Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
おしゃれは足元の開発基盤から - 小さく始めるゼロトラスト101
Search
susumutomita
July 05, 2022
Technology
550
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
おしゃれは足元の開発基盤から - 小さく始めるゼロトラスト101
susumutomita
July 05, 2022
More Decks by susumutomita
See All by susumutomita
RedefiningValueThroughInternalCrossDepartmentSideProjects.pdf
susumutomita
0
68
DevOpsDaysTokyo2025社内副業で他部門へ_越境_して見えた価値再定義最大1か月のリードタイムを10分に短縮したDevOps実践.pdf
susumutomita
0
250
DevOpsDaysTaipei2024_How_a_Five-Hour-a-Week_Side_Project_Crossed_Silos_and_Saved_IT_service_Operators_.pdf
susumutomita
0
93
HashiTalks.pdf
susumutomita
0
110
DevOpsDaysTokyo2024_週5時間から始めた活動が組織の壁を越え__商用サービスの運用者を救った話.pdf
susumutomita
0
220
製造業にクラウドエンジニアを引き寄せろ!デンソーの採用プロセス改革とその挑戦
susumutomita
0
590
20%ルールから始めた活動が組織の壁を超え、会社のスタンダードを作り、商用サービスの運用者を救った話
susumutomita
0
240
「ログイン画面が開きません」から始まるチーム改革の軌跡
susumutomita
1
520
デンソーデジタルイノベーション室SREチーム物語(スクラムは多能工というけれどやっぱり専門性が求められるよね) / di-sre-story
susumutomita
0
1.1k
Other Decks in Technology
See All in Technology
Kotlin 開発のツラミを爆破した話! / Explode the difficulty of Kotlin dev!
eller86
0
150
小さいから、全部わかる。— 常駐AI "xangi" のすすめ
sugupoko
0
270
オブザーバビリティ、本当に活用できてる? 〜API連携×生成AIで成熟度を自動評価〜
dmmsre
0
1.5k
Docker Desktop不要の時代が来る? WSL標準の「wslc」で Linuxコンテナを動かしてみた.
ueponx
0
770
AI Driven AI Governance
pict3
0
160
プライバシー保護の理論と実践
lycorptech_jp
PRO
1
240
なぜ人は自分のプロジェクトを 「なんちゃってアジャイル」と 自嘲するのか
kozotaira
0
260
Keeping applications secure by evolving OAuth 2.0 and OpenID Connect
ahus1
PRO
1
150
Empower GenAI with Agile - あなたのアジャイルが生成AIのバフになる仕組み
hageyahhoo
0
130
Foxgloveについて 実際にExtensionを開発して公開するまでの話 / About Foxglove: The Story of Developing and Releasing an Extension
ry0_ka
0
180
インフラ寄りSREでも 開発に踏み出せる〜境界を越えてユーザー体験に向き合いたい〜
sansantech
PRO
0
1.8k
CIで使うClaude
iwatatomoya
0
140
Featured
See All Featured
The SEO identity crisis: Don't let AI make you average
varn
0
510
Stewardship and Sustainability of Urban and Community Forests
pwiseman
0
250
Site-Speed That Sticks
csswizardry
13
1.2k
Reality Check: Gamification 10 Years Later
codingconduct
0
2.2k
Principles of Awesome APIs and How to Build Them.
