SASEから広がる理想的なエンジニア環境今Nextフェーズが始まる柿田 一 / パーソルキャリア株式会社2023.05.12 @IT NETWORK Live Week 2023 Summer
View Slide
1■名前 : 柿田 一 (かきた はじめ)■生年月日:1980年6月2日 今年41歳いわゆる松坂世代と呼ばれる年齢です■出身地:神奈川県横浜市■趣味:サッカー、フットサル、スキューバダイビング• 旅行 (東南アジア+リゾート地方面)■その他いろいろ:• シンガポールからの帰国後1年が経過し英語力が• だだ下がり中・・・(業務でも日常生活でも使わない)• 在宅勤務でほとんど座りっぱなしの生活の中、• -7Kgを達成!柿田 一 (Hajime KAKITA)パーソルキャリア株式会社ガバナンス推進本部 データガバナンス部兼 テクノロジー本部 デジタルテクノロジー統括部デジタルソリューション部 COD(Cross Over Director)グループシニアエンジニア2020年6月にパーソルキャリア入社。主に社内のエンジニアのはたらく環境の改善プロジェクトに多く従事をしており、セキュリティ対策ソリューション導入等のエンジニアリング業務から、社内ルール・手続きの改善に至るまで幅広く従事。パーソルキャリア入社前は、メガバンクのグループ内シンクタンクに所属し、約4年半シンガポールに駐在。PMとしてインフラ開発案件全般や組織マネジメントに従事。#ITインフラ#サイバーセキュリティ#データガバナンス#シンガポール自己紹介
2一言で言うと 「エンジニアが働きやすい環境を作る仕事」 をしてます例えば、• エンジニアリング環境構築→従来必要であった外部クラウドサービス利用時における情報セキュリティ担当の承認について、個人情報を取り扱わない事を前提に省略可能とする案件。悪意を持った内部犯行・情報漏洩を防ぎつつ、正当な業務目的で利用するツールの利用はシームレスに許可する様、CASBやEDRを使ったゼロトラストベースの環境を構築。• マルチクラウド環境整備→現状、インターネット経由接続となっている一部クラウドサービスとオンプレミス環境間を専用線で接続し、よりセキュアに利用出来る様にする案件。• データ利活用の推進とガバナンス導入→新規サービスの企画創出時に必要となるコンプライアンス所管部宛の相談について、プロセス・フローの見直しやツールによる省力化/効率化に加えて、攻めのデータ利活用実現を目的としたデータガバナンスの強化策についての検討も推進中。担当業務 本日メインにご紹介する内容
会社概要3パーソルキャリア株式会社東京都千代田区1989年6月1,127百万円人材紹介サービス、求人メディアの運営転職・就職支援、採用・経営支援サービスの提供5,756名(有期社員含む グループ会社出向中の者は除く 2023年3月1日時点)
パーソルグループについて4
techtekt(テックテクト)のご紹介5パーソルキャリアの「エンジニアリング組織」に所属する社員のリアルな「はたらく」にフォーカスしたオウンドメディア techtekt(テックテクト)未来の「はたらく」をテクノロジーで創造する社員、組織、そして文化醸成の過程をつづっていきます。テックテクト
パーソルキャリアでのSASE導入の経緯6
これまでの歩みのご紹介7https://techtarget.itmedia.co.jp/tt/special/tt230403/index.html
エンジニア組織拡大の歴史デジタルテクノロジー統括部立上げ• データとテクノロジーを活用し売上貢献や効率化、既存事業支援や新規事業創出を行う組織(40名規模)の立上げ2017テクノロジー本部組成• 社内のIT関連機能を一つの本部として集約2019BITA担当アサイン• Business IT Architect(ビジネスとITの仲介役)• エンジニア2名にてスタート2012サービス企画組織合流• 新規プロダクトの設計・開発を行う機能をテクノロジー本部へ合流20218外注中心 内製開発強化SASE導入開始*既に300名超100300200エンジニア数
9SASE導入の時点で既にエンジニア組織は300名規模にも関わらず開発用途の環境が存在しなかった組織の急拡大に伴い顕在化した課題歴史的および文化的背景など理由は様々。。。
10社内外部内部ネットワーク外部環境境界型防御ベースエンジニア 営業職スタッフ顧客情報個人情報標準PC標準PC開発用PC(会社貸与)社外からのアクセスとなりアクセス元制限により原則アクセス不可IdP/SSOインターネット基幹システム(クラウド)OA環境申請し承認を得たサービスのみ透過SaaS PaaS/IaaS業務上無関係及び情報漏洩の可能性ありのサービスは利用不可企業認可クラウド*情報セキュリティ部門承認非認可クラウドクラウドストレージWebメール等(オンプレ)リスク判断の為この承認に長時間を要するエンジニアリング用途のPCで必要な開発環境に自由にアクセス出来ない課題課題開発用資源(資産管理、テスト実行環境)ソースコード設計書 等専用線アクセス元制限アクセス元制限元々の構成プロキシ専用線
