開発も運用もビジネス部門も！ クラウドで実現する「つらくない」統制とセキュリティ / Effortless Governance and Security Enabled by the Cloud

Transcript

1. © LayerX Inc. 開発も運⽤もビジネス部⾨も！ クラウドで実現する「つらくない」統制とセキュリティ Hokuto Hoshi ([email protected]) CISO, Head

   of SRE and Corporate Engineering, LayerX Inc. 2025/05/23 CloudNative Days Summer 2025

2. © LayerX Inc. 2 • 株式会社 LayerX 執⾏役員 CISO 兼

   コーポレートエンジニアリング室 室⻑ 兼 バクラク事業部 PlatformEngineering 部 SRE グループマネージャー • SRE, セキュリティ, コーポレートエンジニア • 2023年まで、料理レシピサービスのセキュリ ティエンジニア、SRE、コーポレートエンジニア などを経て CTO 兼 CISO を務める。 2024年1⽉より現職。 星 北⽃ (HOSHI, Hokuto)

3. LayerX とバクラクについて

4. 4 © LayerX Inc. 「すべての経済活動を、デジタル化する。」をミッションに、AI SaaSとAI DXの事業を展開 事業紹介 バクラク事業 企業活動のインフラとなる業務を

   効率化するクラウドサービス Fintech事業 ソフトウェアを駆使したアセットマネジ メント‧証券事業を合弁会社にて展開 AI‧LLM事業 社内のナレッジやノウハウをデータ ベース化するAIプラットフォーム AI SaaSドメイン AI DXドメイン

5. © LayerX Inc.　 5 「バクラク」シリーズラインナップ ‧AIが請求書を５秒でデータ化 ‧仕訳 / 振込データを⾃動作成 ‧電帳法‧インボイス制度にも対応

   債務管理（⽀出管理） ‧年会費無料で何枚でも発⾏可 ‧カード利⽤制限で統制を実現 ‧通常1%以上の還元 法⼈カードの発⾏‧管理 ‧AI活⽤の消込機能で⼊⾦消込をラクに ‧取引先へリマインド/未⼊⾦督促を半⾃動化 ‧売上仕訳‧⼊⾦仕訳も柔軟に作成 債権管理（⼊⾦管理） ‧AIが⾒積書‧請求書を５秒でデータ ‧スマホからも申請‧承認OK ‧柔軟な通知設定‧承認の催促機能 稟議‧⽀払申請 ‧直感的UIで従業員の負担を軽減 ‧Slack連携で打刻や⾃動リマインド可能 ‧わかりやすい残業 / 休暇管理レポート 勤怠管理 ‧AIが領収書を5秒でデータ化 ‧スマホアプリとSlack連携あり ‧領収書の重複申請などミス防⽌機能 経費精算 ‧帳票の⼀括作成も個別作成も⾃由⾃在 ‧帳票の作成‧稟議‧送付‧保存を⼀本化 ‧レイアウトや項⽬のカスタマイズも可能 請求書発⾏ ‧スキャナ保存データも直接取込  ‧AI-OCRが⾃動読取＆データ化 ‧[取引先][取引⽇][取引⾦額]での検索 帳票保存‧ストレージ

6. © LayerX Inc. 6 • GraphQL Gateway を中⼼としたアーキテクチャ • すべてのサービスはコンテナ化され

   Amazon ECS + AWS Fargate で稼働 バクラクのアーキテクチャ ref: 法⼈⽀出管理サービス「バクラク」のインフラアーキテクチャ図

7. コンプライアンスへの対応

8. © LayerX Inc. 8 • 企業に⼤前提求められるコンプライアンスがある • システムは、コンプライアンスを保つ体制構築に使われる。例えば… ◦ ⽀出に関する内部統制を構築するために、決裁規程を整備

   ◦ 決裁規程に従って申請‧承認を⾏うワークフローをシステムにより構築 • 内部統制を⽀えるシステムは、それそのものが信頼できるものであることが 求められる ◦ 適切なセキュリティ体制が保たれている ◦ 適当な開発体制でカジュアルに壊れる！といったことが起こらない • 情報システムのプロバイダーとして、以下の認証を取得 ◦ ISO/IEC 27001:2022 (いわゆる ISMS) ◦ SOC1 Type2 情報システムに求められるコンプライアンス

9. © LayerX Inc. 9 • 委託会社の財務報告に係る内部統制の保証報告書 • バクラクの場合で⾔うと… ◦ 受託会社

   (LayerX) が委託されている業務のうち ◦ 委託会社 (お客様) の財務報告に係る内部統制の「適切性」「有効性」を保証 • お客様は、報告書を⽤いることで監査における内部統制の評価を効率化できる ◦ バクラクが適切な内部統制のもとに運⽤されているかを、⾃⾝で監査するかわり に報告書を利⽤できる • SOC1は財務報告に関するプロセスにフォーカス、SOC2はセキュリティにフォーカス ◦ 保証する内容が異なる • Type1は基準⽇時点のデザインの評価、Type2は特定期間を通じたデザインと運⽤状況 評価 ◦ これは SOC1, SOC2 ともに同じ ◦ Type2 報告書については運⽤監査を受ける必要がある SOC1 Type2 報告書について

