【レポート】大規模な組織変遷と100以上のAWSアカウントの横断的セキュリティガードレール運用について #AWSSummit
2019/9/8(火)~9/30(水) の期間で開催されている、AWS Summit Online からセッションをレポートします。
本記事は「大規模な組織変遷と100以上のAWSアカウントの横断的セキュリティガードレール運用について」をレポートします。
セッション概要
スピーカー:
- ビジョナル株式会社取締役 CTO 竹内真 氏
- ビジョナル株式会社執行役員 CIO 園田剛史氏
セッション内容:
2020 年 2 月、株式会社ビズリーチはグループ経営体制に移行し、新たに Visional グループとして、「新しい可能性を、次々と。」というミッションのもと、様々な領域で事業創出を続けています。複数事業を展開するにあたり、グループとしてのセキュリティガードレールの取り組み、今後の展望についてお話しいたします。
セッション動画と資料
動画と資料のリンクはこちらになります。
セッションレポート
アジェンダ
- ビズリーチから Visional へ、グループ経営体制への変遷(竹内氏)
- セキュリティガードレールについて(園田氏)
- 今後の Visional の展望とアマゾン ウェブ サービスへの期待(竹内 氏)
ビズリーチからVisionalへ、グループ経営体制への変遷(竹内 氏)
- 自己紹介
- 竹内真 氏
- Visonal の技術、財務の管理をしている
- Visional について
- 「新しい可能性を、次々と。」をメッセージに掲げる
- 新しいサービス、事業、変革に対して、必要なものを生み続けるように
- グループについて
- 株式会社ビズリーチ
- ビジョナル・インキュベーション株式会社
- 株式会社スタンバイ
- 株式会社 BINAR
- トラボックス株式会社
- コングロマリットな会社
- 複数の業種の事業を運営するコングロマリットな会社へ
- 社会変革におけるニーズや課題を拾い、新しい課題解決をする
- ベンチャーとエンタープライズカンパニーの共存
- エンタープライズの品質基準を満たしながらベンチャーのスピード感を持って事業運営を行う組織
- コングロマリットな会社として、高いセキュリティ品質、プロダクト品質を管理
- それを実現するためのセキュリティガードレール
セキュリティガードレールについて(園田 氏)
- 自己紹介
- 園田剛史氏
- Visional 内で、品質向上、組織づくり、改善活動
- Visional
- 複数の事業を開発・運営
- 100 以上の AWS アカウントを運用
- 複数事業・マルチアカウント運用で生まれた課題
- 課題
- すべてのアカウントに一定以上の品質が全事業で求められる
- 新規事業にも一定以上の品質・セキュリティが求められる
- クラウド知見・AWS 知見が事業部ごとにばらつきあり
- 100 以上の AWS アカウントに対する監査、統制
- 解決方法
- 効率的に信頼性、セキュリティ、コンプラインスなどの設定不備や不正なアクティビティに対する情報収集
- 事業部門へのフィードバック
- 課題
- 門番からガードレールへ
- 課題
- 守るべき品質を横断部門が全アカウントにチェックするのは非効率
- 仕組み化(セキュリティガードレール)
- 社内ルール、コンプライアンス(ガードレール)を定義し評価
- 全 AWS アカウント情報を集約、可視化し評価するシステムを構築
- 全社プロダクトの設定や運用での取りこぼしを検知し、担当者へアラート
- 成果
- グループとしてのAWS運用の最低限の品質を効率的に監視・統制
- 各事業に合わせた設定を行える体制を構築
- 事業部側はあまり意識せずにセキュリティ・ガバナンス・信頼性が担保され事業に注力
- 課題
- 4 つのガードレール施策
- Visional-baseline
- AWS Security Hub
- AWS Config
- AWS Trusted Advisor Dashboard
1. Visional-baseline
- 共通設定を管理適用するための仕組み
- Terraform で、全 AWS アカウント・全リージョンへ適用
- 共通の設定を行う部門(Platform-team)、反映を実行する部門(Corporate-IT)を分け、 設定のダブルチェック、権限分離を実施
- 共通設定の配布
- Corporate-IT のメンバーが Systems Manager Automation を実行
- Automation から Lambda が呼び出され、Corporate-IT への承認リクエストを発行
- 承認後、Automation から共通設定を配布するための Lambda、CodeBuild を呼び出す
- CodeBuild で Terraform を実行し、共通設定を適用
