Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Visional CCoE におけるアジリティとガバナンスを両立するクラウド活用への挑戦 / The Challenge of Enhancing Agility and Governance in the Cloud with CCoE

yuuki.nagahara
September 22, 2022

Visional CCoE におけるアジリティとガバナンスを両立するクラウド活用への挑戦 / The Challenge of Enhancing Agility and Governance in the Cloud with CCoE

ITmedia Cloud Native Week 2022 autumn
https://enq.itmedia.co.jp/on24u/form/cnw2209
日付:2022年9月14日(水)
タイトル:「Visional CCoEにおけるアジリティとガバナンスを両立する
クラウド活用への挑戦」

Visional の CCoE 組織の成り立ちから、アジリティとガバナンスを両立するための各取り組みについての発表資料です。

yuuki.nagahara

September 22, 2022
Tweet

More Decks by yuuki.nagahara

Other Decks in Technology

Transcript

  1. 長原 佑紀(Nagahara, Yuuki) 所属:ビジョナル株式会社    ITプラットフォーム本部 グループIT室(CCoE) 経歴: • 2006年〜 独立系SIer

    ◦ 主に通信系のシステム開発や研究開発 • 2015年〜 株式会社ビズリーチ ◦ 2015年よりビズリーチ事業のインフラエンジニアとして従事し、後に チームリーダとして複数事業のインフラを担当 ◦ 2018年より全社横断となるプロダクト非機能要件改善組織に立ち上 げより参画 • 2021年〜 ビジョナル株式会社 ◦ CCoE Tech Lead として、Visional グループのパブリッククラウド全体 管理やクラウド共通プラットフォームの開発運用、クラウド活用推進を 担当 好きなクラウドサービス: AWS Lambda 自己紹介 2
  2. アジェンダ 3 • Visional について • Visional のクラウド利用状況について • Visional

    の CCoE 組織について • CCoE のアジリティとガバナンスを両立する取り組み • CCoE の取り組みを通して • まとめ
  3. • Visional について • Visional のクラウド利用状況について • Visional の CCoE

    組織について • CCoE のアジリティとガバナンスを両立する取り組み • CCoE の取り組みを通して • まとめ Visional について 4
  4. 5 グループ概要 設立   :2020年2月(ビジョナル株式会社設立) 創業   :2009年4月(株式会社ビズリーチ創業) 代表者  :ビジョナル株式会社 代表取締役社長 南 壮一郎

    グループ従業員数:1,469名(2021年7月末時点) 資本金  :164億円(資本準備金含む)※2021年5月18日時点 拠点   :東京、大阪、名古屋、福岡、静岡、広島
  5. 8 グループ経営体制について ビジョナル株式会社(ホールディングカンパニー) 株式会社 ビズリーチ 株式会社 ビズヒント 株式会社 M&A サクシード

    株式会社 スタンバイ HR Techの プラットフォームや SaaS 事業の運営 クラウド活用と 生産性向上の 専門サイト 「BizHint」 の運営 法人・審査制 M&Aマッチングサイト 「M&Aサクシード」の運営 株式会社 アシュアード クラウドリスク評価 「Assured」及び 脆弱性管理クラウド 「yamory」 の運営 トラボックス 株式会社 物流 DX プラットフォーム 「トラボックス」 の運営 求人検索エンジン 「スタンバイ」 の運営 ※Zホールディングス株式会社 との合弁事業会社
  6. Visional のクラウド利用状況について 9 • Visional について • Visional のクラウド利用状況について •

    Visional の CCoE 組織について • CCoE のアジリティとガバナンスを両立する取り組み • CCoE の取り組みを通して • まとめ
  7. 「ビズリーチ」サービスのインフラ 10 クラウド利用開始の歴史 2008年 2009年 4月 2011年 3月 AWS 東京リージョン提供開始

    レンタルサーバー2台構成 • さくらインターネット ◦ Web/DBサーバ レンタルサーバー複数台冗長構成 • さくらインターネット ◦ LB+サーバ 6 台 「ビズリーチ」サービス 提供開始 インフラ全てを AWS(東京リージョン)へ移行 2012年 以降の新規事業は 全てパブリッククラウドでサー ビス提供
  8. <2018年以前> クラウドへの統制は殆どなく自由に利用可能。 クラウド管理・ガバナンス 12 クラウド利用における近年の変化 事業部 A 事業部 B 事業部

    C ※ AWS は、AWS Organizations によるアカウント管理と一括請求設定、コンソールログ インの SAML 認証(Azure AD)のみ実施。 事業部 A 事業部 B 事業部 C D E ? ? ? … クラウド共通のガバナンスの対策 クラウド共通のガバナンスの対策 <2022年現在> クラウド全体へ一定のガバナンスを利かせて、 適切に管理を実現。 シャドークラウドの存在 ガバナンス機能不足 prd dev stg stg prd dev prd stg prd prd prd prd dev prd
  9. プロダクトの主要なクラウドサービス 13 クラウド利用における近年の変化 <2022年現在> プロダクトのクラウドは、コンテナ、サーバレスを活用し たアーキテクチャへ変化。 Function Virtualization Application Runtime