keavy
128
18k
Bash Introduction
62gerente
615
220k
Building Experiences: Design Systems, User Experience, and Full Site Editing
marktimemedia
0
550
Faster Mobile Websites
deanohume
310
32k
Building AI with AI
inesmontani
PRO
1
1.1k
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
techseoconnect
PRO
0
200
The agentic SEO stack - context over prompts
schlessera
0
840
Embracing the Ebb and Flow
colly
88
5.1k
Transcript
Cloud Operator Days Tokyo 2022 株式会社デンソー Yudai Nakai、Susumu Tomita おしゃれは足元の開発基盤から
- 小さく始めるゼロトラスト101
© DENSO CORPORATION All Rights Reserved. / 25 Cloud Operators
Days Tokyo 2022 2 自己紹介 仲井 雄大 Yudai Nakai 2009年にデンソーへ入社。 2017年にソフトウェアエンジニアへ転向し、 現在はWebサービスのソフトウェア開発と部内の情報端末や 開発環境の整備を担当。 冨田 進 Susumu Tomita デンソーSRE室 Software Engineer 2018年にデンソーへ入社。 現在はWebサービスのソフトウェア開発と部内の情報端末や開発環境の整備を担当。 https://codezine.jp/article/detail/11391
© DENSO CORPORATION All Rights Reserved. / 25 Cloud Operators
Days Tokyo 2022 3 1. Macを取り巻く現実 2. 小さく始めて動くものを作ってしまう 3. チームが成し遂げたこと 4. 学んだこと Agenda
© DENSO CORPORATION All Rights Reserved. / 25 Cloud Operators
Days Tokyo 2022 4 Macを取り巻く現実 1
© DENSO CORPORATION All Rights Reserved. / 25 社内の標準はもちろんWindowsであり、Macはまだ少数派、そのため、Macのセキュリティ について情報システム部門に問い合わせても検討事項に入っている状態であり各部署にセ
キュリティ確保は委ねられている状態 Cloud Operators Days Tokyo 2022 5 Macを取り巻く現実 検討事項には入っています Macを業務で使用したいのでど のようにセキュリティを確保すれ ばいいでしょうか?
© DENSO CORPORATION All Rights Reserved. / 25 これまでは車の中で使う組み込みプログラムの作成が主であったが、クラウドサービスを利用し たソフトウエア開発が活発となってきた。
デジタルイノベーション室ではクラウドサービスを利用したソフトウエア開発を主としているため、 これまでMacを使っていた/使いたいソフトウエアエンジニアが集まっており、自分たちの使う Macを安全にかつ便利に使いたいという要望があった。 Cloud Operators Days Tokyo 2022 6 クラウドサービスを利用したソフトウエア開発の波
© DENSO CORPORATION All Rights Reserved. / 25 デジタルイノベーション室の開発基盤は自分たちで構築運用していたが以下の課題があった •
自分たちで運用しないといけないので大変 • デバイス管理システムがMacについては導入できておらず認証基盤との連携ができていない、接続元IPアド レスで制限をいれている状態 • 認証基盤はアクセス元のIPアドレスで制限をかけているためVPN必須となりVPNの帯域不足で応答遅延 することもあった 具体的に使用していたサービス • 統合認証基盤:KeyCloak • クラウドサービス:AWS,GCP,Azure • ソースコード管理:GitLab • ナレッジ共有:DocBase • コミュニケーションツール:Slack,Miro Cloud Operators Days Tokyo 2022 7 デジタルイノベーション室の開発基盤の構成と課題
© DENSO CORPORATION All Rights Reserved. / 25 Cloud Operators
Days Tokyo 2022 8 小さく始めて動くものを作ってしまう 2
© DENSO CORPORATION All Rights Reserved. / 25 これまでの開発基盤でもなんとかやってはいけそうだけど、運用も利便性も向上させたいと有 志チームが立ち上がり毎日30分かけて検討が始まった。
ただ進めるについて不安があった • 開発基盤の設計・構築に初めて参加するメンバーもありメンバー間の前提知識が揃って いなかった • メンバー全員別の業務もしているため毎日参加できないメンバーもいた • 最終的にどのように情報システム部門にフィードバックをすべきなのか Cloud Operators Days Tokyo 2022 9 見直しチーム結成
