Upgrade to Pro — share decks privately, control downloads, hide ads and more …

コーポレートも管掌するCTOを経験した事で見えてきた課題 / 組織の信頼性を高める 〜SRE/...

shinofara
November 12, 2024
360

コーポレートも管掌するCTOを経験した事で見えてきた課題 / 組織の信頼性を高める 〜SRE/情シス/セキュリティの領域を超えて〜

shinofara

November 12, 2024
Tweet

Transcript

  1. - 1 - CONFIDENTIAL © Legalscape, Inc. コーポレートも管掌するCTOを経験した事で⾒ えてきた課題 組織の信頼性を⾼める

    〜SRE/情シス/セキュリティの領域を超えて〜 2024.11.12 篠原 祐貴 (Yuki Shinohara) VPoE & Corporate Engineer, Legalscape, Inc. @shinofara
  2. - 2 - CONFIDENTIAL © Legalscape, Inc. Agenda 登壇者について、Legalscapeについて そもそも「信頼性」とはなんだっけ

    「信頼性」を組織事として考えるきっかけ 従来の組織構造と「信頼性」ってどんな関係? 今後は「信頼性」を組織事化する事が⼤事 00 01 02 03 04
  3. - 3 - CONFIDENTIAL © Legalscape, Inc. ◎ 株式会社Legalscape ◎

    リーガルスケープ × LegalScape × リーガルスペース × リーガルスコープ × リーガルフォース はじめまして、リーガルスケープです
  4. - 5 - CONFIDENTIAL © Legalscape, Inc. 篠原 祐貴 (Yuki

    Shinohara) VPoE & Corporate Engineer Legalscape, Inc. @shinofara • 2024年3月Corporate EngineerとしてJoin、6月からVPoEも兼務 • ex-Spir CTO, ex-マネーフォワードケッサイ CTO • 趣味はクラフトビール・日本酒・ワイン・ボルダリング・ダイビングなど • 最近は、Cursor + GASが主戦場(おや...... 登壇者紹介
  5. - 8 - CONFIDENTIAL © Legalscape, Inc. 「信頼性」とは 「信頼性」ってSREやセキュリティ⽂脈で登場するけど? ⼤前提となる「信頼性」という⾔葉は、「アイテムが与えられた条件で規定の期間中、要求された機能を果たすこと

    ができる性質」とIPA等では書かれています。SREやセキュリティそれぞれの⽂脈では、フォーカスを当てている 「要求」が異なる。 SREの⽂脈 システムやサービスが「期待通りに動作し続けること」 ユーザーが期待する⾼い品質の体験を保証するために、サービ スの安定性と可⽤性を重視します。 セキュリティの⽂脈 システムやデータが「意図しない状態に陥らないように保護さ れていること」 バグ、オペレーションミス、悪意ある攻撃などにより、システムがユー ザーや組織が意図しない形で影響を受けることを防ぐために、システム の防御力を重視します。 安全性: 不正アクセスや攻撃からシステムやデータを守ること。 機密性: データが正しいユーザーだけにアクセスされるように制御する こと。 完全性: データが改ざんされないこと。 可用性: サービスがダウンせず、ユーザーがいつでも利用できること。 パフォーマンス: 高い応答速度で安定してサービスを提供すること。 安定性: バグや障害に対して復旧し、正常に運用され続けること
  6. - 10 - CONFIDENTIAL © Legalscape, Inc. 「信頼性」に関わるアクションたち 1年⽬は親会社の助けも多く、悩みは少なかった 1年⽬は、事業⽴ち上げで、PMFを⽬指して、開発して顧客FBをもらって〜に集中できていました。

    • 上場前後に立ち上げた子会社は4名という規模。まだプロダクトは0な状 態で、PMF目指して仮説検証と採用に力を注ぐ • セキュリティという視点は親CISOに壁打ち仕放題 • 業務用端末周りは、まだ助けをもらえてた
  7. - 11 - CONFIDENTIAL © Legalscape, Inc. 「信頼性」に関わるアクションたち 2年⽬以降いきなりリスク対応系が増加 いいことですが、事業が成⻑すると。上場企業グループとして、求められる事が急激に増えました。

