Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
サイバーエージェントにおけるクラウドセキュリティエンジニアの仕事
Search
Ryosuke Hanatsuka
May 08, 2025
2
590
サイバーエージェントにおけるクラウドセキュリティエンジニアの仕事
Ryosuke Hanatsuka
May 08, 2025
Tweet
Share
Featured
See All Featured
How to Think Like a Performance Engineer
csswizardry
27
2k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
46
7.6k
A Tale of Four Properties
chriscoyier
160
23k
Stop Working from a Prison Cell
hatefulcrawdad
271
21k
Automating Front-end Workflow
addyosmani
1371
200k
Rails Girls Zürich Keynote
gr2m
95
14k
Bootstrapping a Software Product
garrettdimon
PRO
307
110k
Designing for humans not robots
tammielis
254
25k
Building Adaptive Systems
keathley
43
2.8k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
9
840
Unsuck your backbone
ammeep
671
58k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Transcript
サイバーエージェントにおける クラウドセキュリティエンジニアの仕事 株式会社 サイバーエージェント 花塚 亮祐
1.クラウドセキュリティの領域 2.弊社のクラウドセキュリティチーム 3.まとめ
自己紹介 花塚 亮祐 Hanatsuka Ryosuke 所属 システムセキュリティ推進グループ クラウドセキュリティチーム リーダー 経歴
• 2022/03 サイバーエージェント入社 ~ 現在 CSPM や脅威検知の仕組みの開発・運用に従事 • 2023/10 クラウドセキュリティチーム 発足 • 2024/04 クラウドセキュリティチーム リーダー
クラウドセキュリティの領域
弊社のパブリッククラウド利用状況 複数のOrganizations アカウント数 : 750以上 複数のOrganizations プロジェクト数 : 1,000以上 生成AI関連で利用拡大中
What is cloud security?
What is cloud security? クラウド環境内のアプリケーションやデータ、その他リソースを 保護するためのセキュリティポリシーやベストプラクティス、 テクノロジー全体を指す https://cloud.google.com/learn/what-is-cloud-security https://www.gartner.com/en/information-technology/glossary/cloud-security
責任共有モデルで考えるクラウドセキュリティ クラウドサービスプロバイダー(CSP)とその利用者は責任を共有する 利用者目線の クラウドセキュリティは、 クラウド内のセキュリティと 考えるのが自然 CSP側が責任を一部 担ってくれる https://aws.amazon.com/jp/compliance/shared-responsibility-model/
とはいえ、「クラウドセキュリティ」の領域は広い セキュリティガバナンス セキュリティ アシュアランス Identity and Access Management 脅威検知 脆弱性管理
インフラストラクチャの 保護 データ保護 アプリケーション セキュリティ インシデント対応 AWS「Cloud Adaption Framework」セキュリティパースペクティブ 9項目 https://docs.aws.amazon.com/ja_jp/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html
とはいえ、「クラウドセキュリティ」の領域は広い Google Cloud の「Well-Architected Framework」でも同様に広い… https://cloud.google.com/architecture/framework/security#focus_areas_of_cloud_security
世の中の クラウドセキュリティエンジニア は何をするのか?
世の中のクラウドセキュリティエンジニア 求人情報から辿ってみると • 国内「クラウドセキュリティエンジニア」の募集はほとんどない • 海外「Cloud Security Engineer」「Security Engineer -
Cloud Security」の 募集はおよそ2,000件 ある程度の募集があり、一定のキャリアが確立されているように思える (※2025/5/6時点のLinkedInでの検索結果)
世の中のクラウドセキュリティエンジニア https://blog.marcolancini.it/2022/blog-cyber-security-career-pathways https://engineer.cloudsecbooks.com/ Security Career Pathways 書籍
クラウドセキュリティエンジニアの職務パターン 対象 パターンA 業務 • アーキテクチャレビュー • 脅威モデリング • CI/CDのセキュア化
プロダクト パターンB • ガイドラインの策定 • 継続的な教育 • ガードレールの実装 • 横断的な脅威検知 クラウド環境全体 クラウドセキュリティは領域が広く、組織規模やチームの立ち位置によって職務が変わる
どこから始めるか・何に集中するか迷ったら 迷った時、参考になるリファレンス • AWS Cloud Adoption Framework (AWS CAF) •
AWS Security Maturity Model • Google Cloud Well-Architected Framework しかし実際、他社がこれらを元に何をやっているか?
弊社のクラウドセキュリティチーム
クラウドセキュリティチームの歴史 2023年10月 発足 クラウドセキュリティの横断組織 CSPMで検知されたアラート対応 2024年3月 転換期 各プロダクトチームと連携し、 設定不備の大幅な解消に成功 チームの体制変更
改めて目的を定義し、新チーム体制へ 現在 https://www.cyberagent.co.jp/sustainability/security/info_security/
クラウドセキュリティチームの歴史 2023年10月 発足 クラウドセキュリティの横断組織 CSPMで検知されたアラート対応 2024年3月 転換期 各プロダクトチームと連携し、 設定不備の大幅な解消に成功 チームの体制変更
改めて目的を定義し、新チーム体制へ 現在 https://www.cyberagent.co.jp/sustainability/security/info_security/ 初期の取り組みとしてはよかったが… 一時的な対応ではなく、 設定不備のない状態を持続したい!
予防的な取り組みにシフト 継続的にリスクが軽減される状態を目指す リアクティブな対応 予防的な取り組み 問題が起きにくい 仕組みを整備 CSPM等で検知され る母数減 結果的にかかる 対応コスト減
時間が経過すれば 元に戻ってしまう… 膨大な検知数への 対応に限界…
現在のミッション 「積極的にチャレンジできる安全なクラウド環境を実現する」 • セキュリティリテラシーに依存せずに、クラウドを安全に利用できるしくみを構 築し、ビジネスを加速させることを目指している • ベースラインを引き上げるだけではカバーしきれない個々のリスクやセキュリ ティ対策の過不足については、他チームへ移譲・協力して対応している
具体的な取り組み例 • クラウドセキュリティガイドラインの作成と普及活動 • 組織横断での脅威検知
クラウドセキュリティガイドライン セキュリティリスクを最小限に抑えること、 そして開発者が迷わずにセキュアなクラウド環境を 構築するための手助けをすることが目的
ニアリアルタイムに開発者に通知 組織横断での脅威検知 組織横断でクラウドレイヤの脅威を検知 Amazon GuardDuty, AWS CloudTrail, Security Command Center
を活用 Slack上で対応が 完結するように設計 生成AIでサマリー表示
まとめ
まとめ • 大規模なクラウド環境を相手に日々奮闘中 ◦ 組織の規模や文化を考慮した運用を作っていく • クラウドセキュリティの領域はとても広い ◦ 本日は弊社の一例を紹介させていただきました ◦
自分たちのクラウドセキュリティをどう見据えているのか ぜひ懇親会でお話しさせてください
We’re Hiring ! 【システムセキュリティ推進グループ】 クラウドセキュリティエンジニア 【株式会社AbemaTV】 クラウドセキュリティエンジニア
ありがとうございました
Appendix • 大規模なクラウド環境における脅威検知の取り組み ◦ https://developers.cyberagent.co.jp/blog/archives/4 1119/ • 750+ AWS アカウントのクラウドセキュリティ:脅威検知におけ
るスケーラブルな仕組みと運用(AWS Summit 2024) ◦ https://pages.awscloud.com/rs/112-TZM-766/image s/CUS-34_AWS-Summit-2024_CyberAgent.pdf