Visional CCoE におけるパブリッククラウドのセキュリティ対策

Visional CCoE における パブリッククラウドのセキュリティ対策 2021-12-02 Visional Security Lounge #2 ビジョナル株式会社 グループIT室 クラウドインフラグループ（CCoE） Yuuki Nagahara

自己紹介 長原 佑紀（ナガハラ ユウキ） 所属：ビジョナル株式会社 グループIT室 クラウドインフラグループ（CCoE） 経歴： - 2006年〜 独立系SIer - 主に通信系のシステム開発や研究開発 - 2015年〜 株式会社ビズリーチ - 2015年よりビズリーチ事業のインフラエンジニアとして従事し、後にチームリーダとして複 数事業のインフラを担当 - 2018年より全社横断となるプロダクト非機能要件改善組織に立ち上げより参画 - 2021年〜 ビジョナル株式会社（株式会社ビズリーチより出向） - CCoE Tech Lead として、Visional グループのパブリッククラウド全体管理やクラウド共通 プラットフォームの開発運用、クラウド活用推進を担当 好きなサービス： AWS Lambda 2

アジェンダ ● Visional について ● CCoE 組織について ● クラウドセキュリティの横断的な取り組みについて 3

Visional について 4

グループ概要 設立 ：2020年2月（ビジョナル株式会社設立） 創業 ：2009年4月（株式会社ビズリーチ創業） 代表者 ：ビジョナル株式会社 代表取締役社長 南 壮一郎 グループ従業員数：1,466名（2021年7月末時点） 資本金 拠点 ：164億円（資本準備金含む）※2021年5月18日時点 ：東京、大阪、名古屋、福岡、静岡、中四国 5

グループミッション 6

グループ運営サービス 人材マネジメント（HR Tech）エコシステム 採用プラットフォーム 人財活用プラットフォーム インキュベーション（新規事業領域） 事業承継M&A 物流Tech サイバーセキュリティ Sales Tech 7

グループ経営体制について 株式会社 ビズリーチ ビジョナル ・ インキュベーション 株式会社 M&A サクシード トラボックス 株式会社 株式会社 HR Techの プラットフォームや SaaS 事業の運営 新規事業開発 事業承継 M&A プラットフォーム「ビズ リーチ・サクシード」の 運営 物流 DX プラットフォーム「トラ ボックス」 の運営 株式会社 スタンバイ 求人検索エンジン 「スタンバイ」 の運営 ※Zホールディングス株式会社 との合弁事業会社 ビジョナル株式会社（ホールディングカンパニー） 8

CCoE 組織について 9

Visional の CCoE について CCoE（Cloud Center of Excellence）は、クラウド活用をより推進するための専門組織。 < 役割 > ● クラウド戦略計画・推進 ● クラウド全体管理 ● クラウドガバナンス ● ● クラウドプラットフォーム開発運用 < 構造 > ユーザ部門 統制 監査 ナレッジ管理 ● 技術支援 ● トレーニング ● コミュニティ活動 ● など セキュリティ 部門 相談 フィードバック （経理、法務、人事） 技術支援 情報提供 提供 ポリシー、ナレッジ、 クラウドプラットフォーム 連携 相談 問合せ 連携 CCoE 連携 その他間接部門 ※クラウド利用者 フィードバック クラウド関連 レポーティング 経営 クラウド ベンダー 活動 外部 コミュニティ 10

Visional のパブリッククラウドの状況 フルクラウドでサービス運営 ● クラウドがデフォルトの選択肢 ● オンプレミス環境は保有していない パブリッククラウドの利用状況 ● AWS アカウント：100以上 ● Google Cloud プロジェクト：75以上 ○ アクティブのみ 11

セキュリティに関わる組織構造 ビジョナル（株）にグループ全体のセキュリティを統括する部署を設置。 事業部 事業部 事業部 事業部 (株) ビズリーチ 事業部 事業部 ビジョナル・ インキュベーション (株) 事業部 事業部 (株) M&A サクシード トラボックス (株) 各事業部にエンジニア チームが存在し、パブ リッククラウドを運用 CISO 管掌組織 抜粋 セキュリティ室 IT統制/セキュリティ推進グループ 品質管理グループ セキュリティオペレーショングループ セキュリティ関連文書管理 リスクアセスメント /監査 チェックシート実施 脆弱性診断 コーポレートインフラ監視 プロダクトセキュリティ監視 セキュリティ技術検証 グループIT室 クラウドインフラグループ （CCoE） パブリッククラウドのセキュリティに関わる 業務を “セキュリティ室 ” と協業 ビジョナル (株) 12

クラウドセキュリティの横断的な取り組みについて 13

クラウドセキュリティにおける課題 パブリッククラウド特有の課題 クラウド利用時のリスク ○ 機密情報 ● インターネット経由の利用形態 ○ 個人情報 ○ コンテンツ ○ 様々な形で外部へ公開できてしまう 資産 Assets ● 高いアジリティとスピード ○ 変更頻度が高く不備や漏れが混入しやすい ● 責任共有モデル ○ 利用者の責任を理解して適切な対策が必要 ○ etc.. ○ なりすまし ○ 設定ミス ○ 対策不備 ○ バグ ○ etc.. リスク 脆弱性 脅威 Vulnerability Threats ○ 改ざん ○ 否認 ○ 情報漏洩 ○ サービス拒否 ○ 特権昇格 有事の際は、事業成長を阻害し、グループ全体のレピュテーションリスクにもなりえる。 運営するサービス群の基盤となるパブリッククラウドのセキュリティは重要な位置付けにある。 アジリティとのバランスを取りながら、パブリッククラウドへのセキュリティ対策を実施している。 14