    多分まだまだあるのですが、 • 会計監査対応、それに合わせて内部統制、RCM(Risc Controll Management) ◦ 監査の前に、そもそも規程類の作成から必要だったり • グループの予算適正化の動きで、子会社は子会社で様々な物を調達 ◦ その一環でMac / Windowsを購入・管理が必要に • グループ出向扱いで、従業員入社情報マスタは本社、子会社で利用する SaaSは子会社契約という状態になり、権限が無くいい感じにID連携できず • コロナによってリモートワークの整備が早急に必要に
  8. - 12 - CONFIDENTIAL © Legalscape, Inc. 「信頼性」に関わるアクションたち SRE /

    Corporateと経験してきた事と、両⽅⾒ているからこそ、対応 できた事 • Rego(Policy as Code)を活用して、監査のエビデンス対応のありかたを DX • JAMF / Intuneの導入、親会社と同じキッティング業者と連携して、当時 としてはモダンな端末オペレーション実現 • 親会社のADと子会社のADとの間でSAML連携構築。 • 当時はgoogle beyondcorp enterpriseを導入して、会社端末からのアクセ ス以外禁止とするなど、ゼロトラストモデルを導入していった
  9. - 13 - CONFIDENTIAL © Legalscape, Inc. 「信頼性」に関わるアクションたち SRE /

    Corporateを俯瞰した事での気付き • 多くの監査は、目的や実現したい事は明確だが、解決方法は実はDXしてい く事ができる。ただそのことに双方気づいていないだけという事もある • GCP, Google Workspace, Azure, Cloudflareなど、プロダクト・コーポ レートで同じ物を使う事が多いが、責任範囲を明確にして、運用の仕組み 構築などを一気通貫でやり切れるのは、近くにいるからできる事だと感じ た(当時自分ひとり) • セキュリティなどは、セキュリティ・SRE・情シスだけで決めれる物では なく、オーナは明確にしながらも会社事かする必要がある。会社としての 時間軸と目的地を明確にすることで、それぞれの業務領域での優先順位や 足並みを合わせていく事ができると感じた(当時一人)
  10. - 15 - CONFIDENTIAL © Legalscape, Inc. 過去の経験してきた「信頼性に関わる体制」 「信頼性」はどのような体制で向き合う事が多いのか 更に、CxOの管掌範囲まで書き出すと、ざっくりCIO,

    CISO, CTOという構造。CISO兼CTOなどのパターンも存在。 CISOが不在の場合は、CIOかCTOが担当している事が多いかと SRE セキュリティ 情シス コーポレート領域 プロダクト領域 CIO CTO CISO
  11. - 16 - CONFIDENTIAL © Legalscape, Inc. 過去の経験してきた「信頼性に関わる体制」 SRE‧セキュリティの「信頼性」はどのような体制がとられていたか 信頼性、そして組織のリスクに対して、ざっくり以下の役割で担当していることが多いのではないでしょうか。

    以下はそれぞれのRoleが向き合う課題の⼀例ですが、単⼀Roleだけでは取り組めない課題が実は多いのでは SRE セキュリティ 情シス IDaaSやMDMなどを利用して、増加するリ スクや運用コストを減少させる セキュリティに向き合い、仕組み化、文化構 築、教育等々に向き合う 運用の様々な業務の自動化・仕組み化を進めて、 問題発生時に影響を限りなく減らす DevSecOps化などシフトレフトの動き ゼロトラストの考え方を取り入れた、仕組みや体制づくり 秘密情報などの取り扱いに関する規定を定めて、規定通り運用する事、そして証明できる状態とするなど セキュリティに関するインシデントの検知〜解決、そして事後対応など ISO27001, ISO27017, SOC2, Pマークなどを含む、セキュリティ・監査に係る取り組み
  12. - 17 - CONFIDENTIAL © Legalscape, Inc. 「信頼性」に関わるアクションたち 実は、情シス‧セキュリティ‧SREは依存し合う事が多い 情シス‧セキュリティ‧SREそれぞれが、実は⾃分たちだけでは完結する事が無く、協⼒しあう事が必要となる課題

