Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
CCoE が提供する Google Cloud 環境と CSPM の取組み
Search
KINTOテクノロジーズ Osaka Tech Lab
October 30, 2024
Technology
0
110
CCoE が提供する Google Cloud 環境と CSPM の取組み
KINTOテクノロジーズ Osaka Tech Lab
October 30, 2024
Tweet
Share
More Decks by KINTOテクノロジーズ Osaka Tech Lab
See All by KINTOテクノロジーズ Osaka Tech Lab
いわゆる「俺が考えた最高のアーキテクチャ」を敢えて見送った話
osakatechlab
0
72
あえてスキーマ駆動開発を見送った話
osakatechlab
0
76
LLM アプリケーションのためのクラウドセキュリティ - CSPM の実装ポイント-
osakatechlab
0
840
フロントエンドのディレクトリ構成どうしてる? Feature-Sliced Design 導入体験談
osakatechlab
10
6k
誰でもできる type-challenges入門
osakatechlab
0
33
Google Cloud における CSPM の取組み
osakatechlab
0
66
CCoEが進める セキュリティカイゼンの旅
osakatechlab
0
79
短期間でPoC検証・生成AIを活用した汎用会話 API
osakatechlab
0
140
Other Decks in Technology
See All in Technology
AIエージェントの開発に必須な「コンテキスト・エンジニアリング」とは何か──プロンプト・エンジニアリングとの違いを手がかりに考える
masayamoriofficial
0
360
LLMエージェント時代に適応した開発フロー
hiragram
1
410
[OCI Skill Mapping] AWSユーザーのためのOCI(2025年8月20日開催)
oracle4engineer
PRO
2
140
人と組織に偏重したEMへのアンチテーゼ──なぜ、EMに設計力が必要なのか/An antithesis to the overemphasis of people and organizations in EM
dskst
5
600
GCASアップデート(202506-202508)
techniczna
0
250
RAID6 を楔形文字で組んで現代人を怖がらせましょう(実装編)
mimifuwa
0
300
アジャイルテストで高品質のスプリントレビューを
takesection
0
110
開発と脆弱性と脆弱性診断についての話
su3158
1
1.1k
TypeScript入門
recruitengineers
PRO
8
1.4k
広島銀行におけるAWS活用の取り組みについて
masakimori
0
130
ECS モニタリング手法大整理
yendoooo
1
120
制約理論(ToC)入門
recruitengineers
PRO
2
250
Featured
See All Featured
Thoughts on Productivity
jonyablonski
69
4.8k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
44
2.4k
Designing for humans not robots
tammielis
253
25k
The Pragmatic Product Professional
lauravandoore
36
6.8k
Typedesign – Prime Four
hannesfritz
42
2.8k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
48
9.6k
Build your cross-platform service in a week with App Engine
jlugia
231
18k
Visualization
eitanlees
147
16k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
26k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
53
2.9k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
110
20k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
8
480
Transcript
CCoE が提供する Google Cloud 環境と CSPM の取組み 2024.2.28 KINTOテクノロジーズ 多田友昭
自己紹介 多田 友昭(Tada Tomoaki) KINTO テクノロジーズ株式会社 Osaka Tech Lab(2022.07〜) プラットフォームG
CCoEチーム CCoE 実践者コミュニティ関西 オーガナイザ 経歴 • メーカSE@東京:情報収集衛星の画像処理システム開発 • セキュリティベンチャー@大阪:自社MSP・SIEMツール開発など • SIer@大阪:認証基盤開発、クラウド、CCoE、サービス企画など
アジェンダ 1. KINTO テクノロジーズ 2. CCoE を取巻く環境 3. 「統制」活動内容 4.
