Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
CCoEが進める セキュリティカイゼンの旅
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
KINTOテクノロジーズ Osaka Tech Lab
October 30, 2024
Technology
150
2
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
CCoEが進める セキュリティカイゼンの旅
KINTOテクノロジーズ Osaka Tech Lab
October 30, 2024
More Decks by KINTOテクノロジーズ Osaka Tech Lab
See All by KINTOテクノロジーズ Osaka Tech Lab
Osaka Tech Lab 2.0 関西のITを、もっと熱く
osakatechlab
0
80
KINTO テクノロジーズの クラウドセキュリティ専門組織の実践知あれこれ
osakatechlab
1
560
いわゆる「俺が考えた最高のアーキテクチャ」を敢えて見送った話
osakatechlab
0
160
あえてスキーマ駆動開発を見送った話
osakatechlab
0
130
LLM アプリケーションのためのクラウドセキュリティ - CSPM の実装ポイント-
osakatechlab
0
1.1k
フロントエンドのディレクトリ構成どうしてる? Feature-Sliced Design 導入体験談
osakatechlab
13
7.3k
誰でもできる type-challenges入門
osakatechlab
0
64
CCoE が提供する Google Cloud 環境と CSPM の取組み
osakatechlab
0
190
Google Cloud における CSPM の取組み
osakatechlab
0
120
Other Decks in Technology
See All in Technology
AWSシリコン最前線 〜AI時代のチップ選択を読み解く〜
htokoyo
2
450
ACE-Step-1.5で見る 音楽生成AIのしくみと“破綻だけ直す”Retake機能の開発【zennfes spring 2026 登壇資料】
personabb
1
130
Snowflakeと仲良くなる第一歩
coco_se
4
420
社内 AI エージェント Synapse と セマンティックレイヤーの育て方
hiroakis
2
1.7k
ルールやカスタム機能、どう活かす?ハンズオンで体感するIBM Bobの出力コントロール
muehara
1
130
地球に⽣きるAI —GeoAIと「中間領域」— / AI Living on Earth — GeoAI and the “Intermediate Layer” —
ykiyota
0
280
Building applications in the Gemini API family.
line_developers_tw
PRO
0
3k
MCP Appsを作ってみよう
iwamot
PRO
4
540
非エンジニアがClaudeと挑んだ「1ヶ月間プロダクト30本ノック」
askokc
0
320
Socrates × Looker 〜セマンティックレイヤーで進化するデータ分析エージェント〜
hanon52_
3
2.1k
スキルと MCP ツール、責務をどう分けるか? AI が迷わないインターフェース設計の戦略
cdataj
1
950
Agentic Web
dynamis
1
200
Featured
See All Featured
Mind Mapping
helmedeiros
PRO
1
240
GraphQLの誤解/rethinking-graphql
sonatard
75
12k
Design in an AI World
tapps
1
240
Test your architecture with Archunit
thirion
1
2.3k
Git: the NoSQL Database
bkeepers
PRO
432
67k
KATA
mclloyd
PRO
35
15k
The Mindset for Success: Future Career Progression
greggifford
PRO
0
360
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
tomoyanonymous
2
850
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
baasie
0
580
Mobile First: as difficult as doing things right
swwweet
225
10k
Building Flexible Design Systems
yeseniaperezcruz
330
40k
16th Malabo Montpellier Forum Presentation
akademiya2063
PRO
0
140
Transcript
CCoEが進める セキュリティカイゼンの旅 2023.09.21 CCoE実践者コミュニティ関西#1 KINTOテクノロジーズ 多田友昭
自己紹介 • 多田 友昭(Tada Tomoaki) • @cjmjcxvxjtr • KINTOテクノロジーズ株式会社 Osaka
Tech Lab(2022.07〜) プラットフォームG CCoEチーム • 経歴 • メーカSE@東京:情報収集衛星の画像処理システム開発 • セキュリティベンチャー@大阪:自社MSP・SIEMツール開発など • SIer@大阪:認証基盤開発、クラウド、CCoE、サービス企画など
アジェンダ 1. KINTOテクノロジーズ 2. 環境 3. CCoEのミッションと活動 4. クラウド「統制」で実施していること 5.