    も多く存在している。しかし⽇常的にコミュニケーションが取れない構造になっている事で、「実はこういう事やろ うと思ってたんだけど助けて」みたいな割り込みとして検知して、リアクティブ的に向き合うことも少なくない SRE セキュリティ 情シス 結局今問題起きてるのか、大丈夫なのか分から ないので、SLO可視化するぞ 会社の情報管理規程作るぞ 来Qから人員増加ペース増えるか ら、MDMを入れるぞ
  13. - 18 - CONFIDENTIAL © Legalscape, Inc. 「信頼性」に関わるアクションたち 実は、情シス‧セキュリティ‧SREは依存し合う事が多い 情シス‧セキュリティ‧SREそれぞれが、実は⾃分たちだけでは完結する事が無く、協⼒しあう事が必要となる課題

    も多く存在している。しかし⽇常的にコミュニケーションが取れない構造になっている事で、「実はこういう事やろ うと思ってたんだけど助けて」みたいな割り込みとして検知して、リアクティブ的に向き合うことも少なくない SRE セキュリティ 情シス 結局今問題起きてるのか、大丈夫なのか分から ないので、SLO可視化するぞ 会社の情報管理規程作るぞ 来Qから人員増加ペース増えるか ら、MDMを入れるぞ プロダクトのパスワードとか、顧客 情報のリスク対策したいな プロダクトでは顧客情報削除してるけど、コー ポレート側では保持してないよね? ブラックホール化してるGoogle Driveな んとか...
  14. - 19 - CONFIDENTIAL © Legalscape, Inc. 「信頼性」に関わるアクションたち 実は、情シス‧セキュリティ‧SREは依存し合う事が多い 情シス‧セキュリティ‧SREそれぞれが、実は⾃分たちだけでは完結する事が無く、協⼒しあう事が必要となる課題

    も多く存在している。しかし⽇常的にコミュニケーションが取れない構造になっている事で、「実はこういう事やろ うと思ってたんだけど助けて」みたいな割り込みとして検知して、リアクティブ的に向き合うことも少なくない SRE セキュリティ 情シス 結局今問題起きてるのか、大丈夫なのか分から ないので、SLO可視化するぞ 会社の情報管理規程作るぞ 来Qから人員増加ペース増えるか ら、MDMを入れるぞ プロダクトのパスワードとか、顧客 情報のリスク対策したいな プロダクトでは顧客情報削除してるけど、コー ポレート側では保持してないよね? SaaS導入するならSAML/SSO必須な ので、確認させて SaaS導入するならコンテンツの所有兼とか、 データセンターが何処にあるかとか確認したい SaaS導入するとしたら...... ブラックホール化してるGoogle Driveな んとか...
  15. - 20 - CONFIDENTIAL © Legalscape, Inc. 「信頼性」に関わるアクションたち 実は、情シス‧セキュリティ‧SREは依存し合う事が多い 情シス‧セキュリティ‧SREそれぞれが、実は⾃分たちだけでは完結する事が無く、協⼒しあう事が必要となる課題

    も多く存在している。しかし⽇常的にコミュニケーションが取れない構造になっている事で、「実はこういう事やろ うと思ってたんだけど助けて」みたいな割り込みとして検知して、リアクティブ的に向き合うことも少なくない SRE セキュリティ 情シス 結局今問題起きてるのか、大丈夫なのか分から ないので、SLO可視化するぞ 会社の情報管理規程作るぞ 来Qから人員増加ペース増えるか ら、MDMを入れるぞ ブラックホール化してるGoogle Driveな んとか... プロダクトのパスワードとか、顧客 情報のリスク対策したいな プロダクトでは顧客情報削除してるけど、コー ポレート側では保持してないよね? SaaS導入するならSAML/SSO必須な ので、確認させて SaaS導入するならコンテンツの所有兼とか、 データセンターが何処にあるかとか確認したい SaaS導入するとしたら...... CRMやAirbyte、その他SaaSにプロダク トデータを連携したいだって?!(プロ ダクトorSREに聞いて..) BQとスプレッドシートをコネクトしたいだっ て?!(権限は情シスにきいて) 従業員が顧客情報にふれる際は監査ログある だって?(情シス・SREに聞いて....)
  16. - 21 - CONFIDENTIAL © Legalscape, Inc. 「信頼性」に関わるアクションたち 実は、情シス‧セキュリティ‧SREは依存し合う事が多い 情シス‧セキュリティ‧SREそれぞれが、実は⾃分たちだけでは完結する事が無く、協⼒しあう事が必要となる課題

