CCoEが進める セキュリティカイゼンの旅

Transcript

1. CCoEが進める セキュリティカイゼンの旅 2023.09.21 CCoE実践者コミュニティ関西#1 KINTOテクノロジーズ 多田友昭

2. 自己紹介 • 多田 友昭(Tada Tomoaki) • @cjmjcxvxjtr • KINTOテクノロジーズ株式会社 Osaka

   Tech Lab(2022.07〜) プラットフォームG CCoEチーム • 経歴 • メーカSE@東京：情報収集衛星の画像処理システム開発 • セキュリティベンチャー＠大阪：自社MSP・SIEMツール開発など • SIer@大阪：認証基盤開発、クラウド、CCoE、サービス企画など

3. アジェンダ 1. KINTOテクノロジーズ 2. 環境 3. CCoEのミッションと活動 4. クラウド「統制」で実施していること 5.

   クラウド「統制」の今後 6. まとめ

4. 1. KINTOテクノロジーズ 会社概要

5. 1. KINTOテクノロジーズ グループ組織

6. 1. KINTOテクノロジーズ 部門紹介 プラットフォームG CCoEチームはここに 所属

7. 1. KINTOテクノロジーズ プラットフォームグループ Platform Group Cloud Infrastructure Platform Engineering SRE

   DBRE MSP CCoE クラウドエンジニアリング業務(インフラ設計、構築、運用、インフラ障害対応)を通じて安定的なインフラ環境を提供 クラウド(AWS/Google Cloud)エンジニア、IaCによるシステム構築やシステム変更などの運用業務を担いながら、システムパック のリリースやアプリケーションモニタリングなど改善業務も実施するグループの中核 クラウドシステム運用に関わるツールの管理・開発・運用（問い合わせ対応）を提供 Managed Serviceを積極的に利用した運用・設計・構築で必要なツールを開発、運用、導入推進を行いツールでプロダクトを支える SLA改善提案を推進することで安心安全なサービスの提供を実現 未来のプロダクト信頼性を担うエンジニア。信頼性向上のためにどんな事ができるのかをSREヒエラルキーを下から積み上げなが らSREガイドラインを作成中。プロダクトを絞って開発グループへのSREサポートも並行して実施 データベース専門知識を用いて再帰性のあるプロセスや戦略決定を実現 データベースのスペシャリスト。データベースの信頼性向上のために見える化するツール提供から、セキュリティ対策やマスキン グ対策などの施策も実施 アプリケーション運用サポートにより間接的な開発スピードと品質向上に貢献する アプリケーションの障害・問い合わせ受付業務を行う「サービスデスク」と障害の１次オペレーションや定型作業を実施する「一 次システム保守」の２つの役割を担っていただける協力会社との連携を行う事務局的役割 適切なポリシーで統制されたセキュアなクラウド環境の実現 クラウドセキュリティのスペシャリスト集団。クラウドセキュリティガイドラインの作成から、ガードレールの実装やAWS/GCPの 教育サポートまでを手掛ける

8. 2. 環境 プロダクト環境 プロダクト数 ※開発中含む ≒80 環境数 開発、ステージング、本番など 11

9. 2. 環境 セキュリティの考え方 • グループポリシー • GISS(Global Information Security Standard)

   • 全14章、数百項目のコントロールから構成 • 記載は抽象度高め • グループポリシーに基づき、設計時や年1回でアセスメントを実施 • 全社セキュリティグループが中心に実施 • クラウドインフラに関しては、プラットフォームGがアセスメント対応

10. 3. CCoEのミッションと活動 一般的なCCoEデザインパターン • CCoEは、クラウド活用組織に対して、共通サー ビス提供・人材育成など、活用支援を行う。ま た、セキュリティ、社内ガバナンス等の統制を 行う • CCoEは、クラウド活用組織からの相談・質問に

    対して、積極的に対応する • CCoEは、経営層からスポンサーシップを受け、 事業計画、コスト管理、ガバナンスなどの全社 戦略を活用・統制に反映する • CCoEは、社外ステークホルダーと連携し、新 サービス、ベストプラクティス等の情報収集・ 発信などを行う 社内・自組織 クラウド活用組織 開発部 経営層・事業企画・会計・ ガバナンス 社外 （クラウド事業者、コミュニ ティ、 、 社 など 活用支援・ 統制 相談・ 連携・ スポンサーシップ 情報収集・発信 CCoEは、社内のクラウド利用を積極活用することを推進、 統制するミッションを持つ組織

11. 3. CCoEのミッションと活動 KINTOテクノロジーズ CCoEチームの変遷 CCoE発足前(〜2022.09) CCoE立上期(2022.09〜2023.03) CCoE実践期(2023.04〜) ★2022.07 JOIN ★2022.08-09