    Containers (Optional) Operating System Hardware Function Virtualization Application Runtime Containers Operating System Hardware Function Virtualization Application Runtime Containers Operating System Hardware Function Virtualization Application Runtime Containers Operating System Hardware IaaS CaaS PaaS FaaS Function Virtualization Application Runtime Containers (Optional) Operating System Hardware Function Virtualization Application Runtime Containers Operating System Hardware Function Virtualization Application Runtime Containers Operating System Hardware Function Virtualization Application Runtime Containers Operating System Hardware IaaS CaaS PaaS FaaS サーバ保守運用過多 スケーラビリティ不足 <2018年以前> 多くのプロダクトのクラウドは、 IaaS を中心とした アーキテクチャで運用。
  10. Visional の CCoE 組織について 14 • Visional について • Visional

    のクラウド利用状況について • Visional の CCoE 組織について • CCoE のアジリティとガバナンスを両立する取り組み • CCoE の取り組みを通して • まとめ
  11. DXを成功に導くクラウド活用推進ガイド CCoEベストプラクティス 著者:黒須 義一, 酒井 真弓, 遠山 陽介, 伊藤 利樹,

    饒村 吉晴 発売日:2021/11/11 目次 • 第1部 解説編 ◦ 第1章 DX推進の鍵はクラウド活用にあり ◦ 第2章 CCoEが必要な理由とその活動内容 ◦ 第3章 CCoEの役割と運用・発展のポイント ◦ 第4章 第1部まとめ:CCoEに唯一無二の正解はない • 第2部 事例編 ◦ 第5章 先進企業のCCoEに学ぶ ◦ 第6章 第2部まとめ:リーダーのあり方と成功するアプローチ • 補章1 CCoEチェックシートとその使い方 • 補章2 ディスカッション「CCoE成功の秘訣」 16 CCoE とは Visional についても紹介 https://www.amazon.co.jp/dp/4296070150 詳しくはこちら
  12. < 役割 > • クラウド戦略計画・推進 • クラウド全体管理 • クラウドガバナンス •

    クラウドプラットフォーム開発運用 • クラウドベンダー連携 • ナレッジ提供 • トレーニング • コミュニティ活動   など < 構造 > 17 Visional の CCoE について Visional グループ全体で利用するパブリッククラウド( AWS, GCP, etc..)を対象に活動する。 CCoE クラウド ベンダー セキュリティ 部門 ユーザ部門 経営 バックオフィス (経理、法務、人事) ポリシー、ナレッジ、 クラウドプラットフォーム 連携 相談 問合せ 提供 技術支援 情報提供 相談 フィードバック 統制 監査 連携 連携 フィードバック クラウド関連 レポーティング ※クラウド利用者 外部 コミュニティ 活動
  13. 18 Visional の CCoE について ビジョナル (株) (株) ビズリーチ (株)

    アシュアード トラボックス (株) 事業部 全事業部のプロダクト組織が サービスのクラウドを運用 (株) M&A サクシード 事業部 事業部 事業部 事業部 事業部 事業部 グループIT室 CCoE(通称) 6−7名 ホールディングカンパニーに グループ全体のセントラル機能を 提供する組織を配置 コーポレートIT セキュリティ室 (株) ビズヒント 事業部
  14. CNCF(CLOUD NATIVE COMPUTING FOUNDATION)のクラウドネイティブの定義 20 CCoE が目指すもの クラウドネイティブ技術は、パブリッククラウド、プライベートクラウド、ハイブリッドクラウドなどの近代的 でダイナミックな環境において、スケーラブルなアプリケーションを構築および実行するための能力を 組織にもたらします。

    このアプローチの代表例に、コンテナ、サービスメッシュ、マイクロサービス、イ ミュータブルインフラストラクチャ、および宣言型 APIがあります。 これらの手法により、回復性、管理力、および可観測性のある疎結合システムが実現します。 これらを 堅牢な自動化と組み合わせることで、エンジニアは インパクトのある変更を最小限の労力で頻繁かつ 予測どおりに行うことができます。 Cloud Native Computing Foundationは、オープンソースでベンダー中立プロジェクトのエコシステムを 育成・維持して、このパラダイムの採用を促進したいと考えてます。 私たちは最先端のパターンを民主 化し、これらのイノベーションを誰もが利用できるようにします。
  15. 2018年 全社プロダクトの非機能要件の向上を目的とした組織として組成 • 当時の全社プロダクトの状況 ◦ グロース開発が中心で非機能要件が蔑ろとなり品質や生産性が低下 ◦ 非機能要件に関する全社的な基準・ガイドラインが存在しない ◦ 今後の事業成長を阻害している(阻害する可能性がある)

    • 経営判断 ◦ 非機能要件に関わる基準を定義し、全プロダクトの状況を可視化する ◦ 然るべき非機能要件を備えたサービスを会社として提供できる状態を目指す この組織の一部が、クラウドを主体とした活動に取り組んだ結果、現在の CCoE に至る。 当初より「クラウド活用推進組織」として立ち上げられた組織ではない。 21 CCoE の成り立ち
  16. ㈱ビズリーチに全プ ロダクトの非機能要 件向上を目的とした 組織組成 22 CCoE の変遷 2018年8月 2019年 2020年

