KINTO テクノロジーズのクラウドセキュリティ専門組織の実践知あれこれ

KINTO テクノロジーズのクラウドセキュリティ専門組織の実践知あれこれ 2025.09.25 Tomoaki TADA

Tomoaki TADA / 多田友昭 KINTO テクノロジーズ Cloud Security グループ
GM • 2022 年 7 月 KINTOテクノロジーズ Join CCoE チーム • 2024 年 4 月 Security CoE グループ立上げ • 2025 年 7 月 Cloud Seuciry グループ Career • メーカSE＠東京：情報収集衛星画像処理系システム開発 • セキュリティベンチャー＠大阪：MSP、SIEM開発 • SIer@大阪：認証基盤開発、クラウド、CCoE、AIOps Community • CCoE 実践者コミュニティ関西オーガナイザ

アジェンダ • KINTO テクノロジーズとは • クラウド環境とクラウド関連組織 • Cloud Security グループ取組み
• まとめ

KINTO テクノロジーズとは

トヨタグループ唯一の BtoC・DtoC 領域に特化した内製開発組織です。世界30ヵ国で展開する「KINTO」などの、クルマに乗る「人」に焦点を当てた新しいサービスを開発・運用しています。

KINTO テクノロジーズとはグループ組織

KINTO テクノロジーズとは手掛けたプロダクト

KINTO テクノロジーズとは開発・支援実績

クラウド環境とクラウド関連組織

クラウド環境とクラウド関連組織 KINTO テクノロジーズのクラウド環境多くのプロダクトは AWS 環境に構築。本番環境での稼働はまだまだ少ないが、Microsoft Azure、 Google Cloud の環境もある。Azure
は AOAI、Google Cloud は BQ、Firebase、Vertex AI での利用が多い • プロダクト環境 • prod / dev / stg / sandbox • ECS, Serverlessでの構築 • 最近は、Bedrock 利用増 • 分析、Firebase • prod / dev / stg / sandbox • PoC で Vertex AI 利用プロダクト数 > 100 サブスク数〜 20 project数〜 50 • AOAI 利用のため Azure 選択 • prod / dev / stg / sandbox • PoC フェーズ

クラウド環境とクラウド関連組織クラウド関連組織の役割プロダクト 1 プロダクト 2 プロダクト N クラウドプロバイダー(AWS, Azure,
Google Cloud) クラウドセキュリティ、クラウドアカウント管理クラウドインフラリソース Platform Engineering CI/CD SAST AppLog MSP DBRE / SRE / O11y App App App データ・プライバシー / セキュリティガバナンス / コンプライアンス脆弱性診断 / 脅威分析 Cloud Security Cloud Infrastructure Platform Engineering DBRE / SRE 各プロダクト開発チーム • 組織全体のクラウドセキュリティを統制・推進 • マルチクラウド CNAPP、グループポリシー準拠等 Cyber / Information Security • クラウドエンジニアリング、インフラ環境提供 • マルチクラウド、IaC によるシステム構築・変更 • 開発者向けの環境（インフラ・ツール群）の構築 • DevOps 支援、CI/CD、APM・ログ基盤、MSP • Database Reliability、推進 • 全社 SLO/SLI の策定 • 社内規定・ルール整備、法令対応（PII） • CSIRT、グループ全体のセキュリティガバナンス ※実際の人数を表していません。あくまでイメージです

クラウド環境とクラウド関連組織 Cloud Security グループ変遷 2022. 07 2022. 09 2024. 04
2025. 07 Osaka Tech Lab join Platform G 所属 ( セキュリティ ) CCoE チーム立上げクラウド「統制」を軸に活動 2023. 04 メンバ加入クラウドセキュリティ専門組織として、 SCoE 立上げ。全社セキュリティ部門と同部署に Cloud Security Gに名称変更 Cloud Security グループはトップダウンで組成したグループではなく、クラウドセキュリティの課題解決のためボトムアップで提案し、組成したグループ。現在は、全社セキュリティ組織と同部署内で活動することで、クラウドセキュリティを全社的な取組として進めている