クラウドセキュリティの横断的な取り組みの概要 クラウド共通の仕組み セキュリティガイドブック ※CCoE よりクラウド共通の対策を提供 予防的統制 ● 統合認証基盤連携 ● 組織ポリシー制御 ※クラウド利用者で取るべき対策を規定 組織管理 ● アカウント管理 ● ベースライン管理 発見的統制 ● コンプライアンス評価 ● ベストプラクティス評価 ● IaaS/CaaS 脆弱性スキャン … 脅威検出 ● 脅威の検出 ログ管理 ● 証跡ログ 15

クラウド共通の仕組み（組織管理） アカウント管理 ベースライン管理 クラウドのアカウントを適正に管理 クラウド共通設定（ベースライン）を構成管理 アカウントの組織を構成し、アカウント作成削除の フローを構築 新規アカウントは適用済みの状態から利用開始 構成変更時は組織で一括更新 AWS：Oragnizations GCP：Resource Manager AWS：Terraform による独自機構 GCP：-

クラウド共通の仕組み（予防的統制） 統合認証基盤連携 クラウドを統合認証基盤と SAML 連携して、 管理コンソールへ SSO にてログイン 組織ポリシー制御 組織全体へ禁止ポリシーを管理・適用 不要な操作を抑制してリスクを回避 管理コンソールへの不正アクセスを防止 AWS：Azure AD SSO ※IAMユーザのログインも禁止 GCP：Azure AD SSO AWS：Service Control Policy GCP：Resource Manager (Organization policy constraints)

クラウド共通の仕組み（発見的統制） コンプライアンス評価 ベストプラクティス評価 IaaS/CaaS脆弱性スキャン プロセス整備中 予め規定したルールに基づいてリソースの設定を 自動的に評価 組織の評価結果を集約・通知・可視化 クラウドベンダー固有のベストプラクティスに沿っ たチェック 組織のチェック結果を集約・可視化 ルールに非準拠のリスクを早期に検知して対処 推奨事項を改善に活用 AWS：AWS Config GCP：Cloud Security Command Center (Security Health Analytics) AWS：Trusted Advisor GCP：- インスタンス、コンテナの脆弱性を自動スキャン 組織のスキャン結果を集約・通知・可視化 ワークロードに含まれる脆弱性に適切に対処 AWS：Inspector / ECR (image scanning) GCP：-

クラウド共通の仕組み（脅威検出 / ログ管理） 脅威検出 ログ管理 クラウドの不正なアクティビティを検出 組織全体の検出結果を集約・通知・可視化 証跡ログの出力設定を組織全体へ適用し、ログを 集約し、検索基盤を提供 検出された脅威に対して調査と対応を実施 監査ログの完全性を担保し、調査・分析に活用 AWS：GuardDuty GCP：Cloud Security Command Center (Event Threat Detection) AWS：Organizations + CloudTrail + Athena GCP：Cloud Audit Logging + Log Sink + BigQuery

クラウドセキュリティの横断的な取り組みの概要（再掲） クラウド共通の仕組み セキュリティガイドブック ※CCoE よりクラウド共通の対策を提供 予防的統制 ● 統合認証基盤連携 ● 組織ポリシー制御 ※クラウド利用者で取るべき対策を規定 組織管理 ● アカウント管理 ● ベースライン管理 発見的統制 ● コンプライアンス評価 ● ベストプラクティス評価 ● IaaS/CaaS 脆弱性スキャン … 脅威検出 ● 脅威の検出 ログ管理 ● 証跡ログ 20

参考情報 ● AWS Summit Online Japan 2020 「大規模な組織変遷と100以上のAWSアカウントの横断的セキュリティガードレール運用に ついて」 ■ https://pages.awscloud.com/rs/112-TZM-766/images/CUS-06_AWS_Summit_Online_2020_Visional%20Inc.pdf ● Visional Engineering Blog 「100を超えるAWSアカウント運用におけるガードレール構築事例」 ■ https://engineering.visional.inc/blog/171/awssummit_securityguardrail/ ● Security-JAWS 第19回 「AWS Config による継続的コンプライアンス実現に向けた取り組み」 ■ https://speakerdeck.com/nagahara/continuous-compliance-with-aws-config ● AWS Dev/Cloud Alliance 第1回 「CCoE による Terraform を活用した Infrastructure as Code」 ■ https://speakerdeck.com/nagahara/iac-by-terraform-in-ccoe ● CloudNative Days Tokyo 2021 「実践：Cloud Center of Excellence を中心としたクラウド戦略」 ■ https://speakerdeck.com/_awache/the-practice-of-cloud-center-of-excellence ● Google Cloud Security Summit 「Visional における CCoE 組織とセキュリティ ガードレール整備の取り組み」 ■ https://services.google.com/fh/files/events/security-d1-05.pdf ● 書籍 「DXを成功に導くクラウド活用推進ガイド CCoEベストプラクティス」（先進事例企業として登場） ■ https://www.amazon.co.jp/dp/4296070150 Fin. 21

• https://pages.awscloud.com/rs/112-TZM-766/images/CUS-06_AWS_Summit_Online_2020_Visional Inc.pdf
• https://engineering.visional.inc/blog/171/awssummit_securityguardrail/
• https://speakerdeck.com/nagahara/continuous-compliance-with-aws-config
• https://speakerdeck.com/nagahara/iac-by-terraform-in-ccoe
• https://speakerdeck.com/_awache/the-practice-of-cloud-center-of-excellence
• https://services.google.com/fh/files/events/security-d1-05.pdf
• https://www.amazon.co.jp/dp/4296070150/