    2021年 2022年 クラウド組織管理を開始 活動の主体がクラウドへシフト し、CCoE の志向性が生まれ る 非機能要件のチェックシートを 作成し、全プロダクトを評価して 状況を可視化・改善開始 全社コンテナ化本格始動 AWS の共通機能を提供開始 クラウドガイドブック提供 開始 ビジョナル㈱ へ組織を移し、改 めて CCoE (通称) として再始 動 チェックシートの運用など一部 役割は別部署へ移行 GCP の共通機能を提供開始 2020年2月 ビズリーチがグループ経営体 制へ移行 Visional グループが誕生
  17. 1Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q

    2Q 3Q 4Q 2Q 3Q 4Q 23 CCoE の過去の取り組み Agility Governance Both AWS Organizations SCP(予防的ガードレール) AWS Organization CloudTrail Platform (監査ログ集約・検索基盤 ) プロダクト品質チェックシート AWS TrustedAdvisor Dashboard (ベストプラクティス評価 ) AWS DB Masking Platform (データベースマスキング ) AWS GuardDuty (脅威検出) AWS Baseline (アカウントベースライン ) AWS Config(発見的ガードレール) AWS SupportCase Explorer(ナレッジシェア) AWS DB Backup Platform (共通バックアップ基盤 ) コンテナ化推進活動 新規事業構築支援 プロダクト非機能要件改善支援 クラウドガイドブック AWS IaaS/CaaS Vulnerability Platform (脆弱性スキャン ) GCP SCC Event Threat Detection (脅威検出) 1Q GCP Cloud Audit Logs (監査ログ集約 ) GCP SCC Security Health Analytics (発見的ガードレール ) GCP Organization Policy (予防的ガードレール ) テクニカルサポート(レビュー・相談) / 勉強会 ※その他に「コスト最適化」に関わる取り組みは省略。 凡例 AWS / GCP 組織管理 2022 2018 2019 2021 2020
  18. 1Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q

    2Q 3Q 4Q 2Q 3Q 4Q 24 CCoE の過去の取り組み Agility Governance Both AWS Organizations SCP(予防的ガードレール) AWS Organization CloudTrail Platform (監査ログ集約・検索基盤 ) プロダクト品質チェックシート AWS TrustedAdvisor Dashboard (ベストプラクティス評価 ) AWS DB Masking Platform (データベースマスキング ) AWS GuardDuty (脅威検出) AWS Baseline (アカウントベースライン ) AWS Config(発見的ガードレール) AWS SupportCase Explorer(ナレッジシェア) AWS DB Backup Platform (共通バックアップ基盤 ) コンテナ化推進活動 新規事業構築支援 プロダクト非機能要件改善支援 クラウドガイドブック AWS IaaS/CaaS Vulnerability Platform (脆弱性スキャン ) GCP SCC Event Threat Detection (脅威検出) 1Q GCP Cloud Audit Logs (監査ログ集約 ) GCP SCC Security Health Analytics (発見的ガードレール ) GCP Organization Policy (予防的ガードレール ) テクニカルサポート(レビュー・相談) / 勉強会 ※その他に「コスト最適化」に関わる取り組みは省略。 凡例 AWS / GCP 組織管理 2022 2018 2019 2021 2020 プラットフォームの開発・提供を通じた活動
  19. CCoE のアジリティとガバナンスを両立する取り組み 25 • Visional について • Visional のクラウド利用状況について •

    Visional の CCoE 組織について • CCoE のアジリティとガバナンスを両立する取り組み • CCoE の取り組みを通して • まとめ
  20. 1Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q

    2Q 3Q 4Q 2Q 3Q 4Q 26 CCoE の過去の取り組み Agility Governance Both AWS Organizations SCP(予防的ガードレール) AWS Organization CloudTrail Platform (監査ログ集約・検索基盤 ) プロダクト品質チェックシート AWS TrustedAdvisor Dashboard (ベストプラクティス評価 ) AWS DB Masking Platform (データベースマスキング ) AWS GuardDuty (脅威検出) AWS Baseline (アカウントベースライン ) AWS Config(発見的ガードレール) AWS SupportCase Explorer(ナレッジシェア) AWS DB Backup Platform (共通バックアップ基盤 ) コンテナ化推進活動 新規事業構築支援 プロダクト非機能要件改善支援 クラウドガイドブック AWS IaaS/CaaS Vulnerability Platform (脆弱性スキャン ) GCP SCC Event Threat Detection (脅威検出) 1Q GCP Cloud Audit Logs (監査ログ集約 ) GCP SCC Security Health Analytics (発見的ガードレール ) GCP Organization Policy (予防的ガードレール ) テクニカルサポート(レビュー・相談) / 勉強会 ※その他に「コスト最適化」に関わる取り組みは省略。 凡例 AWS / GCP 組織管理 2022 2018 2019 2021 2020 プラットフォームの開発・提供を通じた活動 プラットフォームの開発・提供以外の活動
  21. プロダクト品質チェックシートを作成、全社のプロダクトでチェックを実施 プロダクト品質チェックシート 27 取り組み内容 ISO 25010(品質モデル)を参考にプロダクトの最低限の非機能要件を点検するチェックシートを作成 • 各プロダクトにて半年に一度、又はサービスローンチ前に実施 • プロダクト担当者によるマニュアルのチェック

