Visional CCoE におけるパブリッククラウドのセキュリティ対策 / Security of Public Cloud in Visional CCoE

Transcript

1. Visional CCoE における パブリッククラウドのセキュリティ対策 2021-12-02 Visional Security Lounge #2 ビジョナル株式会社

   グループIT室 クラウドインフラグループ（CCoE） Yuuki Nagahara

2. 長原 佑紀（ナガハラ ユウキ） 所属：ビジョナル株式会社 グループIT室 クラウドインフラグループ（CCoE） 経歴： - 2006年〜 独立系SIer

   - 主に通信系のシステム開発や研究開発 - 2015年〜 株式会社ビズリーチ - 2015年よりビズリーチ事業のインフラエンジニアとして従事し、後にチームリーダとして複 数事業のインフラを担当 - 2018年より全社横断となるプロダクト非機能要件改善組織に立ち上げより参画 - 2021年〜 ビジョナル株式会社（株式会社ビズリーチより出向） - CCoE Tech Lead として、Visional グループのパブリッククラウド全体管理やクラウド共通 プラットフォームの開発運用、クラウド活用推進を担当 好きなサービス： AWS Lambda 2 自己紹介

3. • Visional について • CCoE 組織について • クラウドセキュリティの横断的な取り組みについて 3 アジェンダ

4. Visional について 4

5. 5 グループ概要 設立　　 ：2020年2月（ビジョナル株式会社設立） 創業　　 ：2009年4月（株式会社ビズリーチ創業） 代表者　 ：ビジョナル株式会社 代表取締役社長　南 壮一郎

   グループ従業員数：1,466名（2021年7月末時点） 資本金　 ：164億円（資本準備金含む）※2021年5月18日時点 拠点　　 ：東京、大阪、名古屋、福岡、静岡、中四国

6. 6 グループミッション

7. 7 グループ運営サービス インキュベーション（新規事業領域） 採用プラットフォーム 人財活用プラットフォーム 人材マネジメント（HR Tech）エコシステム 事業承継M&A 物流Tech Sales

   Tech サイバーセキュリティ

8. 8 グループ経営体制について ビジョナル株式会社（ホールディングカンパニー）　 株式会社 ビズリーチ ビジョナル ・ インキュベーション 株式会社 株式会社

   M&A サクシード 株式会社 スタンバイ HR Techの プラットフォームや SaaS 事業の運営 新規事業開発 事業承継 M&A プラットフォーム「ビズ リーチ・サクシード」の 運営 求人検索エンジン 「スタンバイ」 の運営 ※Zホールディングス株式会社 との合弁事業会社 トラボックス 株式会社 物流 DX プラットフォーム「トラ ボックス」 の運営

9. CCoE 組織について 9

10. < 役割 > • クラウド戦略計画・推進 • クラウド全体管理 • クラウドガバナンス •

    クラウドプラットフォーム開発運用 • ナレッジ管理 • 技術支援 • トレーニング • コミュニティ活動 • など < 構造 > 10 Visional の CCoE について CCoE（Cloud Center of Excellence）は、クラウド活用をより推進するための専門組織。 CCoE クラウド ベンダー セキュリティ 部門 ユーザ部門 経営 その他間接部門 （経理、法務、人事） ポリシー、ナレッジ、 クラウドプラットフォーム 連携 相談 問合せ 提供 技術支援 情報提供 相談 フィードバック 統制 監査 連携 連携 フィードバック クラウド関連 レポーティング ※クラウド利用者 外部 コミュニティ 活動

11. フルクラウドでサービス運営 • クラウドがデフォルトの選択肢 • オンプレミス環境は保有していない パブリッククラウドの利用状況 • AWS アカウント：100以上 •

    Google Cloud プロジェクト：75以上 ◦ アクティブのみ 11 Visional のパブリッククラウドの状況

12. ビジョナル (株) 12 セキュリティに関わる組織構造 (株) ビズリーチ ビジョナル・ インキュベーション (株) トラボックス

    (株) 事業部 CISO 管掌組織 抜粋 ビジョナル（株）にグループ全体のセキュリティを統括する部署を設置。 各事業部にエンジニア チームが存在し、パブ リッククラウドを運用 (株) M&A サクシード 事業部 事業部 事業部 事業部 事業部 事業部 事業部 セキュリティ室 グループIT室 IT統制/セキュリティ推進グループ 品質管理グループ セキュリティオペレーショングループ クラウドインフラグループ（CCoE） パブリッククラウドのセキュリティに関わる 業務を “セキュリティ室” と協業 セキュリティ関連文書管理 リスクアセスメント/監査 チェックシート実施 脆弱性診断 コーポレートインフラ監視 プロダクトセキュリティ監視 セキュリティ技術検証

13. クラウドセキュリティの横断的な取り組みについて 13

14. • インターネット経由の利用形態 ◦ 様々な形で外部へ公開できてしまう • 高いアジリティとスピード ◦ 変更頻度が高く不備や漏れが混入しやすい • 責任共有モデル

    ◦ 利用者の責任を理解して適切な対策が必要 14 クラウドセキュリティにおける課題 有事の際は、事業成長を阻害し、グループ全体のレピュテーションリスクにもなりえる。 運営するサービス群の基盤となるパブリッククラウドのセキュリティは重要な位置付けにある。 アジリティとのバランスを取りながら、パブリッククラウドへのセキュリティ対策を実施している。 パブリッククラウド特有の課題 ◦ なりすまし ◦ 改ざん ◦ 否認 ◦ 情報漏洩 ◦ サービス拒否 ◦ 特権昇格 資産 Assets 脆弱性 Vulnerability 脅威 Threats ◦ 設定ミス ◦ 対策不備 ◦ バグ ◦ etc.. リスク ◦ 機密情報 ◦ 個人情報 ◦ コンテンツ ◦ etc.. クラウド利用時のリスク