11パーソルキャリアでSASEを導入した背景• エンジニアが効率的に生産性高く開発が出来る環境の用意が急務だった• 一部除き殆どの開発資産はクラウド上• 今からネットワークも含めてフルスタックで開発用の環境を一式揃えるのは実態にも時代にも即していない。元の課題一方で
12SASE導入検討時に注意したポイント我々はITベンダーではなく人材紹介を主とする事業会社のIT部門最新の製品やソリューションを利用・検証することが主務ではないテクノロジー面でそれを支える為に何が課題になっているか改めて整理以下の2点の解消を目的として設定これに資する機能を導入することを決定①外部クラウドサービスの利用申請時の障壁②1による開発効率/柔軟性の低下
13SASE導入自体は順調に進んだがと言いながらも・・・
14蓋を開けてみたら・・・実は蓋を開けたら、SASEと呼ばれる製品の多くを採用していた・・・*SASE導入自体を目的に進めた訳ではないのですが
パーソルキャリアの現在地 (2022/4月時点:エンジニアリング環境導入直後)15デバイス保護• EDRによるデバイスセキュティーは実装済でMDM/MAMも検討中脱VPN• SDPの導入を検討中も一旦スキップ社内網刷新• クラウド間の専用線接続準備中SaaS利用の監視/分析• CASB導入によりSaaS利用の可視化と不正な情報持出しを制御社内アプリの監視/分析• SIEM/SOAR導入し、シナリオに基づく自動検出を実装済Step1 ID基盤整備• IdPを導入し、一元的なアカウント管理とSSOを実装Step2Step3Step5Step6スキップStep4着手済一般的なSASE導入ステップに照らした状況引用:日経xTECHウェブサイト(https://xtech.nikkei.com/atcl/nxt/column/18/01311/052200004/)
16社内/認可領域外部内部ネットワークエンジニアリング環境個人利用デバイス・サービス境界型防御ベースエンジニア*本番環境保守及び本番データの取扱時フロント職スタッフCASB+EDR等VPN/FW(ACL)等標準PC標準PCエンジニア個人利用PCリバプロ/SSOでアクセス不可IdP/SSOインターネット《新設》CASB/EDRにより不正な情報持出を監視/制御OA環境顧客情報個人情報開発用資源(資産管理、テスト実行環境)ソースコード設計書 等基幹システム(クラウド)専用線(オンプレ)専用線VPN等SaaS PaaS/IaaS企業認可クラウド*事業部側のマネージャ承認*暫定利用エンジニアリングPC(会社貸与)情報漏洩リスクのあるクラウドクラウドストレージWebメール等ゼロトラストによる不正アクセス/情報漏洩防止SaaS個人利用クラウド*個人アカウントによるログインの抑止等CASBにより個人利用と思われるサービスの利用を抑止従来の申請に代わり利用報告にて利用可IdPリバースプロキシアクセス元制限 アクセス元制限対応後の全体像
SASE導入後のエンジニアリング業務17
エンジニアの課題は全て解消?18導入開始から早2年が経過エンジニアは不自由なく開発出来ているか?SASEの導入状況だけで見ると、一見イケてる様だけれども、、、
エンジニアの課題は全て解消?19全然まだまだです具体的にどんな課題が残ったかというと・・・
20ホールディングスとの共通インフラ利用と運用依存エンジニアリング環境構築後の残課題共通インフラデータ本番アクセス基幹システムの維持保守に従事するエンジニアへの手立てデータドリブンでのサービス企画/開発時における障壁ホールディングスが管理・提供するネットワーク等共通インフラの利用時にどうしてもお伺い(依頼)と待ちが発生顧客情報等を含む本番システムは以前からの環境内に残っておりそれらの維持保守に従事するメンバーのクラウド利用プロセスが改善出来ていない本番データの利用は本番ネットワーク上のみで許可されており、データ x 外部ツールでの利用時に課題有り
21開発プラットフォーム(サーバ・ツール・外部サービス)取扱データソースコード/資源管理ルール・ガバナンス開発プラットフォーム・環境関連法令社内ルール新規プロダクト開発パーソルホールディングス・パーソルキャリア標準ルール(コンプラ相談、外部Webサービス利用申請、個人情報取扱申請 他)個人情報保護法、職安法 等エンジニアリング環境(専用キッティング済端末)標準PCエンジニアリング環境(インターネットブレイクアウトでSASE制御)内部本番ネットワークSASE制御 境界防御基幹システム保守限定利用可*VDI等を経由利用可能制約無し*本番環境へはアクセス不可オンプレ環境外部サービスは都度利用承認要外部ソースコード管理サービスダミーデータ 本番データ本番移送・・・エンジニアリング環境構築後の変更点ネットワークエンドポイントアクセス制御G共通アプリ(コミュニケーションツール)ホールディングス管掌範囲技術スタック的に書いてみるとソースコード管理サービス結局俺らは何も変わらずだしネットワークはホールディングス依存あれ?エンジニアリング環境からは結局利用不可?本番と開発の壁
例えるならば22エンジニアリング環境と本番環境の間の壁は高くそびえたまま一方でデータの取扱は開発の根幹に関わる部分例えるならば、一流の調理器具を揃えたのに肝心の食材が入ってこない状態まさに宝の持ち腐れ。。。入荷しません!いつでも使える状態!