- CodeBuild の実行完了をトリガーに Lambda 実行し、終了結果を Slack に通知
- 共通設定と実環境の差分をチェック
- 常に共通設定が実環境に反映された状態であることを担保
2. AWS Security Hub
- 全 AWS アカウントの Amazon GuardDuty の検知結果を AWS Security Hub に集約して可視化
- Slack へアラートを通知
- セキュリティ部門を含めた運用フローを確立、重要度に応じて事業部部門への対応指示が可能に
- セキュリティインシデントやアノマリーを検知可能に
- セキュリテイ脅威検知
- AWS Security Hub で各アカウントの GuardDuty の結果を、セキュリティアカウントに集約
- イベントは CloudWatch Events に連携して、Slack へ通知と S3 へ永続保存
- プラットフォームアカウント(ダッシュボード運用)に結果を連携し、可視化
3. AWS Config
- AWS Config にて AWS リソースの設定、関連性、変更内容を記録
- 全社の AWS のアカウントのリソースへ社内システム管理規定に対する準拠状況を評価
- 評価結果を全社で集約し可視化
- 非準拠リソースを検出時は Slack などに通知
- 工数削減とともに、チェックの確実性も向上に
- 事業部担当者の負荷をかけずに、不適切な設定をリアルタイム検知可能に
-
マスターアカウント
- AWS Config のルールを管理
- OrganizationConfigRule を活用し、全アカウントで Config ルールを同期
- 全アカウントから実行されるカスタムルールを管理
-
プラットフォームアカウント
- AWS Config Aggregator で評価結果を集約、Aggregate 対象は日次で最新化
- 「Collector」で集約された評価結果をダッシュボードで可視化するために S3 や Amazon Elasticsearch Service にストア
- 「Change Notifer」で非準拠を検知して Slack 通知、Amazon Elasticsearch Service へストア
- 「Summarizer」で準拠率、改善率、ランキングなどのサマリを生成し、Slack 通知と Amazon Elasticsearch Service へストア
4. Trusted Advisor Dashboard
-
組織横断でベストプラクティスに対する準拠状況を可視化
-
Trusted Advisor はコスト、セキュリティ、パフォーマンスなどの観点で AWS のベストプラクティに従っているか確認してくれる
-
Trusted Advisor の結果を集約し、一元管理するダッシュボードを作成
-
全社の課題を一元的に把握でき事業部への改善を促しやすくなった
-
全体でコストを約5%削減、ダッシュボード管理によって各事業部の対応状況がわかるようになった
-
開発スピードを落とさず、一定の品質を守る
- AWS Organizations やマルチアカウントの機能を Visonal 向けにカスタマイズし、設定の一括反映や情報を集約
- 開発者の手を煩わせずに効率的に監査・統制を行えるセキュリティガードレールを構築
- 開発スピードを落とさずに品質を担保する環境を実現した
今後のVisionalの展望とアマゾン ウェブ サービスへの期待(竹内 氏)
- 昔はセキュリティと品質を担保するために、門番のように制限をして自由度を多少奪っていた
- ガードレールによって、事業部エンジニアの自由度を奪うことなく、危ないところを守れるようにした
- セキュリティガードレールは AWS のマネージドな発想の機能で、さまざまな事業・プロダクト・サービスが混在する中で、自分たちで溝を埋める
- これからは、よりマネージド、よりサーバレス、No Code という世界がもっとやってくると思っていて、未来を見ながら技術投資をしている
- AWS からは、新しい世界の機能やサービス、新しいマネージドな考え方が持ち込まれている
- セキュリティーガードレールのように必要とするものを自分たちで作り、同じ未来に一緒にアプローチしていると思っている
- 世界の課題をスピーディに解決し豊かな生活と豊かな社会を送れるように、今後も AWS と一緒に新しい未来を作り上げていく
さいごに
ビジョナル株式会社様より、セキュリティガードレールの取り組みについて、また、未来への展望について、話していただきました。
大量の AWS アカウントで、共通設定を管理する仕組みや、AWS のマネージド機能をカスマイズする手法は勉強になりました。
大規模な環境で開発スピードを落とさないようにしながら、高い品質とセキュリティを保つ事例として、参考にされてはいかがでしょうか。