10. © LayerX Inc. 10 • 皆さんにも経験があるかも ◦ 「◯◯のアクセス管理ってどうなっていますか」 ◦ 「(データベース|システム|クラウド)

    の権限管理ってしていますか」 ◦ 「◯◯のログを提出してください」 ◦ 「ログによるとxxという事象がありますが、説明してください」 ◦ 「監査対応のため、今⽇からこの変更は承認制になります」 ▪ 「承認をしたログをこの (任意の Excel やスプレッドシート) に残し てください」 ◦ など、など、など • クラウドをフル活⽤してイケてるシステムをつくっているはずなのに、 どうしてこうなった…！ 監査対応はつらいよ

11. © LayerX Inc. 11 • 前提や認識の差 ◦ 監査側のシステムやプロセスに対する理解と、開発運⽤側の統制‧監査 要件に対する理解に差が⽣じる ◦

    専⾨領域や前提知識、所属 (社外から監査を受ける場合など) による情報 の差もあるため、どうしても起こり得る問題 ▪ 監査側としても、「得体のしれないもの」にお墨付きを与えるわけ にはいかない ◦ 埋める努⼒はもちろんできるが、認識の差は⽣じるものという⾃覚が お互い重要 • つらさを放置しておくと… なぜつらくなるのか

12. © LayerX Inc. 12 • 認識の差を埋めないと、「お互いが理解しやすいもの」に収束する ◦ 結果⽣まれる⼤量のスプレッドシート、無の承認フォーマット ▪ 適材適所なので、低コストな部分には使えばよい

    ◦ ⾃動化‧システム化が困難になり、開発やオペレーションの⽣産性に 影響する ▪ アカウント管理、各種操作のログ、承認、etc ▪ ミスも出るし、モチベーションも下がる • ⽣産性と統制‧監査要件を両⽴するにはどうするのか 開発⽣産性やオペレーションへの影響とコスト

13. © LayerX Inc. 13 • 我々が普段使っているクラウドサービス、ソフトウェアエンジニアリングの⼒ を活かすことで、説明可能な形で統制に対応することができる • ⼈⼒による統制と異なり、システム化された統制は⾼度化しやすく、 運⽤の省⼒化も可能

    • 取り組みやできること、できないことを監査側にきちんと説明し、 理解を得ていくことがとても重要 クラウドサービスやソフトウェアエンジニアリングによる解決

14. 我々が実践している 「つらくない」統制の例をご紹介

15. © LayerX Inc. 15 • 本発表は、我々が⾃社内で実践している統制の実装について ご紹介するものです • 発表内容は、特定の監査法⼈や公認会計⼠のレビューを受けているものでは ありません

    • システムが扱う情報や統制の要件、監査を実施される⽅の判断によって、 実際に求められる内容は異なるため、実装のためのヒントとして参考にして いただけると幸いです おことわり

16. © LayerX Inc. 16 • 原点にして頂点、これがないとかなりつらい • ⼈事システムおよび Notion 上のデータベースに⼊⼒された情報から

    SSO のアカウントを作成 ◦ LayerX では Microsoft Entra ID を利⽤ • アカウント作成、退職時のアカウント無効化までが⾃動化されている ◦ Slack に通知 + Slack 上における承認作業で先に進める SSO によるアカウント管理

17. © LayerX Inc. 17 • 権限管理の多くは部署、役職、職種など をもとに実施される ◦ 同じ属性を持つ複数⼈に同じ権限が 割り当てられることが多い

    • ゆえにグループ管理が重要 • SmartHR からメンバー定義を HCL (Terraform) で⽣成し、IdP (Entra ID) に ⾃動連携する仕組みを社内で開発 IdP のグループ管理 ref: 生産性とガバナンスを両立したグループ管理のため、 SmartHR上の属性情報 を元に擬似的なABACシステムを構築した話

18. © LayerX Inc. 18 • ポリシーとして、⾃社開発のものも含め、社内システムには原則 SSO を利⽤ • 社内システムの多くは

    SSO に統合されているため、様々なツールのアカウント 管理の検証は「SSO がきちんと動いていること」に集約できるものも多い • アカウント登録やグループの変更が⾃動化できているため、それが正しく動い ていることを確認し、付与権限の定期点検を⾏う • アクセスログも IdP から出⼒することが可能 • パスワード強度や MFA なども SSO に依拠することができる SSO の強制

19. © LayerX Inc. 19 • 要求と承認を経て、ユーザーを特定のグループに指定した時間だけ所属させられる機能 ◦ ⼀時的に強い権限を持つグループにユーザーを所属させ、時間経過で削除 • AWS