クラウド環境とクラウド関連組織セキュリティ方針・考え方ビジネスのためのセキュリティであり、ビジネスを阻害するセキュリティは NG • グループ会社のグループポリシーに準拠 •
我々のビジネスや資産、企業文化や組織体制、システム構成などを勘案し、最適なセキュリティ施策・運用を行う • 何を守るのか、どこに注力するのか、優先順位と濃淡をつける

クラウド環境とクラウド関連組織 CCoE 立上げ時に掲げたミッションプラットG セキュリティT 経営・管理部門経営層 CIO室セキュリティプリセットクラウド環境
アプリアプリアプリ開発G ガードレールレポートクラウド活用ガイドライン社内規定類 GISS 対応方針① 対応方針② 対応方針③ ベース文書提供連携・協力提供提供・監査・是正開発モニタリング・是正開発Gは適切なポリシーで統制されたクラウドを自由に使うことができる。CCoE が常にセキュリティ状態を監査し問題があれば是正する。活用統制推進T KINTO開発グローバル分析・・・提供 CCoE CCoE推進

クラウド環境とクラウド関連組織 Cloud Security グループミッション統制防御検知対応復旧 Mission
1 セキュリティリスクを発生させない Mission 2 セキュリティリスクを常に監視・分析する Mission 3 セキュリティリスクが発生した時に速やかに対応する Gen AI 活用 • 発見的ガードレール（CSPM, AI-SPM ） • 脅威検知 • ログ分析, SOC • クラウドセキュリティガイドライン • セキュリティプリセット環境提供 • 予防的ガードレール • IAM 最小権限 • CSIRT • ログ分析 • ガードレールカイゼンドキュメント Cloud Security グループ取組み

Cloud Security グループ取組み

Cloud Security グループ取組み発見的ガードレール ( CSPM ) CSPM チェック
CSPM アラートのカイゼン作業クラウドセキュリティG CSPMカイゼン Doc カイゼンドキュメント参照レポート提供＋アラート連絡・カイゼン依頼 CSPMレポート作成 (作成スクリプト) Center for Internet Security やクラウドプロバイダーのセキュリティベストプラクティスを基準に、リスクのあるクラウドリソースの構成や設定を検知し定期的にレポートプロダクト側ユーザ（セキュリティチャンピオン） CSPM カイゼン Doc作成・提供 ※Google Cloud の例を記載。AWS であれば Security Hub。Azure でればDefender for Cloudを利用して構成チェック MS Defender for cloud 明確に“セキュリティチャンピオン”ではないが、カイゼンしてくれそうな人をアサイン AWS Security Hub プロバイダーによって異なるCSPM 製品を運用

Cloud Security グループ取組み発見的ガードレール ( CSPM ) レポート提供とアラートカイゼンの依頼は、Slack、Confluence 、
JIRA チケットで連絡全てのユーザが他プロダクトの状況も含めてチェックできるアラート詳細 • 担当者 • アラート名 • Severity • 対象リソース • カイゼン方法（リンク） • 抑制依頼（リンク） • などチケット上でクラウドセキュリティGとプロダクト側でコミュニケーションし、クローズまで行う各プロジェクトのアラート一覧（この辺りの仕組みは、レポートから半自動で作成）

Cloud Security グループ取組み発見的ガードレール ( CSPM ) Cloud Security
グループとして、存在感を如何に示すか！！プロダクト側で積極的にカイゼンを進めてもらうためにあの人（あのグループ）に頼まれたら、「仕方がない」と思わせる • Slack の中の人にならないように対面で知り合い、日頃からコミュニケーション • 社内勉強会に登壇しつづける • 外部コミュニティに登壇しつづける