まとめ
1. KINTO テクノロジーズ 会社概要
1. KINTO テクノロジーズ グループ組織
1. KINTO テクノロジーズ プロダクト
統制 グループ会社セキュリティポリシーに準拠したクラウド環境を提供し、 常にセキュアな状態を維持するための支援を行う 活用 ナレッジ共有や人材育成を通じて、効率的な開発が継続できる支援を行う 1. KINTO テクノロジーズ CCoE チームのミッション
2. CCoE を取巻く環境 システム環境 システム数 = 〜 80 クラウド
2. CCoE を取巻く環境 セキュリティの考え方 グループセキュリティポリシー • GISS(Global Information Security Standard)
• 全14章、数百項目のコントロールから構成 • 記載は抽象度高め • CSPM、CWPP、CIEM等のコントロールあり アセスメント実施 • 設計時・SaaS導入時/年1回 • セキュリティグループが中心に実施 • クラウドインフラに関しては、CCoE がアセスメント対応 設計・構築は、インフラチーム • 各システム・アプリは、プロダクト開発部門対応
2. CCoE を取巻く環境 トヨタグループで発生したセキュリティインシデント 2024.02.16 https://news.t-mobility-s.co.jp/information/20240216-1/ 2023.05.12 https://company.toyotaconnected.co.jp/news/press/2023/0512/
3. 「統制」活動内容 CCoE チームミッションと活動 統制 グループ会社セキュリティポリシーに準拠したクラウド環境を提供し、 常にセキュアな状態を維持するための支援を行う CSPM (Cloud Security
Posture Management) セキュリティプリセット
3. 「統制」活動内容 Google Cloud プロジェクト(セキュリティプリセット) コンセプト 開発グループがクラウド環境を自由に利活用できる 最低限望ましくない利用を制限 (予防的ガードレール) ✓
Organization policy ✓ プロジェクト提供時に CIS や GISS をベースに設定 ✓ プリセットできないものは、発見的ガードレールとして CSPM で確認 →Sysdig Secure を採用
3. 「統制」活動内容 Google Cloud プロジェクト(セキュリティプリセット) 予防的ガードレール(最低限望ましくない利用を制限) ✓ Organization Policy •
ロケーション制限 • サービス制限 • パブリックアクセス制限 • デフォルトネットワーク制限 • 監査ログからプリンシパル除外制限 • など ✓ プロジェクト提供時 (CCoE で事前設定) • CIS 2. Logging and Monitoring • 監査ログ取得及びログ基盤連携 • CSPM 有効化 • など
3. 「統制」活動内容 CSPM なぜ Sysdig を採用したのか? • マルチクラウド対応 ( AWS,
Azure, Google Cloud ) • CIS 等のセキュリティベース + Regoによるカスタムルール(将来機能) • Falco によるリアルタイムな脅威検知 • UI/UX がシンプル • CWPP、CIEMもいずれ使いたい • コスト Google Cloud SCCは、Premiumが高価+Org単位での有効化必須 (検証時) 2023.2頃からプロジェクト単位で有効化可能
3. 「統制」活動内容 CSPM 運用 リアルタイム脅威検知 (Falco) CSPM(1回/日) リアルタイム脅威検知 アラート CSPM
アラート のカイゼン作業 開発G セキュリティチャンピオン CCoE 運用 脅威検知 アラート確認 アラート内容詳細確認 アラート発生時は開発Gが率先してカイゼン実施。 10分以内に対応完了
3. 「統制」活動内容 CSPM 運用 (理想) リアルタイム脅威検知 (Falco) CSPM(1回/日) リアルタイム脅威検知 アラート
CSPM アラート のカイゼン作業 開発G CCoE 運用 脅威検知 アラート確認 運用 アラート発生時は開発Gが率先してカイゼン実施。 10分以内に対応完了 理想
リアルタイム脅威検知 (Falco) CSPM(1回/日) リアルタイム脅威検知 アラート CSPM アラート のカイゼン作業 開発G CCoE
脅威検知 アラート確認 CSPMカイゼン方法 カイゼンドキュメント 執筆 カイゼンドキュメント 参照 レポート提供+アラート連絡・ カイゼン依頼 CSPMレポート取得 (API) 3. 「統制」活動内容 CSPM 運用 (現実)
3. 「統制」活動内容 CSPM 運用 理想と現実の壁 • 開発Gにそれほどセキュリティマインドはない • セキュリティ設定は、後回しがち CCoE
が支援することでアラート対応を実施
3. 「統制」活動内容 CSPM 運用 (現実) CCoE チーム が CSPM と開発
G のハブとして機能 →定期的なカイゼン • CSPM レポート取得と提供/カイゼン依頼 ✓ Sysdig API 経由でアラート取得/レポート作成し開発Gに提供、カイゼン依頼 ✓ カイゼン方法も合わせて提供 • CSPM カイゼンド方法の提供 ✓ risk, Remediation, Reference 記載 ✓ Sysdig も提供しているが・・・ ✓ 今後は、スクリプト提供も視野
良かった点 ✓ (現実) 運用に関して、やりたい機能は満足 ✓ サポート が迅速・丁寧 ✓ Risk Acceptance
ダッシュボード有用 今後期待する点 (CSPM) ✓ CSPM スキャン API の提供(任意のタイミングでスキャンしたい) ✓ レポートのリッチ化 ✓ Remediation ページのカスタマイズ ✓ Accept Risk の API 化 3. 「統制」活動内容 Sysdig (CSPM) 運用してみた感想
4. まとめ • CCoE の「統制」活動として セキュリティプリセット環境の 提供と CSPM 運用を実施 •
CSPM 運用のツールとして、Sysdig を選択 • CWPP, CIEM も実施予定なので、こちらの機能も使いたい
None
osakatechlab
masayamoriofficial
hiragram
oracle4engineer
dskst
techniczna
.jpeg){kind=avatar}
mimifuwa
takesection
su3158
recruitengineers
![Avatar for Masaki Mori[JAWS-UG広島]](https://secure.gravatar.com/avatar/17bd9feb58eff0e71010ccd4719ddf4a?s=24){kind=avatar}
masakimori
yendoooo
jonyablonski
bcantrill
tammielis
lauravandoore
hannesfritz
mongodb
jlugia
eitanlees
cassininazir
tammyeverts
panda_program