その前に23でもデータと言っても現状どうなっているのか?
24✓ 事業ニーズに対する個別最適で同一環境に対する個別追加開発を進めた為、データ構造が複雑化✓ 全体アーキテクチャー設計が無いまま進んだ為、データの流れが見えづらく鮮度もとらえづらい状態現状のデータアーキテクチャー分析環境/サービス業務サブシステム基幹DB層インターネット専用線どんなデータが流れているか都度精査が必要
情報セキュリティの目線で整理すると251 データ源泉としての基幹システムは確り守られているこの状況を情報セキュリティ目線でリスクと判断された2ただしそのデータ活用はクラウドサービスも併用して行われており、それによりデータが散在する3 その内の一部はインターネット経由で利用されている
確かに26リスクマネジメントの視点で多大な時間と労力を要する状況になっていた
それに加えて27実は現場で声が大きかったのが
28現場の要望私が使い慣れたクラウド何で他のクラウドより利用審査に時間が掛かるんですか?そもそも使うクラウドによってチェックの内容や粒度に濃淡があるのって何でだろう?多様性のあるエンジニアの集まり
29【再掲】SASE導入検討時に注意したポイント我々はITベンダーではなく人材紹介を主とする事業会社のIT部門テクノロジー面でそれを支える為に何が課題になっているか改めて整理以下の2点の解消を目的として設定これに資する機能を導入することを決定①外部クラウドサービスの利用申請時の障壁②1による開発効率/柔軟性の低下最初にSASE導入を検討した時点に立ち帰り事業をテクノロジーで支えるエンジニアのパフォーマンスがフルに発揮出来る環境になっているかを再考
30改めて考えてみると確かにクラウドファーストを標榜していながら真の意味でのマルチクラウド環境にはなっていなかったかも
マルチクラウドは複数の課題に共通するのでは?31マルチクラウドネットワークホールディングス依存手続きクラウド毎に濃淡データ利用に制限あり課題課題 課題マルチクラウド環境の整備が諸々の課題の解決につながるはず
32であれば真のマルチクラウド環境を用意しよう。その際にクローズドな環境でデータを取り扱える様にしよう*並行して取扱に関するルールを現状に即して見直そう
パーソルキャリアにおけるマルチクラウド環境導入の取り組み33
34背景クラウドネイティブを標榜しつつも、一部のサービスがインターネット経由の為、専用線を経由しないクラウドの利用時に、リスクチェックに手間も暇も要している目的 目標なぜ我々にマルチクラウド環境が必要かを再整理フラットな真の意味でのマルチクラウド環境の実現・必要なクラウドを自由に選択可能に・ネットワークセキュリティレベルを上げ外部サービス利用時のチェック負荷を軽減しリードタイムも短縮1. 社内ルールや手続き面の負荷に起因する利用サービス選択時のバイアスの排除2. 各クラウド利用時のリスクチェックプロセスの標準化要は使うサービスにより必要な手続きに濃淡があり利用者に加え承認者側でも負担がかかっていたのとそれによりパフォーマンスを発揮出来ないエンジニアの負担解消を主たる狙いとしてプロジェクトを始動
35アーキテクチャ検討一般的なマルチクラウド環境のアーキテクチャとしてはオンプレミス(もしくはプライベートクラウド)を起点として専用線接続を行う構成が通常まずは専用線サービスや相互接続サービスを提供している事業者の調査と比較検討に着手進め方 やったこと
36サービスA(DC事業者)• サービスタイプはデータセンター事業者であるが、同領域ではワールドワイドでNo1の事業者サービスの将来性や外部要因での変化に対する耐性面での安定性を評価• 将来的なオンプレミスデータセンターの完全廃止を見越し一部オンプレ機器が残存した場合にも吸収出来る選択肢を持つ点も評価• コスト面も競合対比同等で対応クラウド数が豊富サービスB(DC事業者兼回線キャリア)サービスC(回線キャリア)専用線サービス選定時の評価ポイント• 国内最大手キャリア• 既に同社が提供する専用線を利用中であれば追加対応のみにてリーズナブルに対応可能も、回線コストそもそもが高い為、今回は見送り• 世界100以上の都市のDCで主要クラウドへの専用線接続を提供するサービス• サービス内容・操作性・価格等サービス面は評価も、回線キャリアであり、サービス提供の為のDCコロケーションを他社に依存する点がネックサービスD(DC事業者兼回線キャリア)• ネットワークプロバイダーとしては最大手の一角• クラウドサービスへの専用線接続では後発• 対応クラウドも他社対比劣後。• 専用線の帯域調整や接続・切断が現時点ではリアルタイムに実施出来ない点が劣後