15. クラウド共通の仕組み 15 クラウドセキュリティの横断的な取り組みの概要 発見的統制 • コンプライアンス評価 • ベストプラクティス評価 • IaaS/CaaS

    脆弱性スキャン 予防的統制 • 統合認証基盤連携 • 組織ポリシー制御 脅威検出 • 脅威の検出 組織管理 • アカウント管理 • ベースライン管理 ログ管理 • 証跡ログ … ※CCoE よりクラウド共通の対策を提供 セキュリティガイドブック ※クラウド利用者で取るべき対策を規定

16. アカウント管理 クラウド共通の仕組み（組織管理） ベースライン管理 AWS：Oragnizations GCP：Resource Manager クラウドのアカウントを適正に管理 アカウントの組織を構成し、アカウント作成削除の フローを構築 クラウド共通設定（ベースライン）を構成管理

    新規アカウントは適用済みの状態から利用開始 構成変更時は組織で一括更新 AWS：Terraform による独自機構 GCP：-

17. クラウド共通の仕組み（予防的統制） 組織ポリシー制御 AWS：Service Control Policy GCP：Resource Manager 　　　 (Organization policy

    constraints) 組織全体へ禁止ポリシーを管理・適用 不要な操作を抑制してリスクを回避 統合認証基盤連携 クラウドを統合認証基盤と SAML 連携して、 管理コンソールへ SSO にてログイン 管理コンソールへの不正アクセスを防止 AWS：Azure AD SSO ※IAMユーザのログインも禁止 GCP：Azure AD SSO

18. クラウド共通の仕組み（発見的統制） コンプライアンス評価 IaaS/CaaS脆弱性スキャン ベストプラクティス評価 AWS：AWS Config GCP：Cloud Security Command Center

    　　　(Security Health Analytics) AWS：Trusted Advisor GCP：- AWS：Inspector / ECR (image scanning) GCP：- 予め規定したルールに基づいてリソースの設定を 自動的に評価 組織の評価結果を集約・通知・可視化 ルールに非準拠のリスクを早期に検知して対処 クラウドベンダー固有のベストプラクティスに沿っ たチェック 組織のチェック結果を集約・可視化 推奨事項を改善に活用 インスタンス、コンテナの脆弱性を自動スキャン 組織のスキャン結果を集約・通知・可視化 ワークロードに含まれる脆弱性に適切に対処 プロセス整備中

19. クラウド共通の仕組み（脅威検出 / ログ管理） 脅威検出 ログ管理 AWS：GuardDuty GCP：Cloud Security Command Center

    　　　(Event Threat Detection) AWS：Organizations + CloudTrail + Athena GCP：Cloud Audit Logging + Log Sink + BigQuery クラウドの不正なアクティビティを検出 組織全体の検出結果を集約・通知・可視化 検出された脅威に対して調査と対応を実施 証跡ログの出力設定を組織全体へ適用し、ログを 集約し、検索基盤を提供 監査ログの完全性を担保し、調査・分析に活用

20. クラウド共通の仕組み 20 クラウドセキュリティの横断的な取り組みの概要（再掲） 発見的統制 • コンプライアンス評価 • ベストプラクティス評価 • IaaS/CaaS

    脆弱性スキャン 予防的統制 • 統合認証基盤連携 • 組織ポリシー制御 脅威検出 • 脅威の検出 組織管理 • アカウント管理 • ベースライン管理 ログ管理 • 証跡ログ … セキュリティガイドブック ※クラウド利用者で取るべき対策を規定 ※CCoE よりクラウド共通の対策を提供

21. • AWS Summit Online Japan 2020 「大規模な組織変遷と100以上のAWSアカウントの横断的セキュリティガードレール運用に ついて」
 ▪ https://pages.awscloud.com/rs/112-TZM-766/images/CUS-06_AWS_Summit_Online_2020_Visional%20Inc.pdf


    • Visional Engineering Blog 「100を超えるAWSアカウント運用におけるガードレール構築事例」
 ▪ https://engineering.visional.inc/blog/171/awssummit_securityguardrail/
 • Security-JAWS 第19回 「AWS Config による継続的コンプライアンス実現に向けた取り組み」
 ▪ https://speakerdeck.com/nagahara/continuous-compliance-with-aws-config
 • AWS Dev/Cloud Alliance 第1回 「CCoE による Terraform を活用した Infrastructure as Code」
 ▪ https://speakerdeck.com/nagahara/iac-by-terraform-in-ccoe
 • CloudNative Days Tokyo 2021 「実践：Cloud Center of Excellence を中心としたクラウド戦略」
 ▪ https://speakerdeck.com/_awache/the-practice-of-cloud-center-of-excellence
 • Google Cloud Security Summit 「Visional における CCoE 組織とセキュリティ ガードレール整備の取り組み」
 ▪ https://services.google.com/fh/files/events/security-d1-05.pdf
 • 書籍 「DXを成功に導くクラウド活用推進ガイド CCoEベストプラクティス」（先進事例企業として登場）
 ▪ https://www.amazon.co.jp/dp/4296070150
 21 参考情報 Fin.