AWS、GCP、企業での活用進むパブリッククラウドとセキュリティの現在 〜Visional Security Lounge Vol.2 開催レポート〜
12月2日(木)、企業のセキュリティ領域を担う担当者、責任者、そしてセキュリティ対策への判断を行なう経営者の方へ向けたVisional主催のセミナー「Visional Security Lounge」 の第2回を開催しました。今回は、登壇者の方の発表内容やトークセッションの内容をお伝えしたいと思います。
今回のテーマは、「パブリッククラウド × セキュリティ 〜クラウド推進組織で実践するクラウドセキュリティ対策!〜」でした。今や障害が起きれば全世界で話題になるAWS(Amazon Web Services)、そして最近では、GCP(Google Cloud Platform)のパブリッククラウドとしての企業での活用も進んでいます。
今回のセミナーでは、VisionalのCCoE(=Cloud Center of Excellence)のエンジニアが、AWSやGCPなどのクラウドサービスを利用する企業の皆さんと、企業のパブリッククラウド活用とセキュリティ対策についてリアルな体験談を語り合いました。
<セミナーの流れ>
■各社の事例紹介
・Visionalグループ
・株式会社Works Human Intelligence
・株式会社NTTドコモ
■トークセッション
「クラウド推進組織で実践するクラウドセキュリティ 対策!」
・QA形式の各社実体験トーク
・参加者からの質疑応答
■CISOトーク
「Visional CISOが考える、経営視点のパブリッククラウド活用 とセキュリティ対策」
■各社の事例紹介
<Visional>
「Visional CCoEにおけるクラウドのセキュリティ対策」
ビジョナル株式会社
CCoE エンジニア Tech Lead
長原 佑紀
まず、Visionalグループ(以下、Visional)長原さんより、VisionalにおけるCCoE組織の役割、そしてパブリッククラウドの活用状況について説明。Visional CCoEは、
● クラウド戦略計画・推進
● クラウド全体管理
● クラウドガバナンス
● クラウドプラットフォーム開発運用
● ナレッジ管理
などの役割を担っており、クラウドを利用する部門、セキュリティ部門、経営やクラウドベンダーと連携してクラウドの活用を推進しています。
Visionalでのパブリッククラウドの利用は、AWS アカウント100以上、Google Cloud プロジェクト75以上で、クラウドをデフォルトの選択肢として、フルクラウドでサービス運営しています。そのため、組織構造としては、グループ各社の各事業にパブリッククラウドを運用するエンジニアチームを配置し、グループ全体のセキュリティを統括する組織をグループのホールディングカンパニーであるビジョナル株式会社に置いているという体制となっています。
長原さんからグループでの横断的な取り組みを具体的に説明するなか、クラウドセキュリティにおける課題(パブリッククラウド特有の課題、クラウド利用時のリスク)を提示。この課題が、有事の際は、事業成長を阻害し、グループ全体のレピュテーションリスクにもなり得るものだとして、運営するサービス群の基盤となるパブリッククラウドのセキュリティは重要な位置付けにあることをお伝えしました。
Visional長原さんの資料はSpeaker deckでも公開しております。
<Works Human Intelligence>
「クラウドセキュリティに関する取り組み」
株式会社Works Human Intelligence
Product Div. SRE Dept. Senior Manager
加藤 文章 氏
続いて、株式会社Works Human Intelligence(以下、WHI)の加藤氏より、WHI社の沿革、WHI内でのSRE Dept組織の立ち位置についてご紹介いただきました。
WHI社のSRE Deptの特徴は、主にAWSをパブリッククラウドとして利用し、「COMPANY」という自社のパッケージソフトウェアを2種類のクラウドサービスとして運用していること。一つは、社内イントラの延長としてクラウド上に構築した「COMPANY on Cloud Managed Service」の提供、もう一つはクラウドに最適化した「COMPANY」をSaaSとして提供。それぞれクラウドセキュリティとして共通する部分はあるものの、異なる対策を必要とします。
