Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CCoEが進める セキュリティカイゼンの旅

OsakaTechLab
October 30, 2024
Technology
0
8

CCoEが進める セキュリティカイゼンの旅

OsakaTechLab

October 30, 2024
Tweet

More Decks by OsakaTechLab

See All by OsakaTechLab
誰でもできる type-challenges入門
osakatechlab
0
7
CCoE が提供する Google Cloud 環境と CSPM の取組み
osakatechlab
0
9
Google Cloud における CSPM の取組み
osakatechlab
0
11
短期間でPoC検証・生成AIを活用した汎用会話 API
osakatechlab
0
96

Other Decks in Technology

See All in Technology
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
3.2k
Mastering Quickfix
daisuzu
1
360
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
150
Android 15 でウィジェットピッカーのプレビュー画像をGlanceで魅せたい/nikkei-tech-talk-27-1
nikkei_engineer_recruiting
0
100
4年で17倍に成長したエンジニア組織を支えるアーキテクチャの過去と未来
sansantech
PRO
1
540
あなたの知らない Function.prototype.toString() の世界
mizdra
PRO
4
2.1k
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.9k
OS 標準のデザインシステムを超えて - より柔軟な Flutter テーマ管理 | FlutterKaigi 2024
ronnnnn
1
350
TanStack Routerに移行するのかい しないのかい、どっちなんだい! / Are you going to migrate to TanStack Router or not? Which one is it?
kaminashi
0
660
TypeScript、上達の瞬間
sadnessojisan
49
14k
DynamoDB でスロットリングが発生したとき_大盛りver/when_throttling_occurs_in_dynamodb_long
emiki
1
500
New Relicを活用したSREの最初のステップ / NRUG OKINAWA VOL.3
isaoshimizu
3
680

Featured

See All Featured
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
The World Runs on Bad Software
bkeepers
PRO
65
11k
What's in a price? How to price your products and services
michaelherold
243
12k
Building Your Own Lightsaber
phodgson
103
6.1k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
6
440
The Pragmatic Product Professional
lauravandoore
31
6.3k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
The Cult of Friendly URLs
andyhume
78
6k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
Site-Speed That Sticks
csswizardry
0
44

Transcript

  1. CCoEが進める セキュリティカイゼンの旅 2023.09.21 CCoE実践者コミュニティ関西#1 KINTOテクノロジーズ 多田友昭

  2. 自己紹介 • 多田 友昭(Tada Tomoaki) • @cjmjcxvxjtr • KINTOテクノロジーズ株式会社 Osaka

    Tech Lab(2022.07〜) プラットフォームG CCoEチーム • 経歴 • メーカSE@東京:情報収集衛星の画像処理システム開発 • セキュリティベンチャー@大阪:自社MSP・SIEMツール開発など • SIer@大阪:認証基盤開発、クラウド、CCoE、サービス企画など

  3. アジェンダ 1. KINTOテクノロジーズ 2. 環境 3. CCoEのミッションと活動 4. クラウド「統制」で実施していること 5.

    クラウド「統制」の今後 6. まとめ

  4. 1. KINTOテクノロジーズ 会社概要

  5. 1. KINTOテクノロジーズ グループ組織

  6. 1. KINTOテクノロジーズ 部門紹介 プラットフォームG CCoEチームはここに 所属

  7. 1. KINTOテクノロジーズ プラットフォームグループ Platform Group Cloud Infrastructure Platform Engineering SRE

    DBRE MSP CCoE クラウドエンジニアリング業務(インフラ設計、構築、運用、インフラ障害対応)を通じて安定的なインフラ環境を提供 クラウド(AWS/Google Cloud)エンジニア、IaCによるシステム構築やシステム変更などの運用業務を担いながら、システムパック のリリースやアプリケーションモニタリングなど改善業務も実施するグループの中核 クラウドシステム運用に関わるツールの管理・開発・運用(問い合わせ対応)を提供 Managed Serviceを積極的に利用した運用・設計・構築で必要なツールを開発、運用、導入推進を行いツールでプロダクトを支える SLA改善提案を推進することで安心安全なサービスの提供を実現 未来のプロダクト信頼性を担うエンジニア。信頼性向上のためにどんな事ができるのかをSREヒエラルキーを下から積み上げなが らSREガイドラインを作成中。プロダクトを絞って開発グループへのSREサポートも並行して実施 データベース専門知識を用いて再帰性のあるプロセスや戦略決定を実現 データベースのスペシャリスト。データベースの信頼性向上のために見える化するツール提供から、セキュリティ対策やマスキン グ対策などの施策も実施 アプリケーション運用サポートにより間接的な開発スピードと品質向上に貢献する アプリケーションの障害・問い合わせ受付業務を行う「サービスデスク」と障害の1次オペレーションや定型作業を実施する「一 次システム保守」の2つの役割を担っていただける協力会社との連携を行う事務局的役割 適切なポリシーで統制されたセキュアなクラウド環境の実現 クラウドセキュリティのスペシャリスト集団。クラウドセキュリティガイドラインの作成から、ガードレールの実装やAWS/GCPの 教育サポートまでを手掛ける

  8. 2. 環境 プロダクト環境 プロダクト数 ※開発中含む ≒80 環境数 開発、ステージング、本番など 11

  9. 2. 環境 セキュリティの考え方 • グループポリシー • GISS(Global Information Security Standard)

    • 全14章、数百項目のコントロールから構成 • 記載は抽象度高め • グループポリシーに基づき、設計時や年1回でアセスメントを実施 • 全社セキュリティグループが中心に実施 • クラウドインフラに関しては、プラットフォームGがアセスメント対応