Cloud Security グループ取組み発見的ガードレール ( AI-SPM ) OWASP Top
10 for LLM Application のリスクに対する対応策を AWS, Azure, Google Cloud のサービスではどのように実装するか。をガイドラインとして策定。勉強会で浸透 https://genai.owasp.org/resource/owasp- top-10-for-llm-applications-2025/ AWS Azure Google Cloud • ユーザからのプロンプトの前文として、システム指示を実装し、モデルの動作を（ペルソナ、ロール、出力形式等）限定する • Amazon Bedrock Guardrailsを利用し、入出力をフィルタリングするAmazon Bedrock ガードレールの仕組み - Amazon Bedrock • LLMへのアクセスは最小権限の原則とする( AWS IAM ロール) • 高リスクの操作には人間の承認を求めるなど（ Human-in-the-Loop ） • テストに、LLM Injection の項目を追加し実施する（LLM脆弱性診断など） • プロンプトインジェクションのセキュリティ - Amazon Bedrock • AWSセキュリティブログ生成AIワークロードをプロンプトインジェクションから保護する • ユーザからのプロンプトの前文として、システム指示を実装し、モデルの動作（ペルソナ、ロール、出力形式等）を限定するAzure OpenAI を使用したシステムメッセージを設計する - Azure OpenAI Service • Azure AI Content Safetyを利用し、入出力をフィルタリングするAzure AI Foundry ポータルの Content Safety の概要 - Azure AI Foundry • LLMへのアクセスは最小権限の原則とする( Entra ID ) • 高リスクの操作には人間の承認を求めるなど。（ Human-in-the-Loop ） • テストに、LLM Injection の項目を追加し実施する（LLM脆弱性診断など） • GPTのプロンプトエンジニアリングの手法についてはこちらを参照するAzure OpenAI Service - Azure OpenAI • ユーザからのプロンプトの前文として、システム指示を実装し、モデルの動作（ペルソナ、ロール、出力形式等）を限定するシステム指示を使用する | Generative AI on Vertex AI | Google Cloud • safety filtersを利用し、入出力をフィルタリングするSafety and content filters | Generative AI on Vertex AI | Google Cloud • LLMへのアクセスは最小権限の原則とする( Google Cloud IAM ) • 高リスクの操作には人間の承認を求めるなど（ Human-in-the-Loop ） • テストに、LLM Injection の項目を追加し実施する（LLM脆弱性診断など） • プロンプトエンジニアリングやプロンプト戦略については、こちらが参考になるプロンプトの概要 | Generative AI on Vertex AI | Google Cloud プロンプト戦略の概要 | Generative AI on Vertex AI | Google Cloud 各クラウドサービスの対応策を整理・ガイドライン化「01 : Prompt Injection」 ※ガイドラインの内容を抜粋（社内勉強会に利用）

Cloud Security グループ取組み発見的ガードレール ( AI-SPM ) ガイドラインの対応策をクラウドサービスに設定しているかどうかを、チェックする
コントロールを作成し運用中（AWSから） Regoでコントロールを作成 Amazon Bedrock Guardrail の Prompt Injection が有効化されているかどうかをチェック Sysdig コンソール Sysdig は CSPM のコントロールを Rego で記述できる。製品で提供されないコントロールは、自分たちで開発し、チェックしている

Cloud Security グループ取組み IAM 最小権限 ( AWS CI /
CD アクセスキーの廃止 ) CI / CD 用の IAM ユーザを作成・アクセスキーを利用して、GitHub Actions で CD しているアクセスキーの廃止と OIDC への移行を全社に展開し実施中移行が進まないプロダクトについては、グループポリシーのアセスメントタイミングで、移行実施を支援することも

