【レポート】大規模な組織変遷と100以上のAWSアカウントの横断的セキュリティガードレール運用について #AWSSummit

2020.09.08

2019/9/8(火)~9/30(水) の期間で開催されている、AWS Summit Online からセッションをレポートします。

本記事は「大規模な組織変遷と100以上のAWSアカウントの横断的セキュリティガードレール運用について」をレポートします。

セッション概要

スピーカー:

  • ビジョナル株式会社 取締役 CTO 竹内 真 氏
  • ビジョナル株式会社 執行役員 CIO 園田 剛史 氏

セッション内容:

2020 年 2 月、株式会社ビズリーチはグループ経営体制に移行し、新たに Visional グループとして、「新しい可能性を、次々と。」というミッションのもと、様々な領域で事業創出を続けています。複数事業を展開するにあたり、グループとしてのセキュリティガードレールの取り組み、今後の展望についてお話しいたします。

セッション動画と資料

動画と資料のリンクはこちらになります。

セッションレポート

アジェンダ

  • ビズリーチからVisionalへ、グループ経営体制への変遷(竹内 氏)
  • セキュリティガードレールについて(園田 氏)
  • 今後のVisionalの展望とアマゾン ウェブ サービスへの期待(竹内 氏)

ビズリーチからVisionalへ、グループ経営体制への変遷(竹内 氏)

  • 自己紹介
    • 竹内 真 氏
    • Visonalの技術、財務の管理をしている
  • Visionalについて
    • 「新しい可能性を、次々と。」をメッセージに掲げる
    • 新しいサービス、事業、変革に対して、必要なものを生み続けるように
  • グループについて
    • 株式会社ビズリーチ
    • ビジョナル・インキュベーション株式会社
    • 株式会社スタンバイ
    • 株式会社 BINAR
    • トラボックス株式会社
  • コングロマリットな会社
    • 複数の業種の事業を運営するコングロマリットな会社へ
    • 社会変革におけるニーズや課題を拾い、新しい課題解決をする
  • ベンチャーとエンタープライズカンパニーの共存
    • エンタープライズの品質基準を満たしながらベンチャーのスピード感を持って事業運営を行う組織
    • コングロマリットな会社として、高いセキュリティ品質、プロダクト品質を管理
    • それを実現するためのセキュリティガードレール

セキュリティガードレールについて(園田 氏)

  • 自己紹介
    • 園田 剛史 氏
    • Visional内で、品質向上、組織づくり、改善活動
  • Visional
    • 複数の事業を開発・運営
    • 100以上のAWSアカウントを運用
  • 複数事業・マルチアカウント運用で生まれた課題
    • 課題
      • すべてのアカウントに一定以上の品質が全事業で求められる
      • 新規事業にも一定以上の品質・セキュリティが求められる
      • クラウド知見・AWS知見が事業部ごとにばらつきあり
      • 100以上のAWSアカウントに対する監査、統制
    • 解決方法
      • 効率的に信頼性、セキュリティ、コンプラインスなどの設定不備や不正なアクティビティに対する情報収集
      • 事業部門へのフィードバック
  • 門番からガードレールへ
    • 課題
      • 守るべき品質を横断部門が全アカウントにチェックするのは非効率
    • 仕組み化(セキュリティガードレール
      • 社内ルール、コンプライアンス(ガードレール)を定義し評価
      • 全AWSアカウント情報を集約、可視化し評価するシステムを構築
      • 全社プロダクトの設定や運用での取りこぼしを検知し、担当者へアラート
    • 成果
      • グループとしてのAWS運用の最低限の品質を効率的に監視・統制
      • 各事業に合わせた設定を行える体制を構築
      • 事業部側はあまり意識せずにセキュリティ・ガバナンス・信頼性が担保され事業に注力
  • 4つのガードレール施策
    1. Visional-baseline
    2. AWS Security Hub
    3. AWS Config
    4. AWS Trusted Advisor Dashboard

1. Visional-baseline

  • 共通設定を管理適用するための仕組み
  • Terraformで、全AWSアカウント・全リージョンへ適用
  • 共通の設定を行う部門(Platform-team)、反映を実行する部門(Corporate-IT)を分け、 設定のダブルチェック、権限分離を実施