© DENSO CORPORATION All Rights Reserved. / 25 • いきなり見直しを始めるのではなく経済産業省デジタルプラットフォーム構築事業報告書の読み合わせから
初めて前提知識の共有 • 見直しの過程や日々の作業ログ、試行錯誤の結果得た知見やノウハウはだれでも見ることができるよう公 開し、活動に参加できなかったチームメンバーのキャッチアップや興味を持った人が情報を得られるように工夫 • 全社の情報システム部といきなり連携するのではなく、まずは自分たちで実際に作ってみて、ノウハウ、知見 を蓄積する。 • 情報システム部門や全社の開発環境を整備している人たちに声をかけてSlackに入ってもらい取り組み内 容を随時共有 Cloud Operators Days Tokyo 2022 10 進め方の工夫
© DENSO CORPORATION All Rights Reserved. / 25 1. 現状の開発環境を把握
2. 各種サービスの調査/比較 3. 制約を外したなりたい姿を全員で描く 4. 現状の予算も鑑みてどこまでまず実装するのか、どの優先順位で実装していくのかを決 める 5. 実際に構築・展開 Cloud Operators Days Tokyo 2022 11 具体的にやったこと
© DENSO CORPORATION All Rights Reserved. / 25 現在の開発環境の構成を図に起こし、課題となっていることの洗い出し Cloud
Operators Days Tokyo 2022 12 現状の開発環境を把握
© DENSO CORPORATION All Rights Reserved. / 25 Cloud Operators
Days Tokyo 2022 13 各種サービスの調査/比較 課題 対応指針 要件 サービス 特徴 Mac が未管理 MDM の導入 • 使用状況が把握できる • 設定の配布、制限ができる Jamf Pro Jamf Connect 利用実績が多いため信頼性が高く、情報も多い MS Intune 同期周期が Jamf Pro より長い EDR の導入 異常を迅速に検知できる CrowdStrike 高機能で出来ることが多い MS Defender for Endpoint 比較的安価 盗難・紛失リスクに 未対応 データを守る 遠隔からデータ削除可能 Jamf Pro 消去処理が簡単 データ復旧が可能 Druva inSync 意識せずにバックアップ作成が可能 VPN の応答遅延 デバイスを信用する MDM と連携した認証が可能 Okta 利用実績が多いため信頼性が高く、情報も多い シャドーIT、不適切な ファイルアップロード 通信の監視・制御 • 通信にルール設定ができる • ルールに非準拠の通信は遮断できる Netskope 高機能で出来ることが多い MS Defender for Cloud Apps 比較的安価 ログが未活用 一元管理 • 複雑な設定なく、ログを一元管理 可能 • ルールマッチで通知する Splunk 高機能で出来ることが多い 多様なサービスと簡単に連携可能 Azure Sentinel 比較的安価 複数クラウドリソース の管理が煩雑 一元管理 • 対応しているクラウドサービスが多い • 一つの画面で管理可能 CloudGuard Dome 9 一般的なクラウドサービスに対応 ※ MS = Microsoft
© DENSO CORPORATION All Rights Reserved. / 25 チームメンバー全員で理想の構成を図に描き意見を統一(比較検討が必要なものもこの段階では図に書いた) Cloud
Operators Days Tokyo 2022 14 制約を外したなりたい姿を全員で描く ※ MS = Microsoft
© DENSO CORPORATION All Rights Reserved. / 25 • Jamf
Pro , Jamf Connectを利用したMacのゼロタッチデプロイ • 空から設定が降ってくるって素敵、これを使って必要な設定やソフトウエアのインストールは自動化したい • IdPのアカウントと同じものがMac上にも作られて誰がどのMacを使っているのか管理しやすそう • 認証基盤にOkta • 各種SaaSへのSSOの設定手順がすごくわかりやすかった • Okta Workflowsを利用した自動化が組みやすそうだった • Jamf Proと連携した認証もできる • Druva inSyncを利用したクラウドバックアップ • Mac盗難時にもどのデータが保存されているのかわかる • ランサムウエア感染時に復旧できる 上記三つのサービスの採用はすぐ決まり、残りは予算と相談して導入していくこととした Cloud Operators Days Tokyo 2022 15 やりたいことをまとめる
© DENSO CORPORATION All Rights Reserved. / 25 Cloud Operators
Days Tokyo 2022 16 どこまでまず実装するのか、どの優先順位で実装していくのかを決める 優先順位 課題 対応指針 要件 サービス 1 Mac が未管理 MDM の導入 • 使用状況が把握できる • 設定の配布、制限ができる Jamf Pro Jamf Connect MS Intune EDR の導入 異常を迅速に検知できる Crowd Strike MS Defender for Endpoint 3 盗難・紛失リスクに 未対応 データを守る 遠隔からデータ削除可能 Jamf Pro データ復旧が可能 Druva inSync 2 VPN の応答遅延 デバイスを信用する MDM と連携した認証が可能 Okta - シャドーIT、不適切な ファイルアップロード 通信の監視・制御 • 通信にルール設定ができる • ルールに非準拠の通信は遮断できる Netskope MS Defender for Cloud Apps - ログが未活用 一元管理 • 複雑な設定なく、ログを一元管理可能 • ルールマッチで通知する Splunk Azure Sentinel - 複数クラウドリソースの 管理が煩雑 一元管理 • 対応しているクラウドサービスが多い • 一つの画面で管理可能 CloudGuard Dome 9 ※ MS = Microsoft