クラウド「統制」の今後 6. まとめ
1. KINTOテクノロジーズ 会社概要
1. KINTOテクノロジーズ グループ組織
1. KINTOテクノロジーズ 部門紹介 プラットフォームG CCoEチームはここに 所属
1. KINTOテクノロジーズ プラットフォームグループ Platform Group Cloud Infrastructure Platform Engineering SRE
DBRE MSP CCoE クラウドエンジニアリング業務(インフラ設計、構築、運用、インフラ障害対応)を通じて安定的なインフラ環境を提供 クラウド(AWS/Google Cloud)エンジニア、IaCによるシステム構築やシステム変更などの運用業務を担いながら、システムパック のリリースやアプリケーションモニタリングなど改善業務も実施するグループの中核 クラウドシステム運用に関わるツールの管理・開発・運用(問い合わせ対応)を提供 Managed Serviceを積極的に利用した運用・設計・構築で必要なツールを開発、運用、導入推進を行いツールでプロダクトを支える SLA改善提案を推進することで安心安全なサービスの提供を実現 未来のプロダクト信頼性を担うエンジニア。信頼性向上のためにどんな事ができるのかをSREヒエラルキーを下から積み上げなが らSREガイドラインを作成中。プロダクトを絞って開発グループへのSREサポートも並行して実施 データベース専門知識を用いて再帰性のあるプロセスや戦略決定を実現 データベースのスペシャリスト。データベースの信頼性向上のために見える化するツール提供から、セキュリティ対策やマスキン グ対策などの施策も実施 アプリケーション運用サポートにより間接的な開発スピードと品質向上に貢献する アプリケーションの障害・問い合わせ受付業務を行う「サービスデスク」と障害の1次オペレーションや定型作業を実施する「一 次システム保守」の2つの役割を担っていただける協力会社との連携を行う事務局的役割 適切なポリシーで統制されたセキュアなクラウド環境の実現 クラウドセキュリティのスペシャリスト集団。クラウドセキュリティガイドラインの作成から、ガードレールの実装やAWS/GCPの 教育サポートまでを手掛ける
2. 環境 プロダクト環境 プロダクト数 ※開発中含む ≒80 環境数 開発、ステージング、本番など 11
2. 環境 セキュリティの考え方 • グループポリシー • GISS(Global Information Security Standard)
• 全14章、数百項目のコントロールから構成 • 記載は抽象度高め • グループポリシーに基づき、設計時や年1回でアセスメントを実施 • 全社セキュリティグループが中心に実施 • クラウドインフラに関しては、プラットフォームGがアセスメント対応
3. CCoEのミッションと活動 一般的なCCoEデザインパターン • CCoEは、クラウド活用組織に対して、共通サー ビス提供・人材育成など、活用支援を行う。ま た、セキュリティ、社内ガバナンス等の統制を 行う • CCoEは、クラウド活用組織からの相談・質問に
対して、積極的に対応する • CCoEは、経営層からスポンサーシップを受け、 事業計画、コスト管理、ガバナンスなどの全社 戦略を活用・統制に反映する • CCoEは、社外ステークホルダーと連携し、新 サービス、ベストプラクティス等の情報収集・ 発信などを行う 社内・自組織 クラウド活用組織 開発部 経営層・事業企画・会計・ ガバナンス 社外 (クラウド事業者、コミュニ ティ、 、 社 など 活用支援・ 統制 相談・ 連携・ スポンサーシップ 情報収集・発信 CCoEは、社内のクラウド利用を積極活用することを推進、 統制するミッションを持つ組織
3. CCoEのミッションと活動 KINTOテクノロジーズ CCoEチームの変遷 CCoE発足前(〜2022.09) CCoE立上期(2022.09〜2023.03) CCoE実践期(2023.04〜) ★2022.07 JOIN ★2022.08-09
CCoE提案&発足 • グループ内の各チームで、「ベストプ ラクティス/テンプレ提供」、「勉強 会実施」、「ナレッジ共有」等を実施 • プロダクト環境については、セキュリ ティ対策ができていたが、Sandbox環境 はプロダクト側の個別管理でセキュリ ティ対策が不十分 • 0→1フェーズのため、プロダクト側の セキュリティ意識不足 • CCoEミッションとあるべき姿を定義 • クラウドの「活用」と「統制」をタス クとするチームとして、CCoE提案 • クラウドの「統制」の課題解決を中心 にタスクを定義・実施 • グループ(セキュリティG、ENG L&Tな ど)を巻き込み、1人CCoEをスケールさ せて活動 • 3名体制に拡充 • CCoEの活動がより加速 CCoEの前身チームとしての セキュリティチーム(1名) 専任1名+α 専任3名+α チーム編成 概要