  • 共通設定の配布
    1. Corporate-ITのメンバーがSystems Manager Automationを実行
    2. AutomationからLambdaが呼び出され、Corporate-ITへの承認リクエストを発行
    3. 承認後、Automationから共通設定を配布するためのLambda、CodeBuildを呼び出す
    4. CodeBuildでTerraformを実行し、共通設定を適用
    5. CodeBuildの実行完了をトリガーにLambda実行し、終了結果をSlackに通知
  • 共通設定と実環境の差分をチェック
    • 常に共通設定が実環境に反映された状態であることを担保

2. AWS Security Hub

  • 全AWSアカウントのAmazon GuardDutyの検知結果をAWS Security Hubに集約して可視化
  • Slackへアラートを通知
  • セキュリティ部門を含めた運用フローを確立、重要度に応じて事業部部門への対応指示が可能に
  • セキュリティインシデントやアノマリーを検知可能に

  • セキュリテイ脅威検知
    1. AWS Security Hubで各アカウントのGuardDutyの結果を、セキュリティアカウントに集約
    2. イベントはCloudWatch Eventsに連携して、Slackへ通知とS3へ永続保存
    3. プラットフォームアカウント(ダッシュボード運用)に結果を連携し、可視化

3. AWS Config

  • AWS ConfigにてAWSリソースの設定、関連性、変更内容を記録
  • 全社のAWSのアカウントのリソースへ社内システム管理規定に対する準拠状況を評価
  • 評価結果を全社で集約し可視化
  • 非準拠リソースを検出時はSlackなどに通知
  • 工数削減とともに、チェックの確実性も向上に
  • 事業部担当者の負荷をかけずに、不適切な設定をリアルタイム検知可能に

  • マスターアカウント
    • AWS Configのルールを管理
    • OrganizationConfigRuleを活用し、全アカウントでConfigルールを同期
    • 全アカウントから実行されるカスタムルールを管理
  • プラットフォームアカウント
    • AWS Config Aggregatorで評価結果を集約、Aggregate対象は日次で最新化
    • 「Collector」で集約された評価結果をダッシュボードで可視化するためにS3やAmazon Elasticsearch Serviceにストア
    • 「Change Notifer」で非準拠を検知してSlack通知、Amazon Elasticsearch Serviceへストア
    • 「Summarizer」で準拠率、改善率、ランキングなどのサマリを生成し、Slack通知とAmazon Elasticsearch Serviceへストア

4. Trusted Advisor Dashboard

  • 組織横断でベストプラクティスに対する準拠状況を可視化
  • Trusted Advisorはコスト、セキュリティ、パフォーマンスなどの観点でAWSのベストプラクティに従っているか確認してくれる
  • Trusted Advisorの結果を集約し、一元管理するダッシュボードを作成
  • 全社の課題を一元的に把握でき事業部への改善を促しやすくなった
  • 全体でコストを約5%削減、ダッシュボード管理によって各事業部の対応状況がわかるようになった

  • 開発スピードを落とさず、一定の品質を守る

    • AWS Organizationsやマルチアカウントの機能をVisonal向けにカスタマイズし、設定の一括反映や情報を集約
    • 開発者の手を煩わせずに効率的に監査・統制を行えるセキュリティガードレールを構築
    • 開発スピードを落とさずに品質を担保する環境を実現した

今後のVisionalの展望とアマゾン ウェブ サービスへの期待(竹内 氏)

  • 昔はセキュリティと品質を担保するために、門番のように制限をして自由度を多少奪っていた
  • ガードレールによって、事業部エンジニアの自由度を奪うことなく、危ないところを守れるようにした
  • セキュリティガードレールはAWSのマネージドな発想の機能で、さまざまな事業・プロダクト・サービスが混在する中で、自分たちで溝を埋める
  • これからは、よりマネージド、よりサーバレス、No Code という世界がもっとやってくると思っていて、未来を見ながら技術投資をしている
  • AWSからは、新しい世界の機能やサービス、新しいマネージドな考え方が持ち込まれている
  • セキュリティーガードレールのように必要とするものを自分たちで作り、同じ未来に一緒にアプローチしていると思っている
  • 世界の課題をスピーディに解決し豊かな生活と豊かな社会を送れるように、今後もAWSと一緒に新しい未来を作り上げていく

さいごに

ビジョナル株式会社様より、セキュリティガードレールの取り組みについて、また、未来への展望について、話していただきました。

大量のAWSアカウントで、共通設定を管理する仕組みや、AWSのマネージド機能をカスマイズする手法は勉強になりました。 大規模な環境で開発スピードを落とさないようにしながら、高い品質とセキュリティを保つ事例として、参考にされてはいかがでしょうか。