    CCoE提案&発足 • グループ内の各チームで、「ベストプ ラクティス／テンプレ提供」、「勉強 会実施」、「ナレッジ共有」等を実施 • プロダクト環境については、セキュリ ティ対策ができていたが、Sandbox環境 はプロダクト側の個別管理でセキュリ ティ対策が不十分 • 0→１フェーズのため、プロダクト側の セキュリティ意識不足 • CCoEミッションとあるべき姿を定義 • クラウドの「活用」と「統制」をタス クとするチームとして、CCoE提案 • クラウドの「統制」の課題解決を中心 にタスクを定義・実施 • グループ(セキュリティG、ENG L&Tな ど)を巻き込み、1人CCoEをスケールさ せて活動 • ３名体制に拡充 • CCoEの活動がより加速 CCoEの前身チームとしての セキュリティチーム(１名) 専任１名＋α 専任３名＋α チーム編成 概要

12. 3. CCoEのミッションと活動 ミッションとあるべき姿 クラウドサービスを利用したシステム開発の積極的な推進とガバナンスによる統制を 通じて、モビリティプロダクトの開発を、よりアジャイルかつセキュアにする ミッション ナレッジ共有や人材育成を通じて、効率的な開発を継続的に実施する支援を行う グループ会社セキュリティポリシーに準拠したクラウド環境を提供し、常にセキュアな状態 を維持するための支援を行う CCoEのあるべき姿

    クラウドの「活用」 CCoEのあるべき姿 クラウドの「統制」

13. 4. クラウド「統制」で実施していること 立上期にやってたこと • ガイドライン作成宣言と作成 • グループポリシーに基づく、 AWSサービスの具体的設定・実装方法 • CSPMによるクラウドセキュリティカイゼン(AWS)

    • Security Hub(CIS, AFSB) • Sandbox環境を持つグループごとに • レポーティング（月1回） • カイゼン方法説明（WHYとHOW）→CRITICAL、HIGHを対応 • 1つのグループから初めて、徐々に全グループに展開 • プロダクト側DevOpsチームに対して実施 CCoE発足前(〜2022.09) CCoE立上期(2022.09〜2023.03) CCoE実践期(2023.04〜)

14. 4. クラウド「統制」で実施していること 実践期にやっていること(１) • CSPMによるクラウドセキュリティカイゼン(AWS) • Security Hub(CIS, AFSB) •

    全環境に対して実施(Prod/Dev/Stg、Sandbox) • レポーティング(月1回)＋週一チェックでCRITICAL／HIGHを確認 • 自主的なカイゼンフェーズ • CRITICAL / HIGH = ほぼ0 / 道半ば • IAMユーザのクレデンシャルレポート • ユーザ棚卸し • クレデンシャルローテーション CCoE発足前(〜2022.09) CCoE立上期(2022.09〜2023.03) CCoE実践期(2023.04〜)

15. 4. クラウド「統制」で実施していること 実践期にやっていること(２) • セキュリティプリセットクラウド環境(Google, AWS) • 遵守すべきことは確実に守らせ、開発注力 • 主なセキュリティ設定

    • root管理 • MFA強制、パスワードポリシー • 予防的ガードレール(SCP) • 発見的ガードレール(CSPM) • 脅威検知 • 監査ログ保管(SIEM) • など CCoE発足前(〜2022.09) CCoE立上期(2022.09〜2023.03) CCoE実践期(2023.04〜) 素のクラウドアカウント クラウドセキュリティ （SCP, ベストプラクティス等) ガイドラインに基づく セキュリティ設定 アプリ アプリ アプリ KINTO Technologies Tech Blog: CCoE活動とGoogle Cloudセキュリティプリセット環境の提供 https://blog.kinto-technologies.com/posts/2023-06-22-whats-ccoe-and-security-preset-gcp/

16. 5. クラウド「統制」の今後 グループポリシー準拠のためのAs-Is

17. 5. クラウド「統制」の今後 グループポリシー準拠のための将来像 グループポリシーに従ったセキュリティ 状況をチェック・可視化するダッシュ ボード ガイドラインに基づく、トレーニングパス ＋セルフスタディコンテンツの提供 セキュリティプリセットされたクラウド アカウントの提供

18. 6. まとめ • KINTOテクノロジーズのCCoEチームの主ミッションは、 クラウドの「活用」と「統制」を支援する • クラウドの「統制」は、クラウドセキュリティのカイゼン • グループポリシーに準拠するために、ガイドライン、CSPM、 セキュリティプリセットアカウントを準備・展開

19. None
20. None