最後に加藤氏は、今後のクラウドセキュリティの課題として、一部の企業ではクラウドやSaaSを利用するハードルはまだ高いといった現状や、 テレワークの普及によるゼロトラストの必要性などを伝え、「COMPANY」の利用により、お客様のクラウド利用を推進していきたいとお話しされていました。
<ドコモ>
「NTTドコモ CCoEの紹介」
株式会社NTTドコモ
クロステック開発部 第6企画開発担当 CCoE Lead
森谷 優貴 氏
最後は、株式会社NTTドコモ(以下、ドコモ)の森谷氏より、ドコモ社内のクラウドの利用動向、非常に多くのクラウドサービスを稼働させているCCoE組織の役割についてご紹介いただきました。
ドコモ社では、クラウドを大規模で利用するにあたり、複数の課題が顕在化しており、内部統制、アカウント管理、コスト管理の観点で、そうした課題の解決が必須でした。
クラウド利用のポイントを抑えたガイドラインや、セキュリティチェックツール、コスト可視化ツールなどを開発・提供し、課題へ向き合うなかで活動が徐々に本格的になっていったのが、現在のCCoE組織です。
また、CCoE組織としての活動を社内だけに閉じず、常に情報感度を上げ、社外コミュニティの活用による情報収集なども積極的に行なっているというお話もありました。
■トークセッション
トークセッションは、セミナーテーマである「クラウド推進組織で実践するクラウドセキュリティ対策!」を軸に、ノンフィクションライターの酒井真弓氏のモデレートにより、各社の取り組みついて深堀りしていきました。
<モデレーター>
ノンフィクションライター
酒井 真弓 氏
登壇者のみなさんのコメントを一部抜粋して紹介します。
●現在取り組まれているセキュリティ対策について
現在実施されているセキュリティ対策はどんなものですか? 実施の背景も含めて教えてください。
Visional 長原さん
CCoEの前身組織は、全社のプロダクトの非機能要件を改善するというものだったんです。そこでチェックシートを作り、事業とともに改善していくことをやっていたのですが、チェックシートの運用には課題も多く、シート以外の部分でファクトデータを見ながら改善を促していくようになりました。
AWSで提供していた、脅威検出やコンプライアンス評価を最初に展開し、ファクトデータを見ながら全社の改善につなげていったところがありますね。
ドコモ 森谷氏
当社の場合、プロジェクトごとの管理になっています。多くのユーザーがおりいろいろな対策をしなければならないシステムなのか、そこまでユーザーもおらず内部でしか使わないシステムなのかで対策も異なると思っています。なので、それらの状況に個別で対策しましょうというのは大前提でやってきました。
ただ、そうは言っても増えすぎてしまったので、共通化できるものは共通化していくというのが今の流れです。そこが今、力を入れているところですね。
●クラウドエンジニアとセキュリティ部門との連携や関わりについて
みなさんはセキュリティ部門というよりは、セキュリティ部門と連携してクラウドサービスのセキュリティ向上を推進しているような立場だと思いますが、連携や関わり方の状況、そのうえで心がけていることなどあれば教えてください。
Visional 長原さん
Visionalでは、セキュリティ組織とCCoEの組織はそれぞれ別れています。なので、連携のうえで心がけているのは、お互いの組織の考えを理解すること、一緒に取り組むうえでは、役割をしっかりと話し合って決めていっていますね。
また、以前はCIO配下にあった組織なのですが、現在はCISO配下にあり、組織が近くなった分、連携しやすくなりました。
WHI 加藤氏
SREはロードマップをセキュリティ部門と連携して進めています。インシデントについては、起こった際の被害を大きくしないための訓練をセキュリティ部門と連携して行っていますね。
心がけているのは、統制やセキュリティをガチガチに固めてしまわないこと。サービスを提供している部門が身動き取れなくなってしまうことがないよう、運用とセキュリティのバランスに気をつけていますね。
●新規事業とセキュリティについて
DXとセキュリティの話では、新規事業を始めた時にどの段階からセキュリティを考えたらいいのかという質問がけっこう出ます。そこはどのように考えていますか?