  10. 3. CCoEのミッションと活動 一般的なCCoEデザインパターン • CCoEは、クラウド活用組織に対して、共通サー ビス提供・人材育成など、活用支援を行う。ま た、セキュリティ、社内ガバナンス等の統制を 行う • CCoEは、クラウド活用組織からの相談・質問に

    対して、積極的に対応する • CCoEは、経営層からスポンサーシップを受け、 事業計画、コスト管理、ガバナンスなどの全社 戦略を活用・統制に反映する • CCoEは、社外ステークホルダーと連携し、新 サービス、ベストプラクティス等の情報収集・ 発信などを行う 社内・自組織 クラウド活用組織 開発部 経営層・事業企画・会計・ ガバナンス 社外 (クラウド事業者、コミュニ ティ、 、 社 など 活用支援・ 統制 相談・ 連携・ スポンサーシップ 情報収集・発信 CCoEは、社内のクラウド利用を積極活用することを推進、 統制するミッションを持つ組織

  11. 3. CCoEのミッションと活動 KINTOテクノロジーズ CCoEチームの変遷 CCoE発足前(〜2022.09) CCoE立上期(2022.09〜2023.03) CCoE実践期(2023.04〜) ★2022.07 JOIN ★2022.08-09

    CCoE提案&発足 • グループ内の各チームで、「ベストプ ラクティス/テンプレ提供」、「勉強 会実施」、「ナレッジ共有」等を実施 • プロダクト環境については、セキュリ ティ対策ができていたが、Sandbox環境 はプロダクト側の個別管理でセキュリ ティ対策が不十分 • 0→1フェーズのため、プロダクト側の セキュリティ意識不足 • CCoEミッションとあるべき姿を定義 • クラウドの「活用」と「統制」をタス クとするチームとして、CCoE提案 • クラウドの「統制」の課題解決を中心 にタスクを定義・実施 • グループ(セキュリティG、ENG L&Tな ど)を巻き込み、1人CCoEをスケールさ せて活動 • 3名体制に拡充 • CCoEの活動がより加速 CCoEの前身チームとしての セキュリティチーム(1名) 専任1名+α 専任3名+α チーム編成 概要

  12. 3. CCoEのミッションと活動 ミッションとあるべき姿 クラウドサービスを利用したシステム開発の積極的な推進とガバナンスによる統制を 通じて、モビリティプロダクトの開発を、よりアジャイルかつセキュアにする ミッション ナレッジ共有や人材育成を通じて、効率的な開発を継続的に実施する支援を行う グループ会社セキュリティポリシーに準拠したクラウド環境を提供し、常にセキュアな状態 を維持するための支援を行う CCoEのあるべき姿

    クラウドの「活用」 CCoEのあるべき姿 クラウドの「統制」

  13. 4. クラウド「統制」で実施していること 立上期にやってたこと • ガイドライン作成宣言と作成 • グループポリシーに基づく、 AWSサービスの具体的設定・実装方法 • CSPMによるクラウドセキュリティカイゼン(AWS)

    • Security Hub(CIS, AFSB) • Sandbox環境を持つグループごとに • レポーティング(月1回) • カイゼン方法説明(WHYとHOW)→CRITICAL、HIGHを対応 • 1つのグループから初めて、徐々に全グループに展開 • プロダクト側DevOpsチームに対して実施 CCoE発足前(〜2022.09) CCoE立上期(2022.09〜2023.03) CCoE実践期(2023.04〜)

  14. 4. クラウド「統制」で実施していること 実践期にやっていること(1) • CSPMによるクラウドセキュリティカイゼン(AWS) • Security Hub(CIS, AFSB) •

    全環境に対して実施(Prod/Dev/Stg、Sandbox) • レポーティング(月1回)+週一チェックでCRITICAL/HIGHを確認 • 自主的なカイゼンフェーズ • CRITICAL / HIGH = ほぼ0 / 道半ば • IAMユーザのクレデンシャルレポート • ユーザ棚卸し • クレデンシャルローテーション CCoE発足前(〜2022.09) CCoE立上期(2022.09〜2023.03) CCoE実践期(2023.04〜)

  15. 4. クラウド「統制」で実施していること 実践期にやっていること(2) • セキュリティプリセットクラウド環境(Google, AWS) • 遵守すべきことは確実に守らせ、開発注力 • 主なセキュリティ設定

    • root管理 • MFA強制、パスワードポリシー • 予防的ガードレール(SCP) • 発見的ガードレール(CSPM) • 脅威検知 • 監査ログ保管(SIEM) • など CCoE発足前(〜2022.09) CCoE立上期(2022.09〜2023.03) CCoE実践期(2023.04〜) 素のクラウドアカウント クラウドセキュリティ (SCP, ベストプラクティス等) ガイドラインに基づく セキュリティ設定 アプリ アプリ アプリ KINTO Technologies Tech Blog: CCoE活動とGoogle Cloudセキュリティプリセット環境の提供 https://blog.kinto-technologies.com/posts/2023-06-22-whats-ccoe-and-security-preset-gcp/

  16. 5. クラウド「統制」の今後 グループポリシー準拠のためのAs-Is

  17. 5. クラウド「統制」の今後 グループポリシー準拠のための将来像 グループポリシーに従ったセキュリティ 状況をチェック・可視化するダッシュ ボード ガイドラインに基づく、トレーニングパス +セルフスタディコンテンツの提供 セキュリティプリセットされたクラウド アカウントの提供

  18. 6. まとめ • KINTOテクノロジーズのCCoEチームの主ミッションは、 クラウドの「活用」と「統制」を支援する • クラウドの「統制」は、クラウドセキュリティのカイゼン • グループポリシーに準拠するために、ガイドライン、CSPM、 セキュリティプリセットアカウントを準備・展開

  19. None
  20. None