37本番セグメント開発セグメントオンプレDC本番DBサーバ開発サーバ個社ルータ1G回線適宜チューニング10G回線専用線責任分界点ホールディングス管掌領域サービス事業者DC回線収容ルータ専用線専用線専用線パーソルキャリア管掌領域キャリア回線開発NW本番NWインターネット*今後必要に応じ追加FW(マネージドサービス)全クラウド共に本番と開発は論理分割*現時点インターネット向け開放は無し既存専用線新設部分限られた端末・社員(非エンジニア)のみ管理プレーンへのアクセスを許可コアスイッチコアスイッチ導入ソリューションの概要クラウドAクラウドBクラウドCクラウドDクラウドa• オンプレDCを起点として必要なクラウドと専用線で接続• 全てプライベートアドレスで管理POP
ベストエフォート38インターネットルータホールディングス全体で共有インターネット• 一部を除き、各クラウドサービスの利用時はインターネット経由の為、ホールディングス全体で共有する回線部分では狭隘が生じる可能性があるのと、インターネットはベストエフォートとなる為、大量のデータ転送を行う分析作業等にネックが生じている。ファイアウォール回線ロードバランサーキャリアAキャリアBキャリアCキャリアDキャリアEキャリアF各回線キャリア各クラウドサービス以前のクラウドサービス利用時のネットワーク構成本番セグメント開発セグメントオンプレDC本番サーバ開発サーバ開発NW本番NWコアスイッチコアスイッチ既存専用線 クラウドaクラウドAクラウドBクラウドCクラウドD
392021年度 2022年度 備考9月 10月 11月 12月 1月 2月 3月 上期 下期マイルストーンプロジェクトスケジュール導入マイルストーン▽社内稟議▽オンプレDC内NW設定▽発注 <凡例>本格利用関係者限定利用パーソルキャリア作業ホールディングス作業全体作業接続・試行利用クラウド側構成変更運用ルール整備セキュリティレビュー費用見積接続対象検討/調整構成fixデータセンター関連作業(ラック/電源調達、回線引込み等)オンプレDCコンフィグ変更
40現在のエンジニアリング環境の全体概要ホールディングス管理クラウド仮想デスクトップ開発オンプレサーバ群クラウドサービス群エンジニアリングPCオンプレDCリダイレクトSaaS群専用線環境専用線ネットワークリバースプロキシ*任意既存専用線Enrollmentで使用インターネットVPNログ連携アラート通知*条件付きアクセスで許可端末のみ接続許可基幹DBクラウドA クラウドBクラウドC個社管理*条件付きアクセスで許可端末のみ接続許可SIEMCASBEDRIdPOA環境IdP
導入時に注意・苦労した点41
42コスト回収には幅広い周知と利用計画/促進が重要導入時に苦労・工夫したポイントコスト 体制社内情報セキュリティ担当やホールディングス担当との調整アジリティを維持しつつ内部犯行も起こさせない体制整備1つ若しくは2つのクラウドとの接続のみでは1対1での専用線接続対比でコスト回収目処が立ちづらい丁寧な説明による認知を行い利用を促進する必要有り社内情報セキュリティ部門やホールディングスの関係者に対する丁寧な導入目的の説明や棲み分けの整理導入に際して我々にはCCoEの様な組織や監視を選任に担う部署がないステークホルダー調整
実際に行ったステークホルダー調整43ホールディングスネットワーク担当社内情報セキュリティ担当我々もマルチクラウド環境導入しようとしてますよ!目的には共感なのですが難易度高そうですねリスク対策も気になるし• 認識してます! • ありがとうございます!• 我々の取り組みはホールディングスからの独立ではなくあくまでエンジニアの開発の効率を上げることなので選定基準が大きく異なるはず• 将来的な統合のパスは確り残します• リスク対策は丁寧に定義し対策を講じてます• 正しく位置付ければ皆さんにとってもメリットの多い取り組みです