    得られた効果 • 全社プロダクトにおける非機能要件の充足度合いや課題を可視化 • 最低限の非機能要件のプロダクト改善促進 取り組みにおける課題 • チェック結果の精度(対象・基準の揺れ/誤り/見落とし) • 多くの工数が必要 2018年12月時点の状況
  22. 新規事業立ち上げ時のインフラ構築を支援 新規事業構築支援 28 取り組み内容 • アーキテクチャ設計(アプリケーション実行環境、CI/CD パイプライン、ログ基盤、モニタリング基盤など) • インフラ構築業務(IaC) 得られた効果

    • プロダクト品質チェックシートを一定満たしてリリース • ベストプラクティスを踏まえたアーキテクチャの展開 取り組みにおける課題 • プロダクトの業務に踏み込み過ぎることで、横断組織への強い依存が発生 ◦ 担当者は継続的に運用業務が発生し、横断組織の限られたリソースを圧迫してで活動がスケールできない ◦ 2019年から新規事業の構築支援は、アドバイザリーとして振る舞い、依存が発生しない動きに切り替え
  23. 取り組み背景 • 2017年に HRMOS 採用プロダクトでコンテナ化を行い、運用効率/信頼性を向上 • 2018年当時は多くのプロダクトがインスタンス(EC2)でサービスを提供 • コンテナ化対象プロダクト:約 10

    プロダクト 取り組み内容 • 経営会議起案・各事業への説明会 • コンテナ勉強会・ハンズオン開催 • 各プロダクトの移行計画・課題管理 • リファレンスアーキテクチャ(IaC)展開 ◦ 新規事業で構築したコンテナ化された環境の IaC を公開 • 方針相談・アーキテクチャレビュー(AWS Solution Archtect 連携) • ナレッジの集約と展開 プロダクトのアプリケーション実行環境をインスタンスからコンテナへ移行推進 コンテナ化推進活動 30
  24. 移行プロジェクト期間 :約1年半 実施内容 • アプリケーションサーバ 13 種類をコンテナ化( EC2 から ECS

    へ移行) ◦ ECS or EKS を検討し、当時 EKS は Fargate 未対応、EKS の学習/メン テナンスコストと組織のスキルセットを考慮して ECS を選定 移行後の効果 • アプリケーションのオートスケールを実現して 信頼性が向上 • 特定の検証用途の環境が 容易に構築可能 • IaaS の構築や管理が不要となり 運用効率が向上 • コンテナを ReadOnly 化を実施したことで セキュリティの向上 • アーキテクチャ刷新の機会により クラウドの IaC が充実 移行時の課題 • 移行前にクラウドの IaC が不十分、かつ環境差分が存在 ◦ まずは IaC の整備・環境差異の解消から開始 ◦ クラウドの IaC の CI/CD を整備し、安全な構成管理プロセスを構築 • 移行中に新旧環境が混在する中で通常の機能開発を進める難しさ ◦ SRE と各アプリチームで移行計画をすり合わせ、移行に伴う変更(テスト やリリース方法)を適切に連携することが重要 コンテナ化推進活動 31 「ビズリーチ」の移行事例
  25. 移行プロジェクト期間 :約10ヶ月 実施内容 • アプリケーションサーバ 3 種類をコンテナ化( EC2 から ECS

    へ移行) • CI/CDの見直し(Jenkins から Github Actions へ移行) • ログの経路やログ基盤の見直し( Kibana から Datadog Logs へ変更) • モニタリングの再設計( Datadog) 移行後の効果 • リリース作業が簡単になり リリース回数増加 (4,5回/月→15回程度/月) • 切り戻しが直ちに行えるため 運用性の向上 • Java のバージョンアップ等の 作業効率が向上 • コンテナ化を機会に クラウドの IaC が充実 移行時の課題 • 開発組織にコンテナ経験者がいなかった ◦ CCoE やクラウドベンダーと連携して設計・実装を支援 ◦ まず影響小のアプリを移行して実績を作ってから他のアプリへ展開 コンテナ化推進活動 32 「ビズリーチ・キャンパス」の移行事例
  26. • プロジェクト開始から約 3 年間(2018-2021)で、殆どのプロダクトがコンテナ化を完了 ◦ コンテナ化に必要な工数は大きい ▪ コンテナで動かすためのアプリケーションの改修や CI/CD、モニタリングなど影響範囲は広い ◦

    リソース確保のため、本格的に移行開始まで最初の半年〜1年は大きな動きのないプロダクトも存在 ◦ コンテナ化にかかる工数を考えると中長期視点の投資となる ▪ 個別事業でコンテナ化の判断は難しいところもある ▪ 当時のビズリーチ CIO が牽引し、経営層の理解を得て、トップダウンで取り組んだことで移行が進められた コンテナ化推進活動 33 プロダクトのアプリケーション実行環境をインスタンスからコンテナへ移行推進
  27. 取り組み背景 • 組織の活動がクラウドが主体となったため、情シスが管理していたクラウド組織のオーナシップを CCoE へ移管 取り組み内容(1) • アカウント管理の手続き ◦ AWSアカウント・GCPプロジェクトの作成/削除のフロー

    • アカウントの定期的な棚卸し ◦ 管理部署/費用負担部署/責任者/連絡先/用途等 • 契約関連業務 ◦ 準拠法の変更、会社単位の NDA の締結 • 組織全体のコスト削減 ◦ AWS は組織全体で Reserved Instance / Savings Plangs を購入 AWS と GCP のクラウド組織管理を最適化 AWS / GCP 組織管理 34
  28. 取り組み内容(2) • GCP の不要プロジェクトの整理 ◦ リソース状況や API コールより利用傾向を確認後、管理者へヒアリングを通してプロジェクトを削除 ◦ Unattended

