おしゃれは足元の開発基盤から - 小さく始めるゼロトラスト101

Transcript

1. Cloud Operator Days Tokyo 2022 株式会社デンソー Yudai Nakai、Susumu Tomita おしゃれは足元の開発基盤から

   - 小さく始めるゼロトラスト101

2. © DENSO CORPORATION All Rights Reserved. / 25 Cloud Operators

   Days Tokyo 2022 2 自己紹介 仲井 雄大 Yudai Nakai 2009年にデンソーへ入社。 2017年にソフトウェアエンジニアへ転向し、 現在はWebサービスのソフトウェア開発と部内の情報端末や 開発環境の整備を担当。 冨田 進 Susumu Tomita デンソーSRE室 Software Engineer 2018年にデンソーへ入社。 現在はWebサービスのソフトウェア開発と部内の情報端末や開発環境の整備を担当。 https://codezine.jp/article/detail/11391

3. © DENSO CORPORATION All Rights Reserved. / 25 Cloud Operators

   Days Tokyo 2022 3 1. Macを取り巻く現実 2. 小さく始めて動くものを作ってしまう 3. チームが成し遂げたこと 4. 学んだこと Agenda

4. © DENSO CORPORATION All Rights Reserved. / 25 Cloud Operators

   Days Tokyo 2022 4 Macを取り巻く現実 1

5. © DENSO CORPORATION All Rights Reserved. / 25 社内の標準はもちろんWindowsであり、Macはまだ少数派、そのため、Macのセキュリティ について情報システム部門に問い合わせても検討事項に入っている状態であり各部署にセ

   キュリティ確保は委ねられている状態 Cloud Operators Days Tokyo 2022 5 Macを取り巻く現実 検討事項には入っています Macを業務で使用したいのでど のようにセキュリティを確保すれ ばいいでしょうか？

6. © DENSO CORPORATION All Rights Reserved. / 25 これまでは車の中で使う組み込みプログラムの作成が主であったが、クラウドサービスを利用し たソフトウエア開発が活発となってきた。

   デジタルイノベーション室ではクラウドサービスを利用したソフトウエア開発を主としているため、 これまでMacを使っていた/使いたいソフトウエアエンジニアが集まっており、自分たちの使う Macを安全にかつ便利に使いたいという要望があった。 Cloud Operators Days Tokyo 2022 6 クラウドサービスを利用したソフトウエア開発の波

7. © DENSO CORPORATION All Rights Reserved. / 25 デジタルイノベーション室の開発基盤は自分たちで構築運用していたが以下の課題があった •

   自分たちで運用しないといけないので大変 • デバイス管理システムがMacについては導入できておらず認証基盤との連携ができていない、接続元IPアド レスで制限をいれている状態 • 認証基盤はアクセス元のIPアドレスで制限をかけているためVPN必須となりVPNの帯域不足で応答遅延 することもあった 具体的に使用していたサービス • 統合認証基盤:KeyCloak • クラウドサービス:AWS,GCP,Azure • ソースコード管理:GitLab • ナレッジ共有:DocBase • コミュニケーションツール:Slack,Miro Cloud Operators Days Tokyo 2022 7 デジタルイノベーション室の開発基盤の構成と課題

8. © DENSO CORPORATION All Rights Reserved. / 25 Cloud Operators

   Days Tokyo 2022 8 小さく始めて動くものを作ってしまう 2

9. © DENSO CORPORATION All Rights Reserved. / 25 これまでの開発基盤でもなんとかやってはいけそうだけど、運用も利便性も向上させたいと有 志チームが立ち上がり毎日30分かけて検討が始まった。

   ただ進めるについて不安があった • 開発基盤の設計・構築に初めて参加するメンバーもありメンバー間の前提知識が揃って いなかった • メンバー全員別の業務もしているため毎日参加できないメンバーもいた • 最終的にどのように情報システム部門にフィードバックをすべきなのか Cloud Operators Days Tokyo 2022 9 見直しチーム結成

10. © DENSO CORPORATION All Rights Reserved. / 25 • いきなり見直しを始めるのではなく経済産業省デジタルプラットフォーム構築事業報告書の読み合わせから

    初めて前提知識の共有 • 見直しの過程や日々の作業ログ、試行錯誤の結果得た知見やノウハウはだれでも見ることができるよう公 開し、活動に参加できなかったチームメンバーのキャッチアップや興味を持った人が情報を得られるように工夫 • 全社の情報システム部といきなり連携するのではなく、まずは自分たちで実際に作ってみて、ノウハウ、知見 を蓄積する。 • 情報システム部門や全社の開発環境を整備している人たちに声をかけてSlackに入ってもらい取り組み内 容を随時共有 Cloud Operators Days Tokyo 2022 10 進め方の工夫