    や社内ネットワークアクセス、サービス管理画⾯などにおいて活⽤ Entra Privileged Identity Management (PIM) ref: アクセス制御にまつわる改善

20. © LayerX Inc. 20 • みんな⼤好き GitHub を全社で利⽤ • Pull

    Request におけるレビュー機能とその承認をもって変更のレビューとする (必須) • レポジトリにおける承認者は Team を指定し、 Team を管理 ◦ CODEOWNERS を活⽤している ◦ 複数プロダクトが⼀つのレポジトリに集まっている (monorepo) 場合でも柔軟な設定が可能 • 障害対応など緊急時に備え、 レポジトリオーナーが⾃⼰承認することも設定上可能としている ◦ GitHub API を⽤いて⾃⼰承認された PR を確認、ログ出⼒ • デプロイも⾃動されており、承認などの操作を GitHub に集約できている アプリケーションの変更管理

21. © LayerX Inc. 21 • Terraform, ecspresso (Amazon ECS のデプロイツール)

    を利⽤し、 monorepo で管理 • GitHub 上にレポジトリがあるため、アプリケーション変更管理と同様の統制が効く • 統制を必要としないディレクトリは制限を外すなど細かく対応 • アプリケーション側のサービス定義に合わせて、ECS や Terraform の CODEOWNERS を⾃動⽣成 ◦ プロダクト開発チームと共にインフラをコントロールできる状態にする インフラの変更管理

22. © LayerX Inc. 22 • データベースの CI/CD サービスである Bytebase (https://www.bytebase.com/)

    を利⽤ • データやスキーマの変更をレビュー および承認のもと実⾏可能 • テストの実⾏も複製 DB を作成するこ とで容易に実⾏できるようにした • 踏み台サーバーの⽤途が消滅 データベースのオペレーション ref: 開発者が安⼼して実⾏可能なSQL実⾏基盤の取り組み

23. © LayerX Inc. 23 • テナントを管理するシステムなどの管理体制も重要 ◦ ビジネスオペレーション (BizOps) チームが担当

    • 社内システムのアカウントと権限管理も IdP を使った SSO に移⾏ ◦ 前述した IdP のグループ管理によって⼀元管理 ◦ SSO のアカウント管理が問題ない前提において、アカウント管理や権限 管理を任せられる • 管理⽤システム側の監査⽤ログも調整し、運⽤監査を簡単にできるよう変更 ◦ ログを Snowflake (サービス⽤ DWH) に保持し、BI ツールで ダッシュボード化 ◦ 詳細を確認すべきログを簡単に検索し確認できる サービス管理⽤システムの権限管理

24. © LayerX Inc. 24 • 証跡として提出すべきログや設定データの多くは AWS をはじめとした 各種クラウドにある ◦

    AWS の場合多くは AWS CloudTrail によってログ出⼒ ◦ Entra ID のログは GUI から検索しつつ、S3 にエクスポートして保全 ◦ システムログの⼀部は Datadog や Amazon Athena でも保持している • すぐに提出できるよう、⼿順ではなく API を利⽤したコードやクエリ、 CLI に集約 ◦ 期間を変えた繰り返しがしやすく、実⾏コストが下がる • ログそのものの承認や精査が必要なものは別の⼿順に従って実施 ◦ ⼩さいものなら Excel / Google Sheets に移して作業なども実施 ログ抽出や検索コマンドのコード化

25. おわりに

26. © LayerX Inc. 26 • 監査は「⾃分たちが決めたことをきちんと守れているか」をチェックする 機能であり、あなたに嫌がらせをしたいわけではない ◦ 監査をいかにくぐり抜けるかではなく、どう活かすかを考えられるように なると、つらさではなく改善に繋げるモチベーションが⽣まれやすい

    • 専⾨領域の違いや、監査要件などから意⾒がすれ違うことはある ◦ 「満たさなければならないゴール」「守るべきもの」をお互いに確認し、 議論する • ⼀緒にコンプライアンス体制を作りあげるパートナーとしてやっていく ⼤切なこと: 監査は敵ではない

27. © LayerX Inc. 27 • 統制、監査対応のつらさと、主にクラウドサービスを使った統制の実装に ついてお話しました • 規格‧ドメインによっては要求事項が多い、難しいといったこともあるが、 クラウドサービスやソフトウェアエンジニアリングによってうまく解決できる

    部分も多くある • 統制、監査の⽬的を理解した上で議論していくことで、つらくない落とし所が きっと⾒つかる まとめ

28. © LayerX Inc. 28 • 今回ご紹介したお話は、SRE チームとコーポレートエンジニアリング室、 プロダクト開発チーム、BizOps チームなどの協働により実現しています •

    SRE, セキュリティ, コーポレートエンジニアリング以外にも、全⽅⾯で全⼒ 採⽤中です • 少しでもご興味があればぜひお声がけください！！！！ 最後に: We’re hiring https://jobs.layerx.co.jp/

29. © LayerX Inc. Fin.