    Project Recommender にてプロジェクト使用状況を分析した推奨事項(cleanup/reclaim)も活用 ▪ 計 100 プロジェクト程を削除 • GCP の組織外プロジェクト(野良プロジェクト)の発掘 ◦ 管理組織外のプロジェクトが存在する場合、ガバナンスを適用することができない ◦ 社内エンジニアが権限を持つプロジェクトリストをスクリプトを展開して収集して野良プロジェクトを調査 ▪ 数十件の野良プロジェクトを取り込み 得られた効果 • クラウドを適切に把握・管理することで、必要な支援やガバナンス機能を提供することができる • クラウド組織全体でコスト最適化を行うことで、効果的にコストが削減できている AWS と GCP のクラウド組織管理を最適化 AWS / GCP 組織管理 35
  29. 取り組み背景 • Visional ではクラウド利用が一般化していたため、クラウド利活用のための公式なガイド は2021年まで提供していなかった • Visional グループ独自のルールや運用に合わせて、適切かつ素早くクラウドを利活用し てもらうためにガイドを提供 取り組み内容

    • 「クラウドガイドブック」を作成して Visional グループへ展開 • (拡充を予定) クラウドを最適に利活用するためのガイドブックの提供 クラウドガイドブック 36 1. 2. クラウドサービスの理解 2.1. クラウド事業者との関係 2.2. IaaS/PaaS/SaaSの管理と責任共有 2.3. サプライチェーンと管理 /責任範囲 3. クラウドサービスの利用 3.1. 組織と体制 3.2. 利用基準とプロセス 3.3. サービスの品質 3.4. 機能とコスト 3.5. 既存利用サービスの活用 3.6. 情報資産の分類と取扱い 4. セキュリティ 4.1. セキュリティ管理体制 4.2. インシデント対応 4.3. 構成管理 4.4. 変更管理 4.5. シークレット保護 /管理 4.6. マルウェア対策 4.7. ログの保護 4.8. バックアップ/リストア 4.9. 事業継続計画( BCP) 5. クラウドサービスの開発・運用 5.1. ID管理 5.2. アクセス制御 5.3. バックアップ/リストア 5.4. ログ 5.5. モニタリング 5.6. バージョン管理 5.7. データに対する機密性確保 5.8. システムに求められる堅牢性 5.9. 環境の分離 5.10. 作業プロセス
  30. 1Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q

    2Q 3Q 4Q 2Q 3Q 4Q 37 CCoE の過去の取り組み Agility Governance Both AWS Organizations SCP(予防的ガードレール) AWS Organization CloudTrail Platform (監査ログ集約・検索基盤 ) プロダクト品質チェックシート AWS TrustedAdvisor Dashboard (ベストプラクティス評価 ) AWS DB Masking Platform (データベースマスキング ) AWS GuardDuty (脅威検出) AWS Baseline (アカウントベースライン ) AWS Config(発見的ガードレール) AWS SupportCase Explorer(ナレッジシェア) AWS DB Backup Platform (共通バックアップ基盤 ) コンテナ化推進活動 新規事業構築支援 プロダクト非機能要件改善支援 クラウドガイドブック AWS IaaS/CaaS Vulnerability Platform (脆弱性スキャン ) GCP SCC Event Threat Detection (脅威検出) 1Q GCP Cloud Audit Logs (監査ログ集約 ) GCP SCC Security Health Analytics (発見的ガードレール ) GCP Organization Policy (予防的ガードレール ) テクニカルサポート(レビュー・相談) / 勉強会 ※その他に「コスト最適化」に関わる取り組みは省略。 凡例 AWS / GCP 組織管理 2022 2018 2019 2021 2020 プラットフォームの開発・提供を通じた活動
  31. • 全てのプロダクトは共通して “クラウド” を利用 • より効率的・効果的な方法を ”エンジニアリング” を用いて実現 • ガバナンス・アジリティの向上に繋がるプラットフォームを提供する

    • プラットフォームの提供に期待する効果 ◦ 拡張性:クラウド利用が増加し続けてもスケールが可能 ◦ 効率性:機能として提供することでクラウド利用者の負担を軽減 ◦ リアルタイム性:人を介さない自動的な仕組みにより必要な機能を素早く提供 ◦ 正確性、継続性、etc プラットフォーム提供の背景 38
  32. No Platform Key Services 概説 AWS GCP 1 アカウントベースライン CodeBuild/Terraform

