした状態で扱えるようになった ・生データを直接扱わないので、データの展開が容易 ・データガバナンスを意識したデータの利活用 データプラットフォームで進んだもの

25. CONFIDENTIAL データの保全やガバナンスを意識 したデータプラットフォームの構築 ができた

26. CONFIDENTIAL セキュリティの取り組み

27. CONFIDENTIAL 日々の運用の中で実施している ことの、一部を紹介します

28. CONFIDENTIAL 「ベストプラクティス」と「コンプライアンス標準」、「内部統制」を軸に整備 セキュリティ要件の定義整備 https://cloud.google.com/security/best-practices https://www.cisecurity.org/benchmark/google_cloud_c omputing_platform

29. CONFIDENTIAL 脅威検知の構成 脅威DB
 URLhaus, 
 Feodo Tracker等 
 セキュリティ
 エンジニア


    Projectのフォルダ Logging Pub/Sub 脅威検知 Cloud Functions Firestore 脅威情報収集 Cloud Functions Cloud Scheduler Logging Monitoring セキュリティPJ ・脅威DBの内容を元にログを監視 ・アクセス遮断等の処置を実施 ・同構成でAuditも監視 ・不審な挙動の調査対応を実施 ・必要に応じてインシデントの対応 ※2023年10月時点の運用

30. CONFIDENTIAL 脆弱性スキャンの構成 管理ツール
 セキュリティ
 エンジニア
 Projectのフォルダ Cloud Scheduler ・Security Command

    Centerも一部利用 ・脆弱性の残存回避(イメージ更新されない等) ・危険度の高い脆弱性への対処 ・trivyの実行と、スキャン結果のアップロード対応 ・Artifact Analysisでは無いのは、運用と管理の為 ・検知内容はトリアージし、対応依頼やセキュリティ側で 対処 Cloud Run Artifact Registry Pub/Sub Cloud Storage Cloud Run セキュリティPJ ※2023年10月時点の運用

31. CONFIDENTIAL 一部の紹介でしたが、 セキュアなサービスを保つため 日々運用してます

32. CONFIDENTIAL 今後の展望について

33. CONFIDENTIAL ・関連周辺ツール(Terraform等)の整備 ・セキュリティ情報とイベント管理基盤の導入 ・ジャストインタイムな権限付与の仕組みの導入 ・検証利用しやすい環境の整備 ・マルチクラウド環境への取り組み 今後の展望

34. CONFIDENTIAL 少しでも興味を持っていただけた方は、 カジュアルにお話しましょう！ ・プロダクトエンジニア ・セキュリティエンジニア ・情報セキュリティマネージャー We Are Hiring!! 👇お申し込みはこちら