Cloud Security グループ取組み IAM 最小権限 ( PIM / PAM
) Google Cloud, Azureについては、広めの権限を与えて、プロダクト側（セキュリティチャンピオン）で適切に管理してもらう運用としている。とはいえ、高権限のものについては、PIM / PAM 設定 Privileged Identity Management • Contributor • Role Based Access Control Administrator • User Access Administrator Privileged Access Manager • Project IAM 管理者プロダクト側の生産性を落とさないために、リクエストに基づく承認は、必ずしもCloud Security グループで実施していない。Cloud Security グループでは、監査ログの保存・確認や脅威検知によるアクティビティチェックを行うサブスクリプション・プロジェクトの払い出し時に、PIM / PAM を事前設定権限が付与されたユーザがどのようなアクティビティを実施するかは、脅威検知でリアル確認。例、Google Cloud で Owner 付与したらプロダクト側に確認など

Cloud Security グループ取組み脅威検知マルチクラウド環境の脅威をリアルタイムで検知し、アクティビティを分析し問題があれば ( ベストエフォートで実施 )、プロダクト側に通知
Amazon GuardDuty MS Defender for cloud * クラウドネイティブ環境向けのOSSのランタイムセキュリティツール Sysdig はランタイムセキュリティに Falco を利用している。製品で提供されないルールは、自分たちで開発し、チェックしている ( CSPM → Rego、Runtime Security → Falco )

Cloud Security グループ取組み脅威検知 Google Cloud の脅威検知の一例ユーザが Service
Account Key を作成したことをリアル検知、Slack に通知分析クラウドセキュリティG 対応？サービスアカウントキーの作成 • ユーザがダウンロード • 有効期限はないプロダクト側ユーザ（セキュリティチャンピオン）検知連絡確認 Yes 対応ユーザ側での適切な管理が必要不正アクセス／情報漏えいリソースへの攻撃（サービス停止）経済的損失など Workload Identity 連携使えますか？サービスアカウントキーを発行せずにアクセス権付与。AWS, Azure, GitHubなどのOIDCサポートで利用可能

Cloud Security グループ取組み脅威検知 Service Account Key は多くのグループで課題になることが多い。そもそも、キーを極力発行してもらわないように
プロダクト側からヨコテンしてもらうプロダクト側ユーザ（セキュリティチャンピオン）・・・・クラウドセキュリティG ・・・ Workload Identity の利用促進、勉強会実施、個別フォローなど • プロダクト側ユーザに、勉強会で Workload Identity の必要性を説明してもらう • Workload Identity の利用を先行するプロダクト側から、設定方法をヨコテン

Cloud Security グループ取組み Gen AI の活用「AI ファースト」の元、全社的な生成 AI
の開発支援ツールの利用が活況 Cloud Security グループにおいても、いくつかの支援ツールを利用中 • ツール開発支援 • PRレビュー • GuardDuty Findings 分析 • Cloud Trail 分析 • ツール開発支援 • ガイドライン生成 ( CSPM カイゼン） • ガイドライン生成 • Azure 監査ログ分析 GitHub Copilot Amazon Q Developer pro M365 Copilot, Copilot in Azure

Cloud Security グループ取組み Tech Blog Azure サブスクリプションの初期セキュリティベストプラクティスを考える
CCoE 活動と Google Cloud セキュリティプリセット環境の提供 KTC クラウドセキュリティエンジニアのとある一日 LLM アプリケーションのセキュリティを保護する AI- SPM の取組み

まとめ

まとめ本日のまとめ ⚫ KINTO テクノロジーズのクラウドセキュリティ専門組織の取組みについて説明しました ⚫組織体制、プロダクト、セキュリティの考え方などを考慮したクラウドセキュリティの取組みを実施しています ⚫ まだまだ、取組むべきことはたくさんある。チーム体制が整いつつあり、
今後は取組みの量と質を増やしていく

KINTO テクノロジーズのクラウドセキュリティ専門組織の実践知あれこれ

KINTO テクノロジーズのクラウドセキュリティ専門組織の実践知あれこれ

KINTOテクノロジーズ Osaka Tech Lab

More Decks by KINTOテクノロジーズ Osaka Tech Lab

Featured

Transcript