    – [AWS] 組織全体のアカウントのベースラインとなる共通設定を構成管理・適用 新規アカウント開設時にベースラインにより自動で初期セットアップを行う 2 予防的ガードレール SCP (Service Control Policy) Organization Policy [AWS/GCP] 社内ルールの遵守や組織機能の動作保証のために特定の API 操作を 抑止 3 発見的ガードレール AWS Config SCC Security Health Analytics [AWS/GCP] 規定されたルールに対するリソースの準拠状況を自動的に評価 評価結果を可視化及び新たな非準拠が発生した際には利用者へ通知 4 セキュリティ脅威検出 Amazon GuardDuty SCC Event Threat Detection [AWS/GCP] クラウドで発生する脅威を自動的に検出して可視化及び通知 5 IaaS/CaaS 脆弱性スキャン Amazon Inspector Amazon ECR – [AWS] 組織全体のアカウントの IaaS(インスタンス)とCaaS(コンテナイメージ)を定期的 にスキャンし、脆弱性情報を集約して可視化及び通知 6 ベストプラクティス評価 AWS Trusted Advisor – [AWS] 組織全体のアカウントの AWS Trusted Advisor のチェック結果を定期的に自 動で集約し、可視化及び一部通知 7 証跡ログ集約・検索 CloudTrail/S3/Athena Cloud Audit Logs + BigQuery [AWS/GCP] 全アカウント/プロジェクトのクラウドの証跡ログを集約して一元管理し、 ログの検索基盤を提供 8 サポートケースナレッジシェア Support API – [AWS] 組織全体のアカウントより起票されるサポートケースを集約し、検索可能なナ レッジベースを提供し、アップデートを通知 40 CCoE で提供しているプラットフォーム
  33. 取り組み背景  AWS Trusted Advisor は、AWS 環境を分析し、「コスト最適化」「パフォーマンス」「セキュリ ティ」「耐障害性」「サービスクォータ」に関してベストプラクティスに沿った推奨事項を提供する サービス。(ビジネスサポート以上で全機能利用可)  AWS Trusted

    Advisor を活用するため、組織全体の結果を得るには、当時は全アカウントの 結果を個別収集するか、 AWS の協力が必要 提供機能 • 全アカウントのチェック結果を自動で収集し、ダッシュボードで一元可視化 • 高リスクの結果を新規検出時は Slack へ通知 得られた効果 • 2019年にはセキュリティのエラーを対象に改善を推進し、全体で 1000 件以上を改善 • AWS Trusted Advisor のベストプラクティスを活用したクラウドの最適化を促進 AWS Trusted Advisor を組織全体で活用するためのプラットフォーム ベストプラクティス評価 41
  34. AWS Trusted Advisor を活用した改善促進のためのプラットフォーム ベストプラクティス評価 42 ※現在は、マネージメントアカウントにて AWS Trusted Advisor

    の「組織 ビュー」にて、組織全体のレポートを生成し、サマリーの表示、結果詳細のレ ポート(CSV, JSON)をダウンロードが可能
  35. 取り組み背景  ガードレールの提供などアカウント全体へ設定を入れる必要がある場合、担当者へ手順を渡して設定してもらうアプローチでは多くの手間が 発生し、設定を保証できない AWS アカウントの共通設定を構成管理・適用する自動化ソリューション アカウントベースライン 43 提供機能 • 組織アカウント全体の共通設定(ベースライン)を

    IaC にて構成管理 • 新規アカウント開設時に適用して自動で共通設定を適用 • アカウント全体に対しても一括 or 一部へ追加・変更を適用 得られた効果 • 組織全体への共通設定の管理・適用を効率化 ◦ 従来は多くの調整、確認に時間がかかっていた • クラウド利用開始後に必要な設定を自動で導入することで一定のガバナン スを実現 ※注:「AWS Baseline」は Visional の呼称で AWS のサービス名ではありません。
  36. 取り組み背景  殆どのクラウドでは脅威検出を導入していなかったため、クラウドで発生する脅 威に気付けない状況。過去に脅威によるセキュリティインシデントが発生し、検知 に時間を要したため初動が遅れた事例も存在する 提供機能  クラウド組織全体へ脅威検出のソリューションを導入  (AWS: Amazon GuardDuty /

    GCP: SCC Event Threat Detection) • クラウド全体で脅威を検出し、結果集約して一元的に可視化 • 重大な脅威はリアルタイムに Slack へ通知(セキュリティ部門が対応) 得られた効果 • クラウドの脅威を早期に検出し、対応するプロセスを確立 • AWS / GCP で重大な脅威が存在しないことによる安全性を確認 クラウドの脅威を検出 セキュリティ脅威検出 45
  37. 不適切な設定を自動で検出するガードレール 発見的ガードレール 取り組み背景  チェックシートの課題(チェックの精度、工数、問題発見の遅さ)を改善するため、クラウドの不適 切な設定を自動でチェックして改善を促すアプローチを取ることとした  AWS Trusted Advisor はチェックを選択・拡張できないため、求めるガバナンスに沿った柔軟な チェックが必要となった

    提供機能 • AWS(AWS Config)、GCP(SCC Security Health Analytics)にてクラウド全体を評価 • ルールを選定・実装して評価結果を一元的に集約して可視化 • 新たにルールを外れたリソースは Slack 通知 • 月次での改善状況のサマリレポートを自動で発信 (AWSのみ) 得られた効果 • AWS では、組織全体で検出した不適切な設定を当初の 80% 以上改善 • 新たに検出された結果はクラウド利用者へ通知して素早く対処する文化を醸成 46 AWS 組織全体の不適切な設定数の推移 AWS の結果ダッシュボード
  38. 取り組み背景  「クラウド利用で不要なリスクを伴う操作が可能」、「社内ルールの禁止操作が可能」、「ベースライ ンで管理する構成をクラウド利用者が変更可能」などの問題が存在しました。 提供機能 • 行うべきでない最低限の API 操作(アクション)を禁止 • AWS(Service