3. CCoEのミッションと活動 ミッションとあるべき姿 クラウドサービスを利用したシステム開発の積極的な推進とガバナンスによる統制を 通じて、モビリティプロダクトの開発を、よりアジャイルかつセキュアにする ミッション ナレッジ共有や人材育成を通じて、効率的な開発を継続的に実施する支援を行う グループ会社セキュリティポリシーに準拠したクラウド環境を提供し、常にセキュアな状態 を維持するための支援を行う CCoEのあるべき姿
クラウドの「活用」 CCoEのあるべき姿 クラウドの「統制」
4. クラウド「統制」で実施していること 立上期にやってたこと • ガイドライン作成宣言と作成 • グループポリシーに基づく、 AWSサービスの具体的設定・実装方法 • CSPMによるクラウドセキュリティカイゼン(AWS)
• Security Hub(CIS, AFSB) • Sandbox環境を持つグループごとに • レポーティング(月1回) • カイゼン方法説明(WHYとHOW)→CRITICAL、HIGHを対応 • 1つのグループから初めて、徐々に全グループに展開 • プロダクト側DevOpsチームに対して実施 CCoE発足前(〜2022.09) CCoE立上期(2022.09〜2023.03) CCoE実践期(2023.04〜)
4. クラウド「統制」で実施していること 実践期にやっていること(1) • CSPMによるクラウドセキュリティカイゼン(AWS) • Security Hub(CIS, AFSB) •
全環境に対して実施(Prod/Dev/Stg、Sandbox) • レポーティング(月1回)+週一チェックでCRITICAL/HIGHを確認 • 自主的なカイゼンフェーズ • CRITICAL / HIGH = ほぼ0 / 道半ば • IAMユーザのクレデンシャルレポート • ユーザ棚卸し • クレデンシャルローテーション CCoE発足前(〜2022.09) CCoE立上期(2022.09〜2023.03) CCoE実践期(2023.04〜)
4. クラウド「統制」で実施していること 実践期にやっていること(2) • セキュリティプリセットクラウド環境(Google, AWS) • 遵守すべきことは確実に守らせ、開発注力 • 主なセキュリティ設定
• root管理 • MFA強制、パスワードポリシー • 予防的ガードレール(SCP) • 発見的ガードレール(CSPM) • 脅威検知 • 監査ログ保管(SIEM) • など CCoE発足前(〜2022.09) CCoE立上期(2022.09〜2023.03) CCoE実践期(2023.04〜) 素のクラウドアカウント クラウドセキュリティ (SCP, ベストプラクティス等) ガイドラインに基づく セキュリティ設定 アプリ アプリ アプリ KINTO Technologies Tech Blog: CCoE活動とGoogle Cloudセキュリティプリセット環境の提供 https://blog.kinto-technologies.com/posts/2023-06-22-whats-ccoe-and-security-preset-gcp/
5. クラウド「統制」の今後 グループポリシー準拠のためのAs-Is
5. クラウド「統制」の今後 グループポリシー準拠のための将来像 グループポリシーに従ったセキュリティ 状況をチェック・可視化するダッシュ ボード ガイドラインに基づく、トレーニングパス +セルフスタディコンテンツの提供 セキュリティプリセットされたクラウド アカウントの提供
6. まとめ • KINTOテクノロジーズのCCoEチームの主ミッションは、 クラウドの「活用」と「統制」を支援する • クラウドの「統制」は、クラウドセキュリティのカイゼン • グループポリシーに準拠するために、ガイドライン、CSPM、 セキュリティプリセットアカウントを準備・展開
None
None
SiteGround - Reliable hosting with speed, security, and support you can count on.
osakatechlab
htokoyo
personabb
coco_se
hiroakis
muehara
ykiyota
line_developers_tw
iwamot
askokc
hanon52_
cdataj
dynamis
helmedeiros
sonatard
tapps
thirion
bkeepers
mclloyd
greggifford
tomoyanonymous
baasie
swwweet
yeseniaperezcruz
akademiya2063