    も多く存在している。しかし⽇常的にコミュニケーションが取れない構造になっている事で、「実はこういう事やろ うと思ってたんだけど助けて」みたいな割り込みとして検知して、リアクティブ的に向き合うことも少なくない SRE セキュリティ 情シス 結局今問題起きてるのか、大丈夫なのか分から ないので、SLO可視化するぞ 会社の情報管理規程作るぞ 来Qから人員増加ペース増えるか ら、MDMを入れるぞ ブラックホール化してるGoogle Driveな んとか... プロダクトのパスワードとか、顧客 情報のリスク対策したいな プロダクトでは顧客情報削除してるけど、コー ポレート側では保持してないよね? SaaS導入するならSAML/SSO必須な ので、確認させて SaaS導入するならコンテンツの所有兼とか、 データセンターが何処にあるかとか確認したい SaaS導入するとしたら...... CRMやAirbyte、その他SaaSにプロダク トデータを連携したいだって?!(プロ ダクトorSREに聞いて..) BQとスプレッドシートをコネクトしたいだっ て?!(権限は情シスにきいて) 従業員が顧客情報にふれる際は監査ログある だって?(情シス・SREに聞いて....) 100%依存をなくす事はできないし、割り込みをなくすことはできないと思うけど、お 互いに今何処を⽬指しているかとか、どういう状態にしたいかを共有できていない と、「うーん」「うーん」と⾟い状態になる
  17. - 24 - CONFIDENTIAL © Legalscape, Inc. 現時点のLegalscapeでは、篠原一人のチームが複数....として動いているが、こ の構造を拡張していくことも一つの方法と考えています。Legalscapeはまだ全 体で30-40名の規模。今「信頼性」に向き合っている状態

    これからは組織として「信頼性」に向き合う Full Stack チーム セキュリティ(Enabling and Platform) コーポレー トエンジニ アリング (≒情シ ス) Full Stack チーム Full Stack チーム 現時点では一人という事もあり、コーポレートエン ジニアリングと、組織のセキュリティ
  18. - 25 - CONFIDENTIAL © Legalscape, Inc. 現時点のLegalscapeでは、篠原一人のチームが複数....として動いているが、こ の構造を拡張していくことも一つの方法と考えています。 こういうイメージの世界(形は全然違う可能性が高い)

    これからは組織として「信頼性」に向き合う Full Stack チーム セキュリティ(Enabling and Platform) コーポレートエンジニアリング(≒情シス) Full Stack チーム Full Stack チーム SRE/セキュリティ/コーポレートで、目指したい組織の状態を共 有 SRE(Enabling and Platform) ビジネス等 SRE / Securityは可能な限り仕組みを整え、Full Stackチームの DevOpsサイクルや仕組みに溶け込ませ、それぞれの目的を満た せる状態に(Shift left) Security / Corporateは、従業員が業務を行う際に、不安や不満 を感じる事なく、安全に活動を行える仕組みの構築、そして文化 やガードレールなど SRE/Security/Corporateはプロダクト・組織がリスクに向き 合っていくなかで必要となる要素。単独で目標を描くのではな く、プロダクト・組織と対話をしながら、それぞれのあるべき状 態を描き、そして相互に協力し合いながら、一緒にリスクに向き 合う状態を作る事が重要
  19. - 26 - CONFIDENTIAL © Legalscape, Inc. 結論 • 全てを同じ人(例えばCTO)に集約させる事は、それはそれでセキュリ

    ティへの投資などが、他の予算の影響を受けやすくなる可能性があるた め、責任は明確にしておくほうが好ましい • 一方で、組織としてのあるべき(目指すべき)状態を描く際には、プロダ クトとコーポレートそれぞれで描く前に、まずは組織としての信頼性はど ういう状態にしたいかなど、ベクトルを合わせていくことは重要だと考え ています。 • 組織の構造は、会社のフェーズや、規模などの影響も受けるので、今回は 割愛します。