    Control Policy)、GCP(Organization Policy)にて特定操作を拒否 得られた効果 • ベースラインや各種プラットフォーム動作を保証 • 社内ルールに基づく禁止操作の発生を抑止 不要な操作を抑制してリスクを回避 予防的ガードレール 48 ※ 社内ルールの例:AWS の IAM Userに対してパスワードによるコンソールアクセスを許可するログインプロファイル作 成のAPIの禁止(SAML 認証を通した IAM Role でのコンソールログインのみを許可)など。
  39. 取り組み背景  CCoE として活動する上でクラウド利用者の支援やクラウドベンダーと連携するために、サ ポートケースによる技術的な課題や障害に関する問合せは重要な情報。他のクラウド利用 者にも有益な情報が多い 提供機能 • サポートケースを組織全体で収集 • 閲覧・検索可能な

    Web アプリを社内へ公開 • 新着のやり取りは Slack へ通知 得られた効果 • CCoE での AWS 組織全体のケースの把握と、横断的なナレッジの展開 AWS サポートケースを集約したダッシュボードの公開 サポートケースナレッジシェア 49 ケース一覧・検索画面 ケース詳細画面 ※ GCP では、組織の「テクニカル サポート閲覧者」のロールを持つユーザは、組織全体のサポートケースを閲 覧することが可能なため同様の仕組みは提供していない。
  40. クラウドの証跡ログを集約して保証・ログ検索基盤の提供 取り組み背景  発見的ガードレールの結果よりクラウドの監査ログの設定が十分な状態にな い。監査ログ分析のため基盤を利用者各々で構築しており非効率。 提供機能 • 組織全体の監査ログ出力設定を一律で設定 • 監査ログをログアーカイブアカウントへ保管 •

    障害やインシデントの調査 /分析で直ぐに活用できる検索基盤を提供 ◦ (AWS)アカウント単位で監査ログを保管した S3 へ S3 アクセスポイントによる参照、 AssumeRole/SwitchRole による S3 の参照と Athena のアカウント単位のワークグ ループを利用して所有者に絞った分析可能な環境を提供 ◦ (GCP)プロジェクト個別で Cloud Logging にて、ある程度柔軟な検索が可能なため、 BigQuery は CCoE による組織全体のログ分析環境として活用 得られた効果 • 組織全体の監査ログの保証、及びログ分析基盤構築作業の効率化 証跡ログ集約・検索 51
  41. 取り組み背景  インスタンスやコンテナイメージの脆弱性管理が十分に行われていない課題が存在 提供機能 • AWS Inspector / ECR のスキャンを用いて組織全体の脆弱性をスキャン •

    脆弱性の PoC 有無やインスタンスは外部からのネットワーク到達可能性を考慮した独 自の深刻度判定によりリスクの高い脆弱性を抽出 • 検出された脆弱性情報を可視化 • 緊急性の高い脆弱性をセキュリティ部門へ通知 得られた効果 • 日々増え続ける脆弱性に対して組織全体でインスタンスとコンテナイメージへの対応とし てダウントレンドを創出 インスタンスとコンテナの脆弱性評価 IaaS/CaaS脆弱性評価 52
  42. CCoE の取り組みを通して 54 • Visional について • Visional のクラウド利用状況について •

    Visional の CCoE 組織について • CCoE のアジリティとガバナンスを両立する取り組み • CCoE の取り組みを通して • まとめ
  43.   2022 1Q   2018   2019   2021 1Q

    2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 2Q 3Q 4Q 55 CCoE の過去の取り組み(再掲)   2020 FY19 FY20 FY21 FY22 Agility Governance Both AWS Organizations SCP(予防的ガードレール) AWS Organization CloudTrail Platform (監査ログ集約・検索基盤 ) プロダクト品質チェックシート AWS TrustedAdvisor Dashboard (ベストプラクティス評価 ) AWS DB Masking Platform (データベースマスキング ) AWS GuardDuty (脅威検出) AWS Baseline (アカウントベースライン ) AWS Config(発見的ガードレール) AWS SupportCase Explorer(ナレッジシェア) AWS DB Backup Platform (共通バックアップ基盤 ) コンテナ化推進活動 新規事業構築支援 プロダクト非機能要件改善支援 クラウドガイドブック AWS IaaS/CaaS Vulnerability Platform (脆弱性スキャン ) GCP SCC Event Threat Detection (脅威検出) 1Q GCP Cloud Audit Logs (監査ログ集約 ) GCP SCC Security Health Analytics (発見的ガードレール ) GCP Organization Policy (予防的ガードレール ) テクニカルサポート(レビュー・相談) / 勉強会 ※その他に「コスト最適化」に関わる取り組みは省略。 凡例 AWS / GCP 組織管理
  44. サーバレスの活用 56 プラットフォームは、マネージドサービスを利用し、サーバレスを中心としたアーキテクチャで構築 • サーバレスのメリット ◦ サーバの管理不要 ◦ 柔軟なスケーリング ◦