①オンプレDC内NW環境 ②専用線サービス提供範囲内環境 ③クラウド側環境44個社ルータ専用線サービス事業者DC回線収容ルータ専用線専用線専用線キャリア回線インターネットFW(マネージドサービス)限られた端末・社員(非エンジニア)のみアクセス可ホールディングス側管掌領域 パーソルキャリア側管掌領域リスク項目と対策本番セグメント開発セグメントオンプレDC本番サーバ開発サーバ開発NW本番NWコアスイッチコアスイッチ既存専用線クラウドAクラウドBクラウドCクラウドDクラウドaPOP*現時点インターネット向け開放は無し
45領域 リスク項目 対応策①オンプレDC内NW • PCA内の環境利用者と結託して悪意のある設定変更を行うリスク• 設定不備やミスによるセキュリティホールの発生リスク• 設定変更は従来通りPHD側で行い、環境の利用者(利益受給者)が設定変更を実施出来ない様にする。実作業者と承認者を別に設ける事で単独での設定変更を不可とする②専用線サービス提供範囲内環境事業者DC外 • 環境の利用者が自作自演で設定変更を行うリスク (内部犯行)• 設定変更の実施者は環境の利用者とは別に設け内部犯行を抑止• 定期的に設定変更履歴やアカウント使用履歴の監査を実施する運用とする事業者DC内 • 環境の利用者が自作自演で設定変更を行うリスク (内部犯行)• 専用線事業者のNW内に外部から侵入されるリスク• 設定変更の実施者は環境の利用者とは別に設け内部犯行を抑止• 定期的に設定変更履歴やアカウント使用履歴の監査を実施する運用とする• 事業者より内部の詳細構成とコンフィグを徴求し外部からのアクセス経路が無い事を確認③クラウド側環境 • クラウド側にインターネットの口を設け、そこがバックドアとなるリスク• オンプレDC内で専用線接続に通ずる口にFWを設け不正なトラフィックの侵入を抑止する• 従来通り情報セキュリティGによるレビューを経て、指示に従い利用を行う事とするリスク項目と対策
46環境の利用者設定内容管理者設定作業実施者• 依頼に基づく実際の設定変更• 設定内容の具体化支援運用監視担当者• イレギュラー発生時の一次対応• エンジニアからの依頼に基づく.環境変更の意思決定• 本環境を使っての開発実施• 実開発時のニーズに基づく環境の設定変更依頼提示自作自演抑止の為、兼任不可異常検知時の共有その他イレギュラー内容の連携設定変更依頼設定変更依頼技術面での支援自作自演抑止の為、兼任不可自作自演抑止の為、兼任不可監査機能(情報セキュリティG)必要に応じた管理運営状況の監査目指す管理運営体制
導入により得られたその他のメリット47• 昨今、ChatGPTが大きく世間を賑わせており、大手企業でも採用のニュースが取り上げられています。• 使う側のリテラシーや倫理面における問題は要考慮ながら、これを独自の環境で利用出来る場合、意図せず機微な情報をアップロードすることによる情報漏洩リスクが下がり、採用に向けての心理的な障壁を押し下げることに寄与した。
まとめと今後の予定48
49まとめSASEやマルチクラウドといったビッグワードに踊らされず導入を検討した目的が何かを失わないように (導入自体を目的化させない)導入→即成功はないので、状況や効果を見ながら適切なフォローアップを
50今後の計画よりエンジニアが働きやすい世界作りマルチクラウド環境の更なる周知と利用促進
51ご参考https://techtekt.persol-career.co.jp/entry/tech/220926_01
ご清聴ありがとうございました!52
techtekt
sekido
yutoy
niftycorp
cybozuinsideout
smt7174
i35_267
kazamori
s2terminal
coconala_engineer
pospome
ryomaru0825
shibuiwilliam
dougneiner
mthomps
bkeepers
chriscoyier
edds
tenderlove
kneath
keavy
revolveconf
deanohume
rocio