11. © DENSO CORPORATION All Rights Reserved. / 25 1. 現状の開発環境を把握

    2. 各種サービスの調査/比較 3. 制約を外したなりたい姿を全員で描く 4. 現状の予算も鑑みてどこまでまず実装するのか、どの優先順位で実装していくのかを決 める 5. 実際に構築・展開 Cloud Operators Days Tokyo 2022 11 具体的にやったこと

12. © DENSO CORPORATION All Rights Reserved. / 25 現在の開発環境の構成を図に起こし、課題となっていることの洗い出し Cloud

    Operators Days Tokyo 2022 12 現状の開発環境を把握

13. © DENSO CORPORATION All Rights Reserved. / 25 Cloud Operators

    Days Tokyo 2022 13 各種サービスの調査/比較 課題 対応指針 要件 サービス 特徴 Mac が未管理 MDM の導入 • 使用状況が把握できる • 設定の配布、制限ができる Jamf Pro Jamf Connect 利用実績が多いため信頼性が高く、情報も多い MS Intune 同期周期が Jamf Pro より長い EDR の導入 異常を迅速に検知できる CrowdStrike 高機能で出来ることが多い MS Defender for Endpoint 比較的安価 盗難・紛失リスクに 未対応 データを守る 遠隔からデータ削除可能 Jamf Pro 消去処理が簡単 データ復旧が可能 Druva inSync 意識せずにバックアップ作成が可能 VPN の応答遅延 デバイスを信用する MDM と連携した認証が可能 Okta 利用実績が多いため信頼性が高く、情報も多い シャドーIT、不適切な ファイルアップロード 通信の監視・制御 • 通信にルール設定ができる • ルールに非準拠の通信は遮断できる Netskope 高機能で出来ることが多い MS Defender for Cloud Apps 比較的安価 ログが未活用 一元管理 • 複雑な設定なく、ログを一元管理 可能 • ルールマッチで通知する Splunk 高機能で出来ることが多い 多様なサービスと簡単に連携可能 Azure Sentinel 比較的安価 複数クラウドリソース の管理が煩雑 一元管理 • 対応しているクラウドサービスが多い • 一つの画面で管理可能 CloudGuard Dome 9 一般的なクラウドサービスに対応 ※ MS = Microsoft

14. © DENSO CORPORATION All Rights Reserved. / 25 チームメンバー全員で理想の構成を図に描き意見を統一(比較検討が必要なものもこの段階では図に書いた) Cloud

    Operators Days Tokyo 2022 14 制約を外したなりたい姿を全員で描く ※ MS = Microsoft

15. © DENSO CORPORATION All Rights Reserved. / 25 • Jamf

    Pro , Jamf Connectを利用したMacのゼロタッチデプロイ • 空から設定が降ってくるって素敵、これを使って必要な設定やソフトウエアのインストールは自動化したい • IdPのアカウントと同じものがMac上にも作られて誰がどのMacを使っているのか管理しやすそう • 認証基盤にOkta • 各種SaaSへのSSOの設定手順がすごくわかりやすかった • Okta Workflowsを利用した自動化が組みやすそうだった • Jamf Proと連携した認証もできる • Druva inSyncを利用したクラウドバックアップ • Mac盗難時にもどのデータが保存されているのかわかる • ランサムウエア感染時に復旧できる 上記三つのサービスの採用はすぐ決まり、残りは予算と相談して導入していくこととした Cloud Operators Days Tokyo 2022 15 やりたいことをまとめる

16. © DENSO CORPORATION All Rights Reserved. / 25 Cloud Operators

    Days Tokyo 2022 16 どこまでまず実装するのか、どの優先順位で実装していくのかを決める 優先順位 課題 対応指針 要件 サービス 1 Mac が未管理 MDM の導入 • 使用状況が把握できる • 設定の配布、制限ができる Jamf Pro Jamf Connect MS Intune EDR の導入 異常を迅速に検知できる Crowd Strike MS Defender for Endpoint 3 盗難・紛失リスクに 未対応 データを守る 遠隔からデータ削除可能 Jamf Pro データ復旧が可能 Druva inSync 2 VPN の応答遅延 デバイスを信用する MDM と連携した認証が可能 Okta - シャドーIT、不適切な ファイルアップロード 通信の監視・制御 • 通信にルール設定ができる • ルールに非準拠の通信は遮断できる Netskope MS Defender for Cloud Apps - ログが未活用 一元管理 • 複雑な設定なく、ログを一元管理可能 • ルールマッチで通知する Splunk Azure Sentinel - 複数クラウドリソースの 管理が煩雑 一元管理 • 対応しているクラウドサービスが多い • 一つの画面で管理可能 CloudGuard Dome 9 ※ MS = Microsoft