    高可用性 ◦ コスト最適化(従量課金) • イベントドリブンアーキテクチャ ◦ コンポーネントを疎結合にすることで開発のアジリティを高める • 一定の制約※1が存在するが、コンポーネントを適度に小さく保ち、ベストプラクティスに追従しやすい サーバレスの活用により、 必要な機能開発に集中、クラウドネイティブなプラットフォームを提供 ※1: 関数の実行時間(AWS Lambda = 最大15分、GCP Cloud Functions = 最大10分/世代・呼び出しタイプによる)
  45. “ガバナンス”の取り組みの成果 57 • 管理適正化:クラウド組織(アカウント)全体やクラウドの共通設定を適切に管理 • 発見的ガードレール :設定不備/脆弱性/脅威等を自動検出して可視化、リスクを管理 • 予防的ガードレール :最低限の操作を抑制することで不要なリスクを回避

    • 監査ログ保証:組織レベルでログを保証       Visional グループ全体でクラウドを安全に利活用するための地盤を構築 事業部 A 事業部 B 事業部 C D E … クラウド共通のガバナンスの対策 クラウド共通のガバナンスの対策 prd dev stg stg prd dev prd stg prd prd prd prd dev prd
  46. “アジリティ”の取り組みの成果 58 • ベースライン:クラウドで共通化できる範囲を CCoE が管理してクラウド利用者の負担を低減 • ガードレール:安全なクラウド利用を進めるために効率的に開発 /運用を支援 •

    プラクティス提供:ガイドブック、ベストプラクティス、ナレッジを提供しクラウド活用を推進 • コンテナ化推進:スケーラビリティの確保や回復性・柔軟性・運用効率の向上を全社で実施       クラウド利用者(事業)がよりビジネスに集中できる環境を整備
  47. 課題と今後の展望 • マルチクラウドの管理効率化 ◦ クラウド毎に個別のプラットフォームを提供することによる管理の煩雑化 マルチクラウドに対応した SaaS 等の効率的な管理・運用方法を 検討 •

    会社の情報システムのクラウド活用推進 ◦ コーポレート機能を提供する情報システムがレガシーな状況 クラウドへのマイグレーションやクラウドの最適化 • 継続的な改善と更なる向上施策 ◦ クラウドの進化は早くプラットフォームやルールの追従が必要、ユーザフィードバックも重要 ガバナンスとアジリティの更なる向上のための継続的な改善と新たな打ち手 59
  48. 課題と今後の展望 60 • クラウドスキルのトレーニング ◦ 会社の成長に合わせてエンジニアが増え、多様化が進む中で、会社・事業ごとのクラウドスキルのバラつ きが発生している。 クラウドスキル向上のためのトレーニングプログラムの実施等 • クラウドの情報共有/関係構築

    ◦ 全プロダクトがクラウドを利用しているため、様々なナレッジが散在している。 CCoE がコミュニケーション ハブの役割を担っているが、現場からは他事業のクラウド活用の関心の声が多い。 継続的なナレッジ共有の仕組みや人の緩い繋がりを築くコミュニティの構築等
  49. まとめ 61 • Visional について • Visional のクラウド利用状況について • Visional

    の CCoE 組織について • CCoE のアジリティとガバナンスを両立する取り組み • CCoE の取り組みを通して • まとめ
  50. • CCoE(Cloud Center of Excellence)は ”クラウド活用推進組織 ” ◦ 「企業内でクラウドを活用・推進していくための仕組みを整え、広めるための専門組織」 •

    Visional の CCoE は、全社プロダクトの非機能要件を向上する横断組織から派生して誕生した • クラウド共通のプラットフォームは全体のクラウド活用を効率的・効果的に推進する • ガバナンスは、「ゲートキーパー」ではなく「ガードレール」のアプローチが効果的 • コンテナ、サーバレスなどの技術を活用することで更なるアジリティの向上が期待できる • CCoE の活動を通じて、アジリティとガバナンスを両立するクラウド活用を進めることができた ◦ クラウドを活用して実際にビジネス価値を生み出すのは現場 ◦ クラウド活用推進は、 CCoE の組織だけではなく、経営の理解・支援、現場との協力・連携が重要 まとめ 62
  51. • AWS Summit Online Japan 2020 「大規模な組織変遷と100以上のAWSアカウントの横断的セキュリティガードレール運用について」
 ▪ https://pages.awscloud.com/rs/112-TZM-766/images/CUS-06_AWS_Summit_Online_2020_Visional%20Inc.pdf 


    • Visional Engineering Blog 「100を超えるAWSアカウント運用におけるガードレール構築事例」
 ▪ https://engineering.visional.inc/blog/171/awssummit_securityguardrail/ 
 • Security-JAWS 第19回 「AWS Config による継続的コンプライアンス実現に向けた取り組み」
 ▪ https://speakerdeck.com/nagahara/continuous-compliance-with-aws-config 
 • AWS Dev/Cloud Alliance 第1回 「CCoE による Terraform を活用した Infrastructure as Code」
 ▪ https://speakerdeck.com/nagahara/iac-by-terraform-in-ccoe 
 • Google Cloud Security Summit 「Visional における CCoE 組織とセキュリティ ガードレール整備の取り組み」
 ▪ https://services.google.com/fh/files/events/security-d1-05.pdf 
 • ITmedia Security Week 2022 summer 「クラウド時代の脆弱性への取り組み〜AWS/GCP編〜」
 ▪ https://speakerdeck.com/nagahara/vulnerability-in-the-cloud 
 • 書籍 「DXを成功に導くクラウド活用推進ガイド CCoEベストプラクティス」(先進事例企業として登場)
 ▪ https://www.amazon.co.jp/dp/4296070150 
 65 参考情報