ドコモ 森谷氏
弊社も通信事業だけではなく、新しい事業もどんどんやっています。守るべきもの、後から対策するとお金も時間もかかるものは最初にやるなど、優先順位を決めてやっていきましょうとしています。アーキテクチャの面やデータを守るということは先にやっておく。事業を伸ばす意味でも、最初にやっておくべきことは済ましておきます。
WHI 加藤氏
弊社の「COMPANY」の周辺サービスとして新しいサービスが出始めています。経営メンバーからは、「プロセスを強化して欲しい」と言われているので、アーキテクチャレビューや、セキュリティレビューを新規事業部の担当者にチェックリストとして渡しています。
ただ、これをただ渡されても対策できないですし、製品の提供者側としてはサービスの品質を高めていくことに手を入れていきたいですよね。
だから、自分が間に入りながら、最低限守って欲しいことや、「リストのうちのここはこう対策できますね」というような話し合いを持って、ある意味伴走という感じで進めていっています。それがうまく進んでいます。
また、参加視聴者の方には、リアルタイムでも質問を受け付け、登壇者よりその場で回答。参加者の皆さんの理解を深めるための時間も設けることができました。
参加者と登壇社のQ&Aを一部紹介します。
質問「全社共通基盤をどこまで拡げていますか? 各事業部でサービスを使いたいという要望を多く受けています。CCoEで管轄している範囲をどう決めているのか教えてください。」
ドコモ 森谷氏
実は利用は任意なのです。CCoEで取りまとめるかも任意なんですね。自分たちが使って良かったサービスを知らせていく、使いやすくしていくというのはやってます。
いろいろなものを使うなかで、利用されるものが残っていくのが理想だと思っていて、これを使いなさいという強制もしていません。
主体性は事業部で持っていただく、セキュリティはゲートキーパーとして働く、CCoEは利用者の立場としてアジリティを上げていくための組織という考えです。
質問「こういったポジションにはどういった人が向いていると思いますか? 仕事の面白みについて教えてください。」
Visional 長原さん
縁の下の力持ちになれる人ですかね。直接的にビジネスに関わらないけれど、間接的に多くの事業に関わっていくという面白みがあります。あとはクラウドの進化は速く常に新しい技術に触れる機会があるため、それを楽しんでキャッチアップした技術を活用したり広めることができる人だと思いますね。
質問「開発者の方にクラウドの権限をどのように割り当てているか。開発者の方もある程度の権限を持っていないとアジリティを維持して開発を継続するのが難しいかと思います。セキュリティやコンプライアンスとアジリティのバランスをどのように取られているのか、考え方や実際に行っているプラクティスをお話しいただける範囲で伺ってみたいです。」
ドコモ 森谷 氏
使いはじめの頃は、権限を制限するために、実際の環境を作って開発者が機能を欲しい時はリクエストをもらい、承認するということをやっていました。ただやはりアジリティが薄れてきて、厳しいとなりました。なので、そのあたりの「決め」も含めてプロジェクトごとにPMが管理することになっています。
デザインパターンとしては、「開発者にこれだけの権限を与えればいい」というものと、そのテンプレートみたいなものは用意していますが、使うかどうかについても任意です。
プロジェクトごとにどのようにでもできるというか、「やりたい時はこういう風にできますよ」というパターン化とテンプレートを用意してシステムごとに判断してくださいということにしています。
他にも、「クラウドセキュリティの推進をするなかで、辛いこと・大変だったことを教えてください。」「セキュリティ対策を実施しないと!と思ったインシデントとかヒヤリハットな例を教えてください。」のようなカジュアルな質問もあり、ざっくばらんに登壇者の皆さんのリアルな声を聞くことができました。
■CISOトーク
<Visional>
ビジョナル株式会社
執行役員 CISO
若井 大佑
セミナーの締めくくりとして、Visional CISO(Chief Information Security Officer:最高情報セキュリティ責任者)若井さんから、「Visional CISOが考える、経営視点のパブリッククラウド活用 とセキュリティ対策」というテーマでお話ししました。
若井さんは、VisionalでセキュリティとグループIT(インフラ・OA/IT)領域の管掌をしています。Visional CISOとして企業経営という大きな視点に目線を上げ、パブリッククラウドの活用、セキュリティとの連携、品質管理や評価について説明しました。
■まとめ
今回は、「パブリッククラウド×セキュリティ」というテーマで、企業のクラウドやコーポレートIT基盤を守る組織(いわばサービスや事業を支える、守る「縁の下の力持ち」)の方々に登壇いただきました。
各社での様々な取り組みについてお話しいただくなかで、皆さんに共通していた考えは、事業やサービスを統制するのではなく、より前進させるためのセキュリティです。そのメッセージが参加者の皆さんに伝わり、セキュリティの向上へつながる次の一歩になることを願っています。
Visionalでは今後も「新しい可能性を、次々と。」というミッションのもと、参加者の皆さんとともに、情報セキュリティの強化を目指していくセミナーを実施していきたいと思います。
関連記事
この記事の執筆担当者
伊藤 友里/Ito Yuri
日本大学文理学部心理学科卒業後、株式会社ワコールに新卒入社。その後、JASDAQ上場の不動産会社、外資系IT企業の広報を担当。東日本大震災後、総合マーケティングコンサルティング会社にて、企業PR・ブランディングのコンサルタントを務め、2020年、株式会社ビズリーチへ入社。現在は、ビジョナル株式会社社長室グループコミュニケーショングループで、リスク・クライシスコミュニケーションを中心に、インターナルコミュニケーションなどグループのコミュニケーション活動を担当。
「VISIONAL ENGINEERING」Twitterアカウントは、こちら。
「ALL VISIONAL」Twitterアカウントは、こちら。