© DENSO CORPORATION All Rights Reserved. / 25 実際に構築・展開 Cloud
Operators Days Tokyo 2022 17 実際に構築・展開 ※ それ以外の端末の場合: IP アドレスがホワイトリストに含まれるかチェック Apple端末の場合: Jamf で管理されているかチェック ※ MS = Microsoft
© DENSO CORPORATION All Rights Reserved. / 25 • 契約に一か月程度余裕を見ていたが、契約内容の確認に時間がかかり最終的に契約
できたのは予算の期限ギリギリだった • EDRと連携した認証・認可をしようとしたがMac用のMicrosoft Defender for EndpointとOktaの連携は未サポートだった • AWSをローカルマシンから操作するために使用していたsaml2awsが多要素認証を有効 にしていると使えないバグに遭遇、代替手段としてブラウザのプラグインを使用する(SAML to AWS STS Keys Conversion)必要があった • ゼロタッチデプロイを使いやすくするために、MacをAppleの直販から購入できないか試み たが調達システムに登録できず断念 Cloud Operators Days Tokyo 2022 18 こんなはずじゃなかった遭遇したトラブルたち
© DENSO CORPORATION All Rights Reserved. / 25 Cloud Operators
Days Tokyo 2022 19 チームが成し遂げたこと 3
© DENSO CORPORATION All Rights Reserved. / 25 • SaaSベースの開発基盤が完成・移行も完了
• 認証基盤もOktaとなり運用作業から解放 • デバイス管理システムとしてJamfを導入しOktaと連携させることでデバイス単位での認証認可ができ るようになり開発基盤へのアクセスにVPNが不要となりインターネット経由でできるようになった • ゼロタッチデプロイができるようになった • Macのキッティング工数劇的に改善(平均1日くらいかかっていたのが1時間程度に改善) • 必須ソフトウエア(EDR,バックアップ,開発ツールやコミュニケーションツール)は空から降ってきて、設定も 自動でされるようになった • Okta Workflowsで運用作業もどんどん自動化 • 長期間利用していないユーザーの棚卸し • 怪しい振る舞いを見つけたら、強制的にログアウト、パスワード変更 Cloud Operators Days Tokyo 2022 20 できあがった開発基盤
© DENSO CORPORATION All Rights Reserved. / 25 Cloud Operators
Days Tokyo 2022 21 続々と届く喜びの声 Word,Excel,PowerPointライセンスどこ にありますか?えっもう入っているの!! VPNいらないんですか?これでローカルに あるラズパイに接続するときにVPNのオン オフが不要になります! 降ってきた!降ってきた! (設定やソフトウエアが自動的にインストー ルされた時に連呼されたワード)
© DENSO CORPORATION All Rights Reserved. / 25 今回の取り組みを情報システム部門の人と共有すると実はやりたいと考えていてという発言があった。早速検 討チームを立ち上げましょうノウハウはすべて共有しますと回答し、検討チームが立ち上がることになった
Cloud Operators Days Tokyo 2022 22 Macの導入についての検討も始まった Macのセキュリティについて検 討したいと思っていたのでやり ましょう Macのセキュリティを確保するために開発 基盤を見直しました こんな感じです
© DENSO CORPORATION All Rights Reserved. / 25 Cloud Operators
Days Tokyo 2022 23 学んだこと 4
© DENSO CORPORATION All Rights Reserved. / 25 • 動くものは強い
• 実際に動くものを作ったことで情報システム部門との連携も始めることができた • まずは小さくスピード感をもって実装してみる • モチベーションがある人でチームを作ることは大切 • 他業務もあるなかで推進していくのは大変 • 将来的に関係しそうな人やマネージャーも巻き込め • 今回は初めから情報システム部門や全社の開発基盤の担当者も情報共有を目 的に巻き込んでしまった。忙しい中でも情報共有のチャネルに巻き込むくらいであれ ば気軽に連携できるのでおススメ • マネージャーも検討時から巻き込むことで、ご説明のための資料作りの省略や予算 取り等々の協力を改めてお願いしなくてもよかった Cloud Operators Days Tokyo 2022 学んだこと 24
None