17. © DENSO CORPORATION All Rights Reserved. / 25 実際に構築・展開 Cloud

    Operators Days Tokyo 2022 17 実際に構築・展開 ※ それ以外の端末の場合： IP アドレスがホワイトリストに含まれるかチェック Apple端末の場合： Jamf で管理されているかチェック ※ MS = Microsoft

18. © DENSO CORPORATION All Rights Reserved. / 25 • 契約に一か月程度余裕を見ていたが、契約内容の確認に時間がかかり最終的に契約

    できたのは予算の期限ギリギリだった • EDRと連携した認証・認可をしようとしたがMac用のMicrosoft Defender for EndpointとOktaの連携は未サポートだった • AWSをローカルマシンから操作するために使用していたsaml2awsが多要素認証を有効 にしていると使えないバグに遭遇、代替手段としてブラウザのプラグインを使用する(SAML to AWS STS Keys Conversion)必要があった • ゼロタッチデプロイを使いやすくするために、MacをAppleの直販から購入できないか試み たが調達システムに登録できず断念 Cloud Operators Days Tokyo 2022 18 こんなはずじゃなかった遭遇したトラブルたち

19. © DENSO CORPORATION All Rights Reserved. / 25 Cloud Operators

    Days Tokyo 2022 19 チームが成し遂げたこと 3

20. © DENSO CORPORATION All Rights Reserved. / 25 • SaaSベースの開発基盤が完成・移行も完了

    • 認証基盤もOktaとなり運用作業から解放 • デバイス管理システムとしてJamfを導入しOktaと連携させることでデバイス単位での認証認可ができ るようになり開発基盤へのアクセスにVPNが不要となりインターネット経由でできるようになった • ゼロタッチデプロイができるようになった • Macのキッティング工数劇的に改善(平均1日くらいかかっていたのが1時間程度に改善) • 必須ソフトウエア(EDR,バックアップ,開発ツールやコミュニケーションツール)は空から降ってきて、設定も 自動でされるようになった • Okta Workflowsで運用作業もどんどん自動化 • 長期間利用していないユーザーの棚卸し • 怪しい振る舞いを見つけたら、強制的にログアウト、パスワード変更 Cloud Operators Days Tokyo 2022 20 できあがった開発基盤

21. © DENSO CORPORATION All Rights Reserved. / 25 Cloud Operators

    Days Tokyo 2022 21 続々と届く喜びの声 Word,Excel,PowerPointライセンスどこ にありますか？えっもう入っているの！！ VPNいらないんですか？これでローカルに あるラズパイに接続するときにVPNのオン オフが不要になります！ 降ってきた！降ってきた！ (設定やソフトウエアが自動的にインストー ルされた時に連呼されたワード)

22. © DENSO CORPORATION All Rights Reserved. / 25 今回の取り組みを情報システム部門の人と共有すると実はやりたいと考えていてという発言があった。早速検 討チームを立ち上げましょうノウハウはすべて共有しますと回答し、検討チームが立ち上がることになった

    Cloud Operators Days Tokyo 2022 22 Macの導入についての検討も始まった Macのセキュリティについて検 討したいと思っていたのでやり ましょう Macのセキュリティを確保するために開発 基盤を見直しました こんな感じです

23. © DENSO CORPORATION All Rights Reserved. / 25 Cloud Operators

    Days Tokyo 2022 23 学んだこと 4

24. © DENSO CORPORATION All Rights Reserved. / 25 • 動くものは強い

    • 実際に動くものを作ったことで情報システム部門との連携も始めることができた • まずは小さくスピード感をもって実装してみる • モチベーションがある人でチームを作ることは大切 • 他業務もあるなかで推進していくのは大変 • 将来的に関係しそうな人やマネージャーも巻き込め • 今回は初めから情報システム部門や全社の開発基盤の担当者も情報共有を目 的に巻き込んでしまった。忙しい中でも情報共有のチャネルに巻き込むくらいであれ ば気軽に連携できるのでおススメ • マネージャーも検討時から巻き込むことで、ご説明のための資料作りの省略や予算 取り等々の協力を改めてお願いしなくてもよかった Cloud Operators Days Tokyo 2